第八讲 访问控制列表
- 格式:ppt
- 大小:477.50 KB
- 文档页数:46


访问控制列表(Access-list)作用:1)对经过路由器的数据包进行放行/丢弃的操作2)对路由器的管理平台(平面)进行保护3)数据包的分类4)过滤路由信息5)按需拨号/远程连接/VPN的敏感数据流定义ACL的分类:1)标准(1-99):只判断数据包来自什么地址(源IP地址)2)扩展(100—199):判断数据包来自什么地址,去什么地址,去干什么(判断源、目标IP 和服务)应用层:http,ftp,smtp,pop3,dns,telnet,ssh,https,tftp,RIP表示层:数据如何“翻译”成二进制(JPEG,ASCII)会话层:管理两个系统之间的逻辑通信会话传输层:定义了每种数据的传递方式(可靠/不可靠)TCP:在传递数据之前建立双向通信的确认,同时在传递数据的过程中接收方确认接收到数据http,ftp,smtp,pop3,telnet,ssh,httpsUDP:发送方只要知道对方的地址,就发送数据dns,tftp,RIP网络层:决定了数据的逻辑寻址(IP)数据链路层:定义了数据在本地通信网络中的寻址和格式物理层:定义了数据在物理链路的信号类型、强度等物理特征,及线缆、设备的标准TCP的端口号:定义了这个数据的服务类型http : 80https :443smtp: 25pop3: 110telnet: 23ssh: 22ftp: 21UDP端口号:dns: 53RIP: 520icmp的服务:echo----ping访问echo-reply--ping回应IIS(ftp,web):80,21,443exchange:110,25A IE sohu(IIS)------s_IP:A,d_IP:sohu,s_port:X,d_port:80--><-----s_IP:sohu,d_IP:A,s_port:80,d_port:X---1号ACL允许 192.168.1.0/24允许 192.168.2.0/24允许 192.168.0.0/16丢弃 192.168.3.0/24(隐含拒绝所有)允许 192.168.1.0/24允许 192.168.2.0/24丢弃 192.168.1.0/24丢弃 192.168.2.0/24允许所有(隐含拒绝所有)访问控制列表的接口绑定:ACL只有绑定到接口的IN/OUT方向,才对该接口上进/出路由器的数据做过滤配置访问控制列表:1)创建ACL(config)#access-list # ...2) 将ACL捆绑到接口的方向(config)#interface fastethernet 0/0(config-if)#ip access-group # in/out配置标准ACL:access-list #(1-99) permit/deny a.b.c.d w.x.y.za.b.c.d:源IP地址匹配对象w.x.y.z:通配符配置扩展ACL:access-list #(100-199) permit/deny 协议源IP 通配符 [源端口] 目标IP 通配符 [目标端口]协议:TCP,UDP,icmp,ospf,eigrp,ip源IP 通配符:源IP地址范围源端口:源端口的范围,gt(>),lt(<),eq(=),range(a---b)。