计算机网络课程设计 笔记(二)访问控制列表设置

实验使用 Packet Tracer

访问控制列表基本概念

访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表
指令列表用来指明经过路由器的数据包是接收还是拒绝,起到了数据包的过滤功能

访问控制列表的分类

标准访问控制列表
限制检查数据包的源地址
允许或拒绝的是完整的(全部的)协议
扩展访问控制列表
限制检查数据包的源地址和目的地址
允许或拒绝的是某个特定的协议

访问控制列表的方向

进方向:在数据包进入路由器之前进行检查,检查通过才能进行路由和转发;即先处理再路由
出方向:在数据包将要转发时进行检查,检查通过才进行转发;即先路由再处理

访问控制列表的工作流程

1.数据包到达路由器的端口后与访问控制列表的第一行设置的地址进行匹配
2.若匹配成功,根据列表限制处理该数据包
3.若匹配不成功,继续与下一行设置的地址进行匹配
以此循环进行
访问控制列表工作流程图:

Created with Raphaël 2.2.0 数据包到达 行数为一 与访问控制列表进行匹配 匹配成功? 处理数据包 行数加一 yes no

访问控制列表的特点

访问控制列表的内容 即列表项的顺序 决定了控制顺序
访问控制列表只能过滤经过路由器的数据包,无法过滤由路由器产生的数据包
无法删除列表的某一行,要想删除必须删除整个列表重新创建(命名列表暂不涉及)
隐含一条拒绝所有的语句,每个数据包一定能够找到一条匹配的语句

每个方向、每个接口、每个协议只能对应一条访问列表
踩坑:同一接口同一方向的不同协议写在一条访问列表里(理解为优先级 方向=接口>协议)

访问控制列表IOS指令

访问控制列表的配置

通配符掩码

用点分十进制表示(可以理解为子网掩码的补码)
二进制0表示 检查 相应的地址位是否匹配
二进制1表示 忽略 相应的地址位是否匹配
八位全0 即0 表示每一位都要匹配(精确匹配)
八位全1 即255 表示地址位可以为任意值

配置基本要求

(与访问控制列表的特点相匹配)
先创建访问控制列表再把访问控制列表绑定到路由器接口
较为严格的限制条件放在访问列表所有语句的最上面
每个方向、每个接口、每个协议只能对应一条访问列表
访问控制列表中 不能只有deny语句至少有一条允许语句,否则所有的数据包都将被拒绝

标准访问控制列表的配置

通常在没有指定目的地址和没有指定特定协议时使用
指令
(config)# access-list number {permit | deny} source 访问控制列表的设置
(config-if)# ip access-group {number} {in | out} 访问控制列表绑定到接口
number 表示访问控制列表的编号 从1-99中选择
permit | deny 表示控制是接收还是拒绝
source 表示目的地址的IP和通配符掩码 any表示所有
in | out 表示时进方向检查还是出方向检查

特殊 控制虚拟通道访问
虚拟通道 VTY(Virtual Teletype Terminal)
作用:通过 Telnet 远程登录并管理路由或交换
指令
(config)# line vty {vty# | vty-range} 选定虚拟通道范围
(config-line)# access-class number {in | out} 访问控制列表绑定到通道

扩展访问控制列表的配置

指令
(config)# access-list number {permit | deny} protocol source destination {operation port} 设置
(config-if)# ip access-group access-list-number { in | out } 访问控制列表绑定到接口
number 从100-199中选择

protocol 设置检查限制的协议类型:
1.ip 表示检查限制所有协议(类似于标准访问控制列表)
2.tcp,udp等 表示检查限制TCP、UDP等特定的协议

source 表示源地址的IP和通配符掩码;
destination 表示目的地址的IP和通配符掩码;
operation 设置服务的端口号 eq 等于; gt 大于; lt 小于
port 服务的端口号 可以直接用 端口号 也可以用 服务类型

访问控制列表的查、删

查询 :show access-lists
删除 :no access-list number
修改:删除整个列表重新创建

  • 0
    点赞
  • 3
    收藏 更改收藏夹
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nothingYHN

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值