當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

CCNA学习笔记12---黄毛丫头篇(访问控制列表)

發布時間：2025/1/21 编程问答 52 豆豆

生活随笔收集整理的這篇文章主要介紹了 CCNA学习笔记12---黄毛丫头篇(访问控制列表) 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

ACL(access control list)
為什么要使用訪問控制列表：
1、管理網絡中逐步增長的IP數據
2、當數據經過路由器時進行過濾

限制網絡流量，提高網絡性能
提供數據流量控制
為網絡訪問提供基本的安全層
決定轉發或者阻止哪些類型的數據流

通配符掩碼位設成0則表示精確匹配。
通配符掩碼位設成1則表示任意匹配。

標準ACL：
1、檢查源地址
2、通常允許、拒絕的是完整的協議
3、可以使用列表號：1-99、1300-1999
4、標準的訪問控制列表只對源地址進行控制
5、列表放置的位置：
???? R1? (fa0/0)?-------------(fa0/0)R2(fa0/1)------(fa0/0)R3?? (由于此處的圖沒辦法貼過來，大家可以看這個標記想象)

從源到目標的方向是：R1的fa0/0-----out---------->在此接口調用將不起作用，原因是訪問控制列表僅對穿越路由器的數據包進行過濾，
????????對本路由器起源的數據包不作過濾。
????? R2的fa0/0-----in------------>結果起作用，但是R1在不能訪問R3的同時也不能訪問R2了
????????? ?fa0/1-----out---------->結果正確
????? R3的fa0/0------in----------->結果正確
? 結論：標準訪問控制列表要盡量應用在靠近目標端

擴展ACL：
1、檢查源地址和目的地址
2、通常允許、拒絕的是某個特定的協議
3、可以使用列表號：100-199、2000-2699
4、擴展訪問列表既可以控制源地址，又可以控制目標地址
5、列表放置的位置：
?R1? (fa0/0)?-------------(fa0/0)R2(fa0/1)------(fa0/0)R3???????????????????????

從源到目標的方向是：R1的fa0/0-----out---------->在此接口調用將不起作用，原因是訪問控制列表僅對穿越路由器的數據包進行過濾，
????????對本路由器起源的數據包不作過濾。
????? R2的fa0/0-----in------------>結果正確，且無其他影響
????????? ?fa0/1-----out---------->結果正確，且無其他影響
????? R3的fa0/0------in----------->結果正確，且無其他影響
結論：擴展訪問控制列表要盡量應用在靠近源端，這樣可以使一些非法的流量被盡早丟棄，節省中間設備的貸款和CPU資源

訪問列表的比較規則：
1、如果一個訪問列表有多行語句，通常按順序從第一條開始比較，然后再往下一條條比較。
2、一個數據包如果與訪問列表的一行匹配，則按規定進行操作，不再進行后續的比較。
3、在每個訪問列表的最后一行是隱含的deny any語句--意味著如果數據包與所有行都不配的話，將被丟棄。

標準ACL配置：
1、創建ACL
?access-list?? access-list-number???? {deny|permit}??????? {source[source-wildcard] | any}??? [log]
例：R3(config)#access-list?? 1?? deny? 12.1.1.1
????? R3(config)#access-list?? 1 permit? any?????????????????? ------這一行不能省略，因為訪問控制最后隱含了一條deny any的規則。
注意:這兩行順序不能顛倒
2、應用ACL
???? R3(config)#int?? s1/0
???? R3(config-if)#ip? access-group? 1? in????????????????? -------在接口下調用訪問控制列表1 ，針對的是R3的s1/0口的in方向

擴展ACL配置：
1、創建ACL
例：R3(config)#access-list?? 100?? deny??? tcp????? host?? 12.1.1.1?? host?? 23.1.1.3???? eq??? telnet
?????? 協議?????????? 源地址???????????? 目標地址???????????????? telnet使用的是tcp協議，此處也可寫telnet的端口號23
????? R3(config)#access-list?? 100? permit?? ip? any?? any?????????????????? ------隱含的是拒絕所有，這一行的作用是允許其他所有的IP流量
注意:這兩行順序不能顛倒
2、應用ACL
???? R3(config)#int?? s1/0
???? R3(config-if)#ip? access-group? 100? in????????????????? -------在接口下調用訪問控制列表1 ，針對的是R3的s1/0口的in方向

查看命令：
show ip access-list
show ip interface??

在VTY下使用：在vty下調用是過濾telnet流量

R1(config)#access-list?? 10?? permit??? 192.168.1.1
R1(config)#line?? vty?? 0?? 4
R1(config-line)#access-class?? 10??? in

在VTY只能調用標準列表，擴展列表不起作用

轉載于:https://blog.51cto.com/huangmaokid/388178

總結

以上是生活随笔為你收集整理的CCNA学习笔记12---黄毛丫头篇(访问控制列表)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇： InfoWorld的日志管理系统评测
下一篇： Aviator（表达式执行引擎）发布1.