网络互联技术(第2版)梁广民数字资源5.2.5 复杂acl.ppt

#14496)国家精品课程国家精品资源共享课程教育部网络技术专业教学资源库课程“十二五”职业教育国家规划教材什么是复杂ACL?在标准ACL和扩展ACL的基础上构建复杂ACL,从而实现更多功能。动态ACL什么是动态ACL?“锁和钥匙”是使用动态ACL(有时也称为锁和钥匙ACL)连接、身份验证和扩展ACL。动态ACL的优点?使用询问机制对每个用户进行身份验证简化大型网际网络的管理在许多情况下,可以减少与ACL有关的路由器处理工作降低黑客闯入网络的机会通过防火墙动态创建用户访问,而不会影响其它所配置的安全限制配置动态ACL(1)建立本地验证数据库Router(config)#usernameusernamepasswordpassword(2)配置动态ACL下面是一个动态ACL的例子:Router(config)#access-,dynamic参数定义动态了ACL,A,timeout定义动态ACL绝对的超时时间。Router(config)#linevty04Router(config-line)#loginlocal//VTY 使用本地验证Router(config-line)#ess-enablehosttimeout10动态ACL自反ACL什么是自反ACLs?,当发现新的连接时,:帮助保护您的网络免遭网络黑客攻击,并可内嵌在防火墙防护中。提供一定级别的安全性,防御欺骗攻击和某些DoS攻击。自反ACL方式较难以欺骗,因为允许通过的数据包需要满足更多的过滤条件。此类ACL使用简单。与基本ACL相比,(1)配置临时性访问条目的生存期Router(config)#ipreflexive-listtimeout600//缺省为300秒(2)创建自反ACL表项Router(config)#ess-listextendedACLOUTRouter(config-ext-nacl)#permittcpanyanyreflectREFRouter(config-ext-nacl)#permitudpanyanyreflectREFRouter(config-ext-nacl)#permiticmpanyanyreflectREF(3)评估反射列表Router(config)#ess-listextendedACLINRouter(config-ext-nacl)#evaluateREF(4)接口下应用自反ACLRouter(config)#interfaceSerial0/0/1Router(config-if)#ess-groupACLOUToutRouter(config-if)#ess-groupACLINin自反ACL基于时间的ACL什么是基于时间的ACL?基于时间的ACL功能类似于扩展ACL,,例如:。配置基于时间的ACL(1)定义时间范围Router(config)#time-rangenameRouter(config-time-range)#?mands:absoluteabsolutetimeanddateperiodicperiodictimeanddate(2)ACL中引入time-range参数下面是一个基于时间ACL的例子:Router(config)#access--Alog