CCNA学习笔记12---黄毛丫头篇(访问控制列表)
ACL(access control list)
为什么要使用访问控制列表:
1、管理网络中逐步增长的IP数据
2、当数据经过路由器时进行过滤
限制网络流量,提高网络性能
提供数据流量控制
为网络访问提供基本的安全层
决定转发或者阻止哪些类型的数据流
通配符掩码位设成0则表示精确匹配。
通配符掩码位设成1则表示任意匹配。
标准ACL:
1、检查源地址
2、通常允许、拒绝的是完整的协议
3、可以使用列表号:1-99、1300-1999
4、标准的访问控制列表只对源地址进行控制
5、列表放置的位置:
R1 (fa0/0) -------------(fa0/0)R2(fa0/1)------(fa0/0)R3 (由于此处的图没办法贴过来,大家可以看这个标记想象)
从源到目标的方向是:R1的fa0/0-----out---------->在此接口调用将不起作用,原因是访问控制列表仅对穿越路由器的数据包进行过滤,
对本路由器起源的数据包不作过滤。
R2的fa0/0-----in------------>结果起作用,但是R1在不能访问R3的同时也不能访问R2了
fa0/1-----out---------->结果正确
R3的fa0/0------in----------->结果正确
结论:标准访问控制列表要尽量应用在靠近目标端
扩展ACL:
1、检查源地址和目的地址
2、通常允许、拒绝的是某个特定的协议
3、可以使用列表号:100-199、2000-2699
4、扩展访问列表既可以控制源地址,又可以控制目标地址
5、列表放置的位置:
R1 (fa0/0) -------------(fa0/0)R2(fa0/1)------(fa0/0)R3
从源到目标的方向是:R1的fa0/0-----out---------->在此接口调用将不起作用,原因是访问控制列表仅对穿越路由器的数据包进行过滤,
对本路由器起源的数据包不作过滤。
R2的fa0/0-----in------------>结果正确,且无其他影响
fa0/1-----out---------->结果正确,且无其他影响
R3的fa0/0------in----------->结果正确,且无其他影响
结论:扩展访问控制列表要尽量应用在靠近源端,这样可以使一些非法的流量被尽早丢弃,节省中间设备的贷款和CPU资源
访问列表的比较规则:
1、如果一个访问列表有多行语句,通常按顺序从第一条开始比较,然后再往下一条条比较。
2、一个数据包如果与访问列表的一行匹配,则按规定进行操作,不再进行后续的比较。
3、在每个访问列表的最后一行是隐含的deny any语句--意味着如果数据包与所有行都不配的话,将被丢弃。
标准ACL配置:
1、创建ACL
access-list access-list-number {deny|permit} {source[source-wildcard] | any} [log]
例:R3(config)#access-list 1 deny 12.1.1.1
R3(config)#access-list 1 permit any ------这一行不能省略,因为访问控制 最后隐含了一条deny any的规则。
注意:这两行顺序不能颠倒
2、应用ACL
R3(config)#int s1/0
R3(config-if)#ip access-group 1 in -------在接口下调用访问控制列表1 ,针对的是R3的s1/0口的in方向
扩展ACL配置:
1、创建ACL
例:R3(config)#access-list 100 deny tcp host 12.1.1.1 host 23.1.1.3 eq telnet
协议 源地址 目标地址 telnet使用的是tcp协议,此处也可写telnet的端口号23
R3(config)#access-list 100 permit ip any any ------隐含的是拒绝所有,这一行的作用是允许其他所有的IP流量
注意:这两行顺序不能颠倒
2、应用ACL
R3(config)#int s1/0
R3(config-if)#ip access-group 100 in -------在接口下调用访问控制列表1 ,针对的是R3的s1/0口的in方向
查看命令:
show ip access-list
show ip interface
在VTY下使用:在vty下调用是过滤telnet流量
R1(config)#access-list 10 permit 192.168.1.1
R1(config)#line vty 0 4
R1(config-line)#access-class 10 in
在VTY只能调用标准列表,扩展列表不起作用
转载于:https://blog.51cto.com/huangmaokid/388178
CCNA学习笔记12---黄毛丫头篇(访问控制列表)相关推荐
- 软件测试工程师学习笔记12 - 数据库篇
软件测试工程师学习笔记 -12 一.入门必读 二.Linux 三.数据库 1.MySQL基础 1)别名与重复记录 2)条件查询 3)聚合函数 4)数据分组 5)一个练习 6)分组后的数据筛选 7)数据 ...
- flink1.12.0学习笔记第2篇-流批一体API
flink1.12.0学习笔记第 2 篇-流批一体API flink1.12.0学习笔记第1篇-部署与入门 flink1.12.0学习笔记第2篇-流批一体API flink1.12.0学习笔记第3篇- ...
- flink1.12.0学习笔记第1篇-部署与入门
flink1.12.0学习笔记第 1 篇-部署与入门 flink1.12.0学习笔记第1篇-部署与入门 flink1.12.0学习笔记第2篇-流批一体API flink1.12.0学习笔记第3篇-高级 ...
- Kotlin学习笔记12——数据类和密封类
Kotlin学习笔记12--数据类和密封类 前言 数据类 在类体中声明的属性 复制 componentN 解构声明 密封类 尾巴 前言 上一篇,我们学习了Kotlin中的拓展,今天继续来学习Kotli ...
- Redis学习笔记1-理论篇
目录 1,Redis 数据类型的底层结构 1.1,Redis 中的数据类型 1.2,全局哈希表 1.3,数据类型的底层结构 1.4,哈希冲突 1.5,rehash 操作 2,Redis 的 IO 模型 ...
- 设计模式学习笔记(目录篇)
设计模式学习笔记(目录篇) 为了方便查看,特此将设计模式学习笔记系列单独做一个目录. 1 设计模式学习笔记(一:命令模式) 2 设计模式学习笔记(二:观察者模式) 3 设计模式学习笔记(三 ...
- 树莓派4B学习笔记——IO通信篇(UART)
文章目录 UART简介 树莓派使用UART与串口屏通信 串口屏简介 硬件连接 配置串口接口 树莓派打开UART接口 树莓派安装串口调试助手 编程实现 wiringSerial.h Serial简介 C ...
- jqGrid 学习笔记整理——基础篇
jqGrid 学习笔记整理--基础篇 jqGrid 实例中文版网址:http://blog.mn886.net/jqGrid/ 国外官网:http://www.trirand.com/blog/ 本人 ...
- jqGrid 学习笔记整理——进阶篇(一 )
jqGrid 学习笔记整理--进阶篇(一 ) 本篇为基础篇的扩展,使其具有增.删.改.查的基本功能. 在浏览导航栏添加所需按钮 <!DOCTYPE html> <html>&l ...
- Java学习笔记之基础篇
Java学习笔记之基础篇 目录 Java如何体现平台的无关性? 面向对象(OO)的理解 面向对象和面向过程编程的区别 面向对象三大特征 静态绑定和动态绑定(后期绑定) 延伸:类之间的关系 组合(聚合) ...
最新文章
- 【题解】P3052 [USACO12MAR]摩天大楼里的奶牛Cows in a Skyscraper
- 第一篇:Mysql数据类型
- 获取自定义组件的宽度和高度
- MSVCRTD.lib(crtexew.obj) : error LNK2019: 无法解析的外部符号 _WinMain@16
- 用Unity开发一款塔防游戏(一):攻击方设计
- C语言 数据结构 二叉树实现、二叉树的三种递归遍历
- Adadelta原文解读
- jzoj3170-[GDOI2013模拟4]挑选玩具【容斥,状态压缩,分治】
- 30 校准_校准or质控,傻傻分不清楚
- [vue] $nextTick有什么作用?
- 最流畅的手机,性能、跑分却弱爆了?2019年上半年手机数据报告出炉
- 判断Windows操作系统版本
- 读书笔记 计算机系统--系统架构与操作系统的高度集成 第二章处理器体系结构...
- HTTP URL长度限制
- 面试 SQL整理 必考的SQL面试题:经典20题
- 三、判断三元一次方程组是否有解及求解——(计算糖果)
- Linux虚拟内存空间分布
- 力扣 299 猜数字游戏(java)
- 工程流体力学笔记暂记10(动量矩方程)
- ajax用户名注册自动刷新,ajax+jsp实现 无刷新页面下注册时检测用户名是否已存在...