2021年CCNA筆記 ACCESS LISTS_第1頁(yè)
2021年CCNA筆記 ACCESS LISTS_第2頁(yè)
2021年CCNA筆記 ACCESS LISTS_第3頁(yè)
2021年CCNA筆記 ACCESS LISTS_第4頁(yè)
2021年CCNA筆記 ACCESS LISTS_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、CCNA筆記 Access Lists Managing Traffic with Aess Lists Introduction to Aess Lists 訪問(wèn)列表(aess list,ACL)的主要作用是過(guò)濾你不想要的數(shù)據(jù)包.設(shè)置ACL的一些規(guī)則: 1.按順序的比較,先比較第一行,再比較第二行.直到最后1行 2.從第一行起,直到找到1個(gè)符合條件的行;符合以后,其余的行就不再繼續(xù)比較下去 3.默認(rèn)在每個(gè)ACL中最后1行為隱含的拒絕(deny),如果之前沒(méi)找到1條許可(permit)語(yǔ)句,意味著包將被丟棄.所以每個(gè)ACL必須至少要有1行permit語(yǔ)句,除非你想想所有數(shù)據(jù)包丟棄 2種主要的訪

2、問(wèn)列表: 1.標(biāo)準(zhǔn)訪問(wèn)列表(standard aess lists):只使用源IP地址來(lái)做過(guò)濾決定 2.擴(kuò)展訪問(wèn)列表(extended aess lists):它比較源IP地址和目標(biāo)IP地址,層3的協(xié)議字段,層4端口號(hào)來(lái)做過(guò)濾決定 利用ACL來(lái)過(guò)濾,必須把ACL應(yīng)用到需要過(guò)濾的那個(gè)router的接口上,否則ACL是不會(huì)起到過(guò)濾作用的.而且你還要定義過(guò)濾的方向,比如是是想過(guò)濾從Inter到你企業(yè)網(wǎng)的數(shù)據(jù)包呢還是想過(guò)濾從企業(yè)網(wǎng)傳出到Inter的數(shù)據(jù)包呢?方向分為下面2種: 1.inbound ACL:先處理,再路由 2.outbound ACL:先路由,再處理 一些設(shè)置ACL的要點(diǎn): 1.每個(gè)接口

3、,每個(gè)方向,每種協(xié)議,你只能設(shè)置1個(gè)ACL 2. _好你的ACL的順序,比如測(cè)試性的最好放在ACL的最頂部 3.你不可能從ACL從除去1行,除去1行意味你將除去整個(gè)ACL,命名訪問(wèn)列表(named aess lists)例外(稍后介紹命名訪問(wèn)列表) 4.默認(rèn)ACL結(jié)尾語(yǔ)句是deny any,所以你要記住的是在ACL里至少要有1條permit語(yǔ)句 5.記得創(chuàng)建了ACL后要把它應(yīng)用在需要過(guò)濾的接口上 6.ACL是用于過(guò)濾經(jīng)過(guò)router的數(shù)據(jù)包,它并不會(huì)過(guò)濾router本身所產(chǎn)生的數(shù)據(jù)包 7.盡可能的把IP標(biāo)準(zhǔn)ACL放置在離目標(biāo)地址近的地方;盡可能的把IP擴(kuò)展ACL放置在離源地址近的地方 Stan

4、dard Aess Lists 介紹ACL設(shè)置之前先介紹下通配符掩碼(wildcard _sking).它是由0和255的4個(gè)8位位組組成的.0代表必須精確匹配,255代表隨意,比如: 55,這個(gè)告訴router前3位的8位位組必須精確匹配,后1位8位位組的值可以為任意值.如果你想指定到,則通配符掩碼為55(15-8=7) 配置IP標(biāo)準(zhǔn)ACL,在特權(quán)模式下使用aess-lists 范圍數(shù)字 permit/deny any/host命令.范圍數(shù)字為1到99和1300到1999;permit/deny分別為

5、允許和拒絕;any為任何主機(jī),host為具體某個(gè)主機(jī)(需要跟上IP地址)或某1段 我們來(lái)看1個(gè)設(shè)置IP標(biāo)準(zhǔn)ACL的實(shí)例: router有3個(gè)LAN的連接1個(gè)Inter的連接.現(xiàn)在,銷(xiāo)售部的用戶(hù)不允許訪問(wèn)金融部的用戶(hù),但是允許他們?cè)L問(wèn)市場(chǎng)部和Inter連接.配置如下: Router(config)#aess-list 10 deny 55 Router(config)#aess-list 10 permit any 注意隱含的deny any,所以末尾這里我們要加上permit any,any等同于 55.接下來(lái)把AC

6、L應(yīng)用在接口上,之前說(shuō)過(guò)了盡可能的把IP標(biāo)準(zhǔn)ACL放置在離目標(biāo)地址近的地方,所以使用ip aess-group命令把ACL 10放在E1接口,方向?yàn)槌?即out.如下: Router(config)#int e1 Router(config-if)#ip aess-group 10 out Controlling VTY(Tel) Aess 使用IP標(biāo)準(zhǔn)ACL來(lái)控制VTY線路的訪問(wèn).配置步驟如下: 1.創(chuàng)建個(gè)IP標(biāo)準(zhǔn)ACL來(lái)允許某些主機(jī)可以tel 2.使用aess-class命令來(lái)應(yīng)用ACL到VTY線路上 實(shí)例如下: Router(config)#aess-list 50 permit 172

7、.16.10.3 Router(config)#line vty 0 4 Router(config-line)#aess-class 50 in 如上,進(jìn)入VTY線路模式,應(yīng)用ACL,方向?yàn)檫M(jìn)來(lái),即in.因?yàn)槟J(rèn)隱含的deny any,所以上面的例子,只允許IP地址為的主機(jī)tel到router上 Extended Aess Lists 擴(kuò)展ACL:命令是aess-list ACL號(hào) permit/deny 協(xié)議 源地址 目標(biāo)地址 操作符 端口 log.ACL號(hào)的范圍是100到199和2000到2699;協(xié)議為T(mén)CP,UDP等,操作符號(hào)有eq(表等于),gt(大于),lt

8、(小于)和neq(非等于)等等;log為可選,表示符合這個(gè)ACL,就記錄下這些日志 來(lái)看1個(gè)配置擴(kuò)展ACL的實(shí)例: 假如要拒tel和FTP到絕位于金融部的主機(jī),配置如下: Router(config)#aess-list 110 deny tcp any host eq 21 Router(config)#aess-list 110 deny tcp any host eq 23 Router(config)#aess-list 110 permit ip any any 記住默認(rèn)隱含的deny all.應(yīng)用到E1接口,注意

9、方向?yàn)閛ut,如下: Router(config)#int e1 Router(config-if)#ip aess-group 110 out Named Aess Lists 命名訪問(wèn)列表是創(chuàng)建標(biāo)準(zhǔn)和擴(kuò)展訪問(wèn)列表的另外1種方法.它允許你使用命名的方法來(lái)創(chuàng)建和應(yīng)用標(biāo)準(zhǔn)或者擴(kuò)展訪問(wèn)列表.使用ip aess-list命令來(lái)創(chuàng)建,如下: Router(config)#ip aess-list ? extended Extended A logging Control aess list logging standard Standard Aess List Router(config)#ip ae

10、ss-list standard ? Standard IP aess-list number WORD Aess-list name Router(config)#ip aess-list standard BlockSales Router(config-std-nacl)#? Standard Aess List configuration _nds: default Set a _nd to its defaults deny Specify packets to reject exit Exit from aess-list configuration mode no Negate

11、a _nd or set its default permit Specify packets to forward Router(config-std-nacl)#deny 55 Router(config-std-nacl)#permit any Router(config-std-nacl)#exit Router(config)#Z Router#sh run (略) ! ip aess-list standard BlockSales deny 55 permit any ! (略) 接下來(lái)應(yīng)用到接口上,如下: Router(config)#int 1 Router(config-if)#ip aess-group BlockSales out Router(config-if)#Z Router# Monitoring Aess Lists 一些驗(yàn)證ACL的命令,如下: 1.show aess-list:顯示router上配置了的所有的ACL信息,但是不顯示哪個(gè)接口應(yīng)用了哪個(gè)ACL的信息 2.show aess-list number:顯示具體第幾號(hào)ACL信息,也不顯示哪

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論