acl访问控制技术

资源ID：58258865 资源大小：784KB 全文页数：76页
资源格式： PPT 下载积分：10金贝

快捷下载

账号登录下载

微信登录下载

三方登录下载：

微信扫一扫登录

下载资源需要10金贝

邮箱/手机：
温馨提示：	快捷下载时，用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）。如填写123，账号就是123，密码也是123。
支付方式：
验证码：	换一换

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？

1、金锄头文库是“C2C”交易模式，即卖家上传的文档直接由买家下载，本站只是中间服务平台，本站所有文档下载所得的收益全部归上传人（卖家）所有，作为网络服务商，若您的权利被侵害请及时联系右侧客服；
2、如你看到网页展示的文档有jinchutou.com水印，是因预览和防盗链等技术需要对部份页面进行转换压缩成图而已，我们并不对上传的文档进行任何编辑或修改，文档下载后都不会有jinchutou.com水印标识，下载后原文更清晰；
3、所有的PPT和DOC文档都被视为“模板”，允许上传人保留章节、目录结构的情况下删减部份的内容；下载前须认真查看，确认无误后再购买；
4、文档大部份都是可以预览的，金锄头文库作为内容存储提供商，无法对各卖家所售文档的真实性、完整性、准确性以及专业性等问题提供审核和保证，请慎重购买；
5、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确)，网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据；
6、如果您还有什么不清楚的或需要我们协助，可以点击右侧栏的客服。

下载须知 | 常见问题汇总

1、会员注册 2、如何支付与充值 3、个人资料信息修改 4、我的收藏和“收藏文件夹” 5、我的读者群和加入读者群 6、我的书签 7、金锄头文库批量上传工具（绿色版）V1.0 8、下载文档（资源）相关问题整理 9、解决下载文档时，自动弹出迅雷的问题 10、下载时为什么支付不成功？

acl访问控制技术

第9章 ACL访问控制技术,2,本章学习内容,9.1 ACL概述 9.1.1 什么是ACL 9.1.2 ACL的访问顺序（难点） 9.1.3 ACL的分类 9.2 ACL的基本配置举例 9.2.1 标准ACL配置举例(重点) 9.2.3 扩展ACL配置举例（重难点） 9.3 本章命令汇总,要求：PC1所在网络能访问PC3，PC2所在网络不能访问PC3。,要求：PC1所在网络仅能访问PC2的WWW服务器，PC3所在网络仅能访问PC2的FTP服务器，其他计算机都不能访问PC2服务器。,5,9.1 ACL 概述,访问控制列表（Access Control List，简称ACL）网络操作系统所提供的一种访问控制技术。 ACL原理ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。功能保护资源、阻止非法用户对资源的访问；限制特定用户对资源的访问权限。使用范围路由器、三层交换机、部分最新的二层交换机都提供ACL支持。,ACL语句举例：,RA(config)#access-list 1 permit 192.168.0.0 0.0.0.255 RA(config)#access-list 1 permit 10.0.0.0 0.0.0.255,ip access-list extend server-protect Peimit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 Permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq 80 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq 21,7,配置ACL的基本原则：,（1）最小特权原则：只给受控对象完成任务所必需的最小的权限；（2）最靠近受控对象原则：所有的网络层访问权限控制尽可能离受控对象最近。,8,ACL语句的增加与删除,ACL由一系列访问控制语句组成。当创建一个ACL列表后，新增加的语句总是放到列表最后。无法删除某一条ACL语句，只能删除整个ACL列表。,9,ACL的访问顺序,按照语句顺序，根据判定条件对数据包进行检查。一旦找到了匹配条件就结束比较过程，不再检查后面的判断条件。如果所有条件语句都不匹配，则在最后强加一条拒绝全部流量的隐含语句，即总是拒绝所有流量。,10,ACL访问顺序示例,ip access-list extend server-protect Permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq 80 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 ep 21 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 Peimit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 Deny ip 10.1.0.0 0.0.255.255 any,能否拒绝10.1.6.0网络中主机访问主机10.1.2.21:1521？,ip access-list extend server-protect Peimit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 Permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq 80 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq 21,ACL语句定义顺序：先小范围精确匹配，再大范围匹配。,13,ACL的分类,1标准ACL（standard ACL） 2扩展ACL（extended ACL） 3命名ACL 4基于时间的访问控制列表,14,1. 标准ACL,标准ACL：使用IP包中的源IP地址进行过滤。在思科的路由器上使用的ACL编号为199以及13001999。,15,1.标准ACL的配置,第一步，定义访问控制列表，命令如下：Router(config)# access-list access-list-number permit | deny source source-wildcard log第二步，把标准 ACL应用到一个具体接口。,16,1.标准ACL的配置,第一步，定义访问控制列表，命令如下：Router(config)# access-list access-list-number permit | deny source source-wildcard log,标准ACL编号199，13001999,源地址,通配符掩码。 0检查相应位；1不检查相应位。 Any表示0.0.0.0 255.255.255.255 Host 172.30.16.29 表示172.30.16.29 0.0.0.0,源地址,通配符掩码。 0检查相应位；1不检查相应位。 Any表示0.0.0.0 255.255.255.255 Host 172.30.16.29 表示172.30.16.29 0.0.0.0,源地址,通配符掩码。 0检查相应位；1不检查相应位。 Any表示0.0.0.0 255.255.255.255 Host 172.30.16.29 表示172.30.16.29 0.0.0.0,17,1.标准ACL的配置,第一步，定义访问控制列表，命令如下：Router(config)# access-list access-list-number permit | deny source source-wildcard log,生成日志文件,18,1.标准ACL的配置,第二步，把标准 ACL应用到一个具体接口：Router(config)# int interfaceRouter(config-if)# protocol access-group access-list-number in | out,例如：,Router(config)# access-list 1 permit 10.0.0.0 0.255.255.255 /允许源地址为10.0.0.0网段的数据通过 Router(config)# int s1/1 Router(config-if)# ip access-group 1 out,19,2. 扩展ACL,扩展ACL：可以控制源IP，目的IP，源端口，目的端口等。在思科路由器上，扩展ACL的编号为100199以及20002699。缺点在没有硬件ACL加速的情况下，消耗大量的路由器CPU资源。中低档路由器上尽量减少扩展ACL的条目数。,20,2.扩展ACL的配置,第一步，定义访问控制列表，命令： Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log 第二步，把扩展 ACL应用到一个具体接口：,21,2.扩展ACL的配置,第一步，定义访问控制列表，命令： Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log,扩展ACL编号100199，20002699,22,2.扩展ACL的配置,第一步，定义访问控制列表，命令： Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log,指定协议类型IP, TCP, UDP, ICMP等,23,2.扩展ACL的配置,第一步，定义访问控制列表，命令： Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log,源地址及通配符掩码。 0检查相应位；1不检查相应位。 Any表示0.0.0.0 255.255.255.255 Host 172.30.16.29 表示172.30.16.29 0.0.0.0,24,2.扩展ACL的配置第一步,第一步，定义访问控制列表，命令： Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log 第二步，把扩展 ACL应用到一个具体接口：,目的地址，通配符掩码, 0检查,1不检查,25,2.扩展ACL的配置第一步,第一步，定义访问控制列表，命令： Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log 第二步，把扩展 ACL应用到一个具体接口：,lt, gt, eq, neq (小于, 大于, 等于, 不等于),一个端口号或应用名称,26,2.扩展ACL的配置第一步,第一步，定义访问控制列表，命令： Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log 第二步，把扩展 ACL应用到一个具体接口：,

注意事项

本文（acl访问控制技术）为本站会员（小**）主动上传，金锄头文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即阅读金锄头文库的“版权提示”【网址:https://www.jinchutou.com/h-59.html】，按提示上传提交保证函及证明材料，经审查核实后我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。