文档介绍:访问控制列表
完成本章的学****后,您可以完成下面的任务:
配置基本及扩展的访问控制列表
监视访问控制列表的操作
目标
访问控制列表概述
为什么使用访问控制列表
以信息包作为检测流量的单位
为什么使用访问控制列表(续)
采用访问控制列表为DDR路由
定义“感兴趣的包”
数据包
到达
S0
是否激活DDR发送数据?
公共电话
交换网
PSTN
标准访问控制列表
只根据地址进行转发
往往拒绝或允许整个协议族的包
扩展访问控制列表
可根据复杂的地址类型进行包的过滤
可根据具体的协议进行过滤
什么是访问控制?
Optional
Dialer
Outgoing
Packet
E0
S0
ing
Packet
Access List Processes
Permit?
Source
and �Destination
Protocol
访问控制列表是怎样工作的
不允许的数据包
入口
出口
Packets
Packet Discard Bucket
Packet
Packet
比较ACL
是否匹配
Permit
?
Y
N
选择对
应接口
N
Y
是否
配置了
Access
List
?
Y
N
Notify Sender
目标地址
是否存在
路由表
?
比较
第一
条ACL
?
数据包进入端口
包被
丢弃
Y
目的端口
Deny
Deny
Permit
Y
比较
下一
条ACL
?
N
Permit
Y
Deny
Y
Y
N
Permit
Deny
比较
最后一
条ACL
?
Y
N
默认
丢弃
包被拒绝或允许的过程
第一步: 设定访问控制列表的参数
access-list access-list-number { permit | deny } { test conditions }
Router(config)#
第二步: 指定访问控制列表的作用范围
{ protocol } access-group access-list-number [in | out]
Router(config-if)#
访问控制列表命令一览
访问控制列表用编号进行区分
数字范围/标识
IP
1-99
100-199
Named (Cisco IOS and later)
怎样识别访问控制列表
列表号代表了所应用的协议及类型
其它的协议使用剩余的列表号
800-899
900-999
1000-1099
Named (Cisco IOS . F and later)
Standard
Extended
SAP filters
Standard
Extended
访问控制列表类型
600-699
IPX
AppleTalk