对ACL实验的总结:
访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第三层及第四层包头中
的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,
从而达到访问控制的目的。ACL 分很多种,不同场合应用不同种类的ACL。
1. 标准ACL
标准ACL 最简单,是通过使用IP 包中的源IP 地址进行过滤,表号范围1-99 或
1300-1999;
2. 扩展ACL
扩展ACL 比标准ACL 具有更多的匹配项,功能更加强大和细化,可以针对包括协议类型、
源地址、目的地址、源端口、目的端口、TCP 连接建立等进行过滤,表号范围100-199 或
2000-2699;
3. 命名ACL
以列表名称代替列表编号来定义ACL,同样包括标准和扩展两种列表。
在访问控制列表的学习中,要特别注意以下两个术语。
1. 通配符掩码:一个32 比特位的数字字符串,它规定了当一个IP 地址与其他的IP 地
址进行比较时,该IP 地址中哪些位应该被忽略。通配符掩码中的“1”表示忽略IP 地址中
对应的位,而“0”则表示该位必须匹配。两种特殊的通配符掩码是“255.255.255.255”和
“0.0.0.0”,前者等价于关键字“any”,而后者等价于关键字“host”;
2. Inbound 和outbound:当在接口上应用访问控制列表时,用户要指明访问控制列表
是应用于流入数据还是流出数据。
总之,ACL 的应用非常广泛,它可以实现如下的功能:
1. 拒绝或允许流入(或流出)的数据流通过特定的接口;
2. 为DDR 应用定义感兴趣的数据流;
3. 过滤路由更新的内容;
4. 控制对虚拟终端的访问;
5. 提供流量控制。
上述实验的常用命令;
show ip access-lists 查看所定义的IP 访问控制列表
clear access-list counters 将访问控制列表计数器清零
access-list 定义ACL
ip access-group 在接口下应用ACL
access-class 在vty 下应用ACL
ip access-list 定义命名的ACL
time-range time 定义时间范围
username username password password 建立本地数据库
autocommand 定义自动执行的命令
本文转自gauyanm 51CTO博客,原文链接:http://blog.51cto.com/gauyanm/240653,如需转载请自行联系原作者
