文档介绍:访问控制列表
用途很广,很多方面都要用到ACL。
实现网络的安全访问,对访问网络的流量进行过滤;
网络地址转换(NAT);
QOS及策略路由。
策略:( 是销售部经理),其他不允许访问财务.
●标准访问控制列表:
Router(config)#access-list 编号策略源地址
编号: --- 99表示
策略: permit允许| deny 拒绝
源地址:要严格检查的地址( IP+通配符掩码)
通配符掩码-----是用来限定特定的地址范围(反掩码)
用0 表示严格匹配
用1 表示不检查
(为了确定一个具体的主机地址是否匹配条件。路由器必须检查IP地址的每一位 32 比特。
路由器是怎么知道要检查比特位是多少------通配符掩码)定义了我们要检查IP地址的位数。
例如: 通配符掩码 32位都要检查
对于主网 通配符掩码 检查16位
对于子网 通配符掩码 24位要检查
任意的 通配符掩码 不检查
主机----host 任意----any 表示
练习:
子网掩码:
网络号: ()
广播地址: (下一个网络号-1)
通配符掩码 (比较前28位)
通配符掩码= - 子网掩码也称为反掩码
与接口关联访问控制列表
Router(config-if)#ip access- group 编号{in|out}
编号: 与该接口关联的访问控制列表号码
{in|out} 表明在哪个方向上的数据进行控制
下面来写出上面的策略
:Router(config)#access-list 1 permit host
Router(config)#access-list 1 permit
(表示两台主机允许)
(Router(config)#access-list 1 deny any)
系统默认拒绝所有
:Router(config)#interface f0/0
Router(config-if)#ip access-group 1 in
测试—是否可以控制访问 ping 网段上的主机不通
(表明访问控制列表可以对流量进行控制)
访问控制列表的执行过程
从上到下,逐条执行
严格语句写在上面
如果: 允许少-----先允许,后拒绝所有
拒绝少-----先拒绝,后允许所有
访问控制列表检查数据包的过程: 从上到下,逐条执行。
●扩展的访问控制列表
标准访问控制列表只能根据源地址来检查数据包,它允许/