<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

ACL实验的总结:

访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第三层及第四层包头中

的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,

从而达到访问控制的目的。ACL 分很多种,不同场合应用不同种类的ACL

1. 标准ACL

标准ACL 最简单,是通过使用IP 包中的源IP 地址进行过滤,表号范围1-99

1300-1999

2. 扩展ACL

扩展ACL 比标准ACL 具有更多的匹配项,功能更加强大和细化,可以针对包括协议类型、

源地址、目的地址、源端口、目的端口、TCP 连接建立等进行过滤,表号范围100-199

2000-2699

3. 命名ACL

以列表名称代替列表编号来定义ACL,同样包括标准和扩展两种列表。

在访问控制列表的学习中,要特别注意以下两个术语。

1. 通配符掩码:一个32 比特位的数字字符串,它规定了当一个IP 地址与其他的IP

址进行比较时,该IP 地址中哪些位应该被忽略。通配符掩码中的“1”表示忽略IP 地址中

对应的位,而“0”则表示该位必须匹配。两种特殊的通配符掩码是“255.255.255.255”和

“<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0.0.0.0”,前者等价于关键字“any”,而后者等价于关键字“host”;

2. Inbound outbound:当在接口上应用访问控制列表时,用户要指明访问控制列表

是应用于流入数据还是流出数据。

总之,ACL 的应用非常广泛,它可以实现如下的功能:

1. 拒绝或允许流入(或流出)的数据流通过特定的接口;

2. DDR 应用定义感兴趣的数据流;

3. 过滤路由更新的内容;

4. 控制对虚拟终端的访问;

5. 提供流量控制。

上述实验的常用命令;
show ip access-lists 查看所定义的IP 访问控制列表

clear access-list counters 将访问控制列表计数器清零

access-list 定义ACL

ip access-group 在接口下应用ACL

access-class vty 下应用ACL

ip access-list 定义命名的ACL

time-range time 定义时间范围

username username password password 建立本地数据库

autocommand 定义自动执行的命令