首页 理论教育 标准访问控制列表:计算机网络设备实践教程

标准访问控制列表:计算机网络设备实践教程

时间:2023-11-17 理论教育 版权反馈
【摘要】:标准访问控制列表能够对数据包的源IP地址进行检查,从而判断是应该允许通过还是阻断数据流。图11-1中PC1到PC10都在192.168.1.0/24网段中,希望配置ACL使PC1到PC7不能够访问2.2.2.2,但其中的PC5例外。图11-1标准访问控制列表应用根据拓扑图所示配置PC的IP地址,网关设置为路由器A的F0/0接口地址192.168.1.254。为了满足访问控制的需求,在路由器B上创建标准访问控制列表。如果需要在下列ACL的第1条ACE后面添加一条允许192.168.1.4主机访问,可以执行后续指令。

标准访问控制列表:计算机网络设备实践教程

标准访问控制列表能够对数据包的源IP地址进行检查,从而判断是应该允许通过还是阻断数据流。图11-1中PC1到PC10都在192.168.1.0/24网段中,希望配置ACL使PC1到PC7不能够访问2.2.2.2,但其中的PC5例外(PC5能访问)。PC8到PC10能够访问2.2.2.2。

图11-1 标准访问控制列表应用

根据拓扑图所示配置PC的IP地址,网关设置为路由器A的F0/0接口地址192.168.1.254。下列的指令在路由器A上配置IP地址及静态路由。

下列的指令在路由器B上配置IP地址及默认路由。

路由配置后,目前所有的PC都可以“ping”通2.2.2.2。为了满足访问控制的需求,在路由器B上创建标准访问控制列表。

从以上结果看出,标准ACL的编号范围为1~99和1300~1999,还可以使用字母命名。

(www.xing528.com)

此时已经成功创建了编号12的ACL,但还没有生效。下列指令将ACL应用在路由器B的S2/0接口上,这时才真正生效。

此时在PC5上“ping”地址2.2.2.2,数据包通过路由器B的S2/0进入的时候尝试匹配12号ACL中的第1条ACE,能够匹配上,执行permit操作,数据包被允许进入,后续的ACE不再执行检查。

PC1的IP地址是192.168.1.1,在PC1上“ping”地址2.2.2.2,数据包通过路由器B的S2/0进入的时候尝试匹配12号ACL中的第1条ACE,不能够匹配上。继续尝试匹配第2条,PC1在第2条ACE描述的子网中,能够匹配上,执行deny操作,数据包被丢掉,后续的ACE不再执行检查。

PC10的IP地址是192.168.1.10,在PC10上“ping”地址2.2.2.2,数据包通过路由器B的S2/0进入的时候尝试匹配12号ACL中的第1和第2条ACE,都不能够匹配上。继续尝试匹配第3条,PC10在192.168.1.0/24子网中,能够匹配上,执行permit操作,数据包被允许进入。

如果所有的ACE都无法匹配,那么数据包被拒绝进入,换句话说,ACL隐含了最后1条ACE:拒绝一切数据包。

ACL中的ACE具有严格的顺序,不同的顺序效果不同,如果将ACL 12中第1条和第2条ACE的位置调换,那么PC5将匹配上第1条ACE,被拒绝进入路由器B。在设计ACL时应该根据具体的应用需求先将ACE设计好再部署在网络设备上。

如果遇到配置完成第10条ACE后却发现在2条后面少配置了一条ACE的情况,也不必担心要取消后面8条,再继续添加ACE。可以使用添加的方法插入ACE。如果需要在下列ACL的第1条ACE后面添加一条允许192.168.1.4主机访问,可以执行后续指令。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈