ccna学习模拟器课件及icnd210s06l

访问控制列表ACL运行简介第第2层层，，共共2层层强强调调::访问列表是标识特殊流量的机制。访问列表的应用之一是过滤进出路由器接口的流量。为什么要使用ACL？过滤:通过过滤经过路由器的数据包来管理IP流量分类:标识流量以进行特殊处理目目的的::此图说明了IP访问列表的常见用途。强强调调::本章重点介绍IP访问列表，访问列表的概念作为一种控制网络流量的机制适用于所有协议。注注::改进的安全解决方案是“锁和钥匙”访问功能，仅IP扩展访问列表有此功能。“锁和钥匙”访问允许设置动态访问列表，通过用户身份验证过程为每个用户授予访问特定源主机/目的地主机的权限。可在不影响安全限制的情况下，允许用户通过防火墙进行动态访问。过过渡渡::下图是三层结构的第一层，表示访问列表特定于CiscoIOS™功能的其它用途。ACL的应用:过滤允许或拒绝经过路由器的数据包。允许或拒绝来自路由器或到路由器的vty访问。如果没有ACL,所有数据包会发往网络的所有部分。第第3层层，，共共3层层目目的的::此图是访问列表其它用途结构的最后一层。强强调调::访问列表用于定义路由过滤的进入流量以限制路由更新的内容。过过渡渡::下图是显示入站访问列表和出站访问列表差别的两层结构。根据数据包测试情况对流量进行特殊处理ACL的应用:分类第第3层层，，共共3层层目目的的::显示访问列表测试的拒绝结果。强强调调::数据包现已被丢弃到数据包垃圾桶中。已拒绝不需要的数据包访问出站接口。通知发送方的消息会显示类似于ICMP的过程，向发送方返回“管理性禁止”的消息。出站ACL运行如果没有ACL语句匹配,则丢弃数据包。第第4层层，，共共4层层目目的的::显示隐式的“拒绝所有”。强强调调::说明最终访问列表测试其匹配了先前访问列表语句未涵盖的所有数据包。所有剩余数据包匹配“隐式拒绝”并被丢弃到比特桶中。测试步骤:拒绝或允许第第3层层，，共共3层层目目的的::描述接口上的入站访问列表和出站访问列表。ACL的类型标准ACL检查源地址通常允许或拒绝整个协议簇扩展ACL检查源地址和目的地址通常允许或拒绝特定协议和应用程序·有两种用于标识标准ACL和扩展ACL的方法:编号ACL使用编号进行标识命名ACL使用描述性名称或编号进行标识第第3层层，，共共3层层强强调调::第三层—添加了第11章“配置NovellIPX”涵盖的NovellIPX访问列表和这些类型访问列表的编号范围。从11.2.4(F)版开始，IPX也支持命名访问列表。指出编号范围通常允许每类协议有100个不同的访问列表。当用给定的百位编号范围指定标准访问列表时，规则是下一个百位编号范围用于该协议的扩展访问列表。编号分类方案的例外包括AppleTalk和DECnet，在这种方案中相同的编号范围可标识不同访问列表类型。在大多数情况下，编号范围在不同协议之间不重叠。注注::在CiscoIOS12.0版中，IP访问列表范围扩展至也包括:<1300-1999>IP标准访问列表（扩展范围）<2000-2699>IP扩展访问列表（扩展范围）如何标识ACL标准编号IPv4列表(1-99)可测试源地址的所有IP数据包的条件。扩展范围是(1300-1999)。扩展编号IPv4列表(100-199)可测试源地址和目的地址、特定TCP/IP协议和目的端口的条件。扩展范围是(2000-2699)。命名ACL用字母数字字符串（名称）标识IP标准ACL和扩展ACL。IP访问列表条目序列编号需要CiscoIOS12.3版允许使用序列编号来编辑ACL语句的顺序在CiscoIOS12.3版之前,使用文本编辑器来创建ACL语句,然后将语句以正确的顺序复制到路由器中。允许使用序列号从列表中删除单条ACL语句在CiscoIOS12.3版之前的软件中使用命名ACL时,必须使用no{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard来删除单条语句。在CiscoIOS12.3版之前的软件中使用编号ACL时,必须删除整个ACL才能删除单条ACL语句。ACL配置的指导原则标准或扩展代表可过滤的内容。每个接口、协议、方向只允许有一个ACL。ACL语句的顺序控制着测试，因此最具体的语句位于列表顶部。最后的ACL测试始终是隐式拒绝其它所有语句，因此每个列表需要至少一条permit语句。在全局范围内创建ACL，然后将其应用到入站流量或出站流量的接口。ACL可过滤经过路由器的流量或往返路由器的流量，具体取决于其应用方式。将ACL置于网络中时:扩展ACL应靠近源地址标准ACL应靠近目的地址动态ACL动态ACL（锁和钥匙）:想要穿越路由器的用户需要使用Telnet来连接路由器并通过身份验证，否则将会被拦截。自反ACL自反ACL:用于允许出站流量并限制入站流量，以响应来自路由器内部的会话基于时间的ACL基于时间的ACL:允许根据天数和周数控制访问目目的的::此图说明二进制通配符掩码的匹配过程。强强调调::介绍通配符位的匹配过程。告诉学生通配符位的匹配过程不同于之前讲述的IP子网编址掩码。在图表中举例说明通配符掩码的工作方式。术语“通配符掩码”是该访问列表掩码位匹配过程的别名。此别名来自于扑克牌游戏中可代替所有其它牌的百搭牌。“学员指南”的注释中强调了通配符掩码和子网掩码的对比。如果学生不了解二进制0和二进制1在两种掩码类型中的不同用途，混淆通配符掩码和子网掩码将成为学习的重大障碍。指出通配符掩码中值为1的位不需要是连续的，而子网掩码中值为1的位需要是连续的。通配符类似DOS中的“*”字符。通配符位:如何检查对应的地址位0表示匹配对应地址位的值1表示忽略对应地址位的值目目的的::此幻灯片用示例说明通配符掩码位如何匹配子网172.30.16.0/24至172.30.31.0/24上的所有主机。强强调调::此过程需要全面了解二进制数、在2的幂位使用什么值，以及如何从十进制数转换为二进制数。如果如果一些学员对此缺乏了解，告诉他们设计复杂访问列表需要高级配置技能。稍后，本课程将提供实验操作来练习设计简单的访问列表。如果认为学员需要其它示例来提高对该过程的理解，则准备另一个示例作为实战讲解。考虑让学员参与解决排列地址二进制位和通配符二进制位的示例。用通配符位匹配IP子网匹配IP子网172.30.16.0/24至172.30.31.0/24。地址和通配符掩码:172.30.16.00.0.15.255目目的的::此图向学生展示了如何在扩展访问列表通配符掩码中使用主机缩写。强强调调::此缩写意味着检查所有位的位值，效果是仅匹配所有位上的指定IP主机地址。·

172.30.16.29

0.0.0.0

匹配所有地址位·

使用前面有关键字host

的IP地址(host

172.30.16.29)来缩写此通配符掩码通配符位掩码的缩写·

0.0.0.0

255.255.255.255忽略所有地址位·

用关键字any缩写表达式总结ACL可用于IP数据包过滤或标识流量以将其分配给特殊处理。ACL