问控制列表（ACL）

 

访问控制列表的基本原理：

ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址。目的地址。源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制列表的目的。

ACL的作用：控制对特定网络资源的访问。

访问控制列表的类型：

（1）       基于数字的：（1）标准的：1-99、1000-1999

                   （2）扩展的： 100-199、 2000-2699

 （2）基于名称的：（1）标准：standard

                  （2）扩展：extended

(3)高级ACL:(1)基于时间的ACL

            (2)单向ACL

            (3)动态ACL

1.标准访问控制列表：

 标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包，标准访问控制列表的表号是：1-99、1000-1999

2、扩展访问控制列表：

 扩展访问控制列表根据数据包的源ip地址、目的ip地址、指定协议、端口和标志来允许或拒绝数据包。扩展访问控制列表的访问控制列表号是100-199、 2000-2699

3.命名访问控制列表：

命名访问控制列表允许在标准和扩展访问列表中使用名称代替表号。

4.定时访问控制列表：

定时访问控制列表提供基于时间的附加控制特性，定义在什么时间允许或拒绝数据包。

访问控制列表的工作原理：

（1）       如果匹配第一条规则，则不再往下检查，路由器将决定该数据包允许通过或拒绝通过。

（2）       如果不匹配第一条规则，则依次往下检查，直到有任何一条规则匹配，路由器将决定该数据包允许通过或拒绝通过。

（3）       如果最后没有任何一条规则匹配，则路由器根据默认的规则将丢弃该数据包。

ACL的应用有两个方向：

（1）       出：已经过路由器的处理，正离开路由器接口的数据包。

（2）       入：已到达路由器接口的数据包，将被路由器处理。

一个端口的一个方向只能应用一个ACL，后应用的生效

标准访问控制列表的配置：(标准ACL应用在离目的地最近的路由器)

创建ACL:

Router（config）#access-list access-list-number {permit | deny} source {source-wildcard}

删除已建立的标准ACL:

Router(config)#no access-list access-list-number

将ACL应用于接口：

Router(config)#ip access-group access-list-number {in| out}

在接口上取消ACL的应用：

Router(config)#no ip access-group access-list-number {in |Out }

扩展访问控制列表的配置：（应该把扩展ACL应用在离源地址最近的路由器上）

创建ACL:

Router(config)#access-list access-list-number {permit | deny } protocol {source source-wildcard destination destination-wildcard } [operator operan ]

应用于标准的一样

命名访问控制列表的配置：

Router(config)# ip access-list {standard | extended} access-list-name

删除ACL：

Router（config）#no ip access-list {standard | extended } access-list-name

定时访问控制列表：

定义时间范围的名称：

Router (config)#time-range time-range-name

定义一个时间周期：

Router(config-time-range)#periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm

定义一个绝对时间：

Router(config-time-range)# absolute [start hh:mm day month year] [end hh:mm day month year]

在扩展中引用时间范围：

Router(config)#access-list access-list-number {permitted |deny} protocol {source source-wildcard destination destination-wildcard} [operator operan] time-range time-range-name

扩展ACL与标准ACL一样不能删除单条acl语句，只能删除整个ACL,而命名ACL可以删除单条ACL语句

在路由器上查找时间的命令：show clock

改时间的命令：clock set hh:mm day month year

 

第七章讨论课

网络结构一半分为三层，分别为：

（1）       核心层：核心层为网络的骨干部分，要有高的转发速率、高稳定性和高可靠性，并提供路由

（2）       汇聚层：汇聚层是多台接入层交换机的汇聚点，有时承担了三层交换机和路由转发的功能，并向上提供到核心层的链路

（3）       接入层：接入层为终端设备的进入，其目的是允许用户接入。

转载于:https://blog.51cto.com/4164373/764086