文档介绍:访问控制列表
ISSUE
学习完本课程,您应该能够:
理解访问控制列表的基本原理
学习目标
IP包过滤技术介绍
对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。
公司总部
内部网络
未授权用户
办事处
访问控制列表的作用
访问控制列表可以用于防火墙;
访问控制列表可以用于Qos(Quality of Service),对数据流量进行控制;
中,访问控制列表还可用来规定触发拨号的条件;
访问控制列表还可以用于地址转换;
在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。
访问控制列表是什么?
一个IP数据包如下图所示(图中IP所承载的上层协议为TCP/UDP):
IP报头
TCP/UDP报头
数据
协议号
源地址
目的地址
源端口
目的端口
对于TCP/UDP来说,这5个元素组成了一个TCP/UDP相关,访问控制列表就是利用这些元素定义的规则
如何标识访问控制列表?
利用数字标识访问控制列表
利用数字范围标识访问控制列表的种类
列表的种类
数字标识的范围
IP standard list
2000-2999
IP extended list
3000-3999
标准访问控制列表
标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝。
!
!
路由器
标准访问控制列表的配置
配置标准访问列表的命令格式如下:
acl acl-number [ match-order auto | config ]
rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ]
怎样利用 IP 地址和
反掩码wildcard-mask 来表示
一个网段?
如何使用反掩码
反掩码和子网掩码相似,但写法不同:
0表示需要比较
1表示忽略比较
反掩码和IP地址结合使用,可以描述一个地址范围。
0
0
0
255
只比较前24位
0
0
3
255
只比较前22位
0
255
255
255
只比较前8位
扩展访问控制列表
扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。
,,
使用TCP协议,
利用HTTP访问的
数据包可以通过!
路由器