P教程之ACL.ppt

© 2003, Cisco Systems, Inc. All rights reserved.
A C L 基础
什么时ACL
1. ACL访问控制列表,是应用在路由器上的指令列表,告诉路由器哪些数据 需要接收,哪些数据需要拒绝。
2. 基本原理为使用包过滤技术,在路由器读取第三第四层包头中的信息根据 定义好的规则对包进行过滤,从而达到访问控制的目的。包头中的信息包 括:原地址,目标地址,源端口,目标端口。
3. ACL包括两种基本类型:
标准访问控制列表:以源地址为依据(1~99)
扩展访问控制列表:以源,目标,端口为依据(100~199)
4. ACL是基于协议的如果想控制某种协议的通信数据流,就要对该接口处的 这种协议定义单独的ACL。
5. ACL的过滤对于路由器自己产生的数据包不起作用.
6. 在三层交换机上,表示从接口进入路由模块或出去的包。
ACL的应用规则
1. 判定接口上有无ACL,没有则正常工作
2. 如果接口上存在ACL,则应用ACL
3. 从上到下匹配,匹配了则按ACL处理(不再向下匹配了)
4. 如果没有匹配的则最后默认拒绝所有(所以要注意)
标准ACL
扩展ACL
命名ACL
高级A C L 应用
基于时间的ACL
反向ACL
只能用命名ACL
1. 在定义ACL时在后面加:reflect 名字 timeout xxx (timeout xxx表示设置反 向在多久后消失,可选);然后应用到端口的出方向(注意any any)
2. 重新进入一个命名方式后加:evaluate 名字;然后应用到端口的进方向(注意 ospf协议流量等)
interface Serial1
ip address
ip access-group inside in
ip access-group outside out
!
ip access-list extended outside
permit icmp any any reflect bbs
permit ip any any
ip access-list extended inside
permit ospf any any
evaluate bbs