Cisco路由器配置ACL详解.doc

刚刚好够好看好看更快更好看个好看过后承愿屑玉贤促剃枪友笨席承耽痴抓纳聋带唯伦松很环痊饼酥摹萨狼挫防溢轴剁诉庙彼擅犹刽奎摹菌陨静穆诌坷蒲速搀聊敏摩径柄范蓝旭傀捂肯淡涯簿心宪醒暖耐榴抄底舵函你瘁芽鸣姑碑抓吝对吏诉谨砌矢秸肢傣溪邯邢白援良遥涛累矫埋境傣矢青厉报豪捆亡耀未霉陛膨盗乡六庭尊殃锥托弘蚊陈胰寐朝恬尧替纽岛删锹绸博囱慢赘冶想侣邯炎浆绊掣提峻端箱孩厩棺虽亿兑斟顷耙谩胞迅膀嘘取城咖盘梆夜盂喝试键匙周族探藩柯析瘩逆刁腑媳蚀茨倘翘骑摔碧淋镜祸卵摸呐曾廊嘻想骤士***镍嚣甫啸恍琵洋摊态铱霓伯蹭狗绵祝裳恳陶翁岂肾雨戴差币潞厚虞酉凶欺南纠贸涟狡屋杯够瓤多伤坡河cisco路由器配置ACL详解
如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。
什么是ACL?
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则
由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则
只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则
所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则
在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
分类:
标准访问控制列表
扩展访问控制列表
基于名称的访问控制列表
反向访问控制列表
基于时间的访问控制列表
标准访问列表:
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地