您的位置:360文档中心› ACL知识点详解

ACL知识点详解

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

A C L知识点详解

-标准化文件发布号:(9556-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

第一节TCP/IP传输层与应用层TCP/IP OSI

TCP/IP:网络访问层协议

1~3章

第7 章

TCP/IP:互联网络层协议

5~6章

Internet层的功能

10.20.30.2/24172.16.1.2/24172.31.255.2/24

●互联网络层给每个网络的每台网络设备和主机配置所属的IP地址,实现逻辑寻址。

●能够建立网络与网络、主机与主机之间的连通性,但不保证数据传输的可靠性。

TCP/IP:传输层协议

●传输控制协议(TCP)

✓面向连接,每传输一个数

据分段,都建立一个连接

✓可靠的传输

●用户数据报协议(UDP)

✓无连接,将数据分段发送

出去后不确认对方是否已接

收到

✓不可靠,需要应用层协议

提供可靠性

TCP 与UDP 协议

●TCP与UDP协议使用端口号来区分主机上同一时间的不同会话。

●TCP端口号范围为:0~65535

●UDP端口号范围为:0~65535

●传输层提供从源主机到目的主机的传输服务,在网络端点之间建立逻辑连接。

●传输层TCP协议能够实现数据传输的可靠性。

●传输层能够实现数据传输时的流控制。

主机之间的多会话

●一台服务器可能提供多种服务,如Web和FTP ,在传输层用端口来区分每个应用服务。

●客户端也需要向多个目的发送不同的数据连接,使用端口区分每个连接。

●服务器使用知名端口号0~1023 提供服务。

●客户端使用高于1023的随机端口号作为源端口对外发起数据连接请求,并为每一个连接分配不

TCP/IP:应用层协议

●Web服务:

HTTP ---TCP 80 号端口

●文件传输服务:

FTP ---TCP 20、21 号端口

TFTP ---UDP 69 号端口

●电子邮件服务:

SMTP ---TCP 25 号端口

POP3 ---TCP 110 号端口

IMAP4 ---TCP 143 号端口

●域名服务:

DNS ---TCP、UDP 53 号端口

●远程登录:

Telnet ---TCP 23 号端口

SSH ---TCP 22 号端口

●网络管理:

SNMP ---UDP 161 号端口

第二节访问控制列表

问题1

能否实现以下限制:除了老板以外,其他员工只能访问互联网Web、FTP和电子邮件等常用服务,拒绝BT、电驴、在线电影、网

络游戏甚至QQ、MSN等与工作

无关的数据。

10.1.1.0/24172.16.1.0/24

172.16.2.0/2410.1.2.0/24

192.168.1.0/30R1R2

.1

.1

.1.2

.1.1172.16.1.8/24172.16.1.9/24财务应用服务器

财务数据库服务器

深圳

上海财务部分公司财务部不可以访问财务数据库服务器

财务部

ACL 的作用

●ACL (Access Control List ,访问控制列表

先看一个简单的ACL 例子

172.16.1.0/24172.16.2.0/24

R1

172.16.1.8/24

财务应用服务器

R1(config)# ip access-list standard permit_172.16.2.2R1(config-std-nacl)# permit 172.16.2.3 0.0.0.0

172.16.1.9/24财务数据库服务器

.1.1172.16.2.2/24172.16.2.3/24

标准ACL 的语法

●Router(config)# ip access-list standard 访问控制列表名字(创建命名访问控制列表)

将ACL应用到接口上

●R1(config)# interface e1

R1(config-if)# ip access-group permit_172.16.2.2out

两种应用方式

●R1(config)# interface e1

172.16.1.0/24172.16.2.0/24

R1

172.16.1.8/24

财务应用服务器

172.16.1.9/24财务数据库服务器

.1.1172.16.2.2/24172.16.2.3/24

路由器使用ACL 处理数据包的过程

路由器使用ACL处理数据包的过程•当一个数据包进入到路由器的一个接口时,路由器首先看在该接口的入站“in”方向有没有配置ACL,如果配置了,就按照ACL一条一条地判断,决定是否允许数据包进入;如果没有配置ACL,则直接允许进入接口。

•路由器根据路由选择表把数据包转发到出口接口,这个过程ACL不起作用。

•数据包准备从一个接口出去时,路由器再看在该接口的出站“out”方向有没有配置ACL,如果配置了,就按照ACL一条一条地判断,决定是否允许数据包离开;如果没有配置ACL,则直接放行。

“any”和“host”

●R1(config-std-nacl)# permit 172.16.2.3 0.0.0.0

●表示允许主机172.16.2.3(子网掩码是255.255.255.255,反掩码就是0.0.0.0),可以使用“host”表示一台主机。

●R1(config-std-nacl)# permit host 172.16.2.3

●R1(config-std-nacl)# deny 0.0.0.0 255.255.255.255●表示拒绝所有的网络0.0.0.0(子网掩码是0.0.0.0,反掩码就是255.255.255.255),可以使用“any”表示任何网络,即所有IP。

●R1(config-std-nacl)# deny any

相关文档
最新文档