訪問控制列表ios指令
訪問控制列表的查、刪
實驗使用 packet tracer
訪問控制列表(access control lists,acl)是應用在路由器介面的指令列表
指令列表用來指明經過路由器的資料報是接收還是拒絕,起到了資料報的過濾功能
標準訪問控制列表
限制檢查資料報的源位址
允許或拒絕的是完整的(全部的)協議
擴充套件訪問控制列表
限制檢查資料報的源位址和目的位址
允許或拒絕的是某個特定的協議
進方向:在資料報進入路由器之前進行檢查,檢查通過才能進行路由和**;即先處理再路由
出方向:在資料報將要**時進行檢查,檢查通過才進行**;即先路由再處理
1.資料報到達路由器的埠後與訪問控制列表的第一行設定的位址進行匹配
2.若匹配成功,根據列表限制處理該資料報
3.若匹配不成功,繼續與下一行設定的位址進行匹配
以此迴圈進行
訪問控制列表工作流程圖:
訪問控制列表的內容 即列表項的順序 決定了控制順序
訪問控制列表只能過濾經過路由器的資料報,無法過濾由路由器產生的資料報
無法刪除列表的某一行,要想刪除必須刪除整個列表重新建立(命名列表暫不涉及)
隱含一條拒絕所有的語句,每個資料報一定能夠找到一條匹配的語句
每個方向、每個介面、每個協議只能對應一條訪問列表
踩坑:同一介面同一方向的不同協議寫在一條訪問列表裡(理解為優先順序 方向=介面》協議)
用點分十進位制表示(可以理解為子網掩碼的補碼)
二進位制0表示檢查相應的位址位是否匹配
二進位制1表示忽略相應的位址位是否匹配
八位全0 即0 表示每一位都要匹配(精確匹配)
八位全1 即255 表示位址位可以為任意值
(與訪問控制列表的特點相匹配)
先建立訪問控制列表再把訪問控制列表繫結到路由器介面
較為嚴格的限制條件放在訪問列表所有語句的最上面
每個方向、每個介面、每個協議只能對應一條訪問列表
訪問控制列表中不能只有deny語句或至少有一條允許語句,否則所有的資料報都將被拒絕
通常在沒有指定目的位址和沒有指定特定協議時使用
指令
(config)# access-list number source 訪問控制列表的設定
(config-if)# ip access-group 訪問控制列表繫結到介面
number表示訪問控制列表的編號從1-99中選擇
permit | deny表示控制是接收還是拒絕
source表示目的位址的ip和萬用字元掩碼any表示所有
in | out表示時進方向檢查還是出方向檢查
特殊控制虛擬通道訪問
虛擬通道 vty(virtual teletype terminal)
作用:通過telnet遠端登入並管理路由或交換
指令
(config)# line vty 選定虛擬通道範圍
(config-line)# access-class number 訪問控制列表繫結到通道
指令
(config)# access-list number protocol source destination 設定
(config-if)# ip access-group access-list-number 訪問控制列表繫結到介面
number從100-199中選擇;
protocol設定檢查限制的協議型別:
1.ip 表示檢查限制所有協議(類似於標準訪問控制列表)
2.tcp,udp等 表示檢查限制tcp、udp等特定的協議
source表示源位址的ip和萬用字元掩碼;
destination表示目的位址的ip和萬用字元掩碼;
operation設定服務的埠號eq 等於; gt 大於; lt 小於;
port服務的埠號 可以直接用埠號也可以用服務型別
查詢:show access-lists
刪除:no access-list number
修改:刪除整個列表重新建立
計算機網路工程課程設計
安陽某高階中學校園網設計 1 調查某高中校園網使用者需求 從校園規模,功能劃分,安全需求入手。2 分析設計該校,制訂拓撲結構,提出校園設計規劃方案。3 依據規劃,進行裝置選型。4 在模擬平台上進行校園網組建和測試工作 系統 windows 10 軟體 華為ensp模擬器 技術運用 ospf,stp,...
計算機網路課程筆記(三)
分層原則 實體每一層上的活動元素,包括實現該層功能的所有硬體與軟體。對等實體 相互通訊的兩個不同節點上位於同一層次 完成相同功能的實體。介面 同一節點內相鄰層之間交換資訊的連線點,下層通過介面向相鄰上層提供服務。通過定義服務及原語操作實現,但服務的實現細節對上層是透明的 不可見的 只要介面條件不變,...
計算機網路筆記 計算機網路學習筆記 九
81 什麼是組播路由?組播路由是一種有針對性的廣播形式,將訊息傳送到所選擇的使用者組,而不是將其傳送到子網上的所有使用者。82 加密在網路上的重要性是什麼?加密是將資訊轉換成使用者不可讀的 的過程。然後使用秘密金鑰或密碼將其翻譯或解密回其正常可讀格式。加密有助於確保中途截獲的資訊仍然不可讀,因為使用...