CCNA学习笔记十 ACL访问控制列表、包过滤

实现访问控制列表的核心技术是包过滤
将包拆开,查看源端口和目的端口
TCP 65535
UDP 65535
Telnet 23
FTP 21
HTTP 80show 
分析数据包包头信息,进行判断
RIP 520端口
ETGRP IP协议号88
OSPF IP协议号
当所有的规则都没有匹配到,那么最后一条默认是拒绝所有,数据包被丢弃。
router eigrp  <name>
 no auto-summary
netw......
1~99标准acl 只看三层,ip层面
100~199扩展,可看四层,tcp/udp
写规则:::ACL::
access-list 1 deny  host  192.168.2.1《《-拒绝主机192.168.2.1
access-list 1 deny host 192.168.3.1<<-拒绝主机192.168.3.1
去除自动生成的拒绝所有::
access-list 1 permit any 其他的可以通过
应用:::int fa0/0
ip access-group 1  out<<- 列表名   方向in/out
防火墙可以,记录是谁主动发起的包
拒绝主机::
access-list 1 deny  192.168.2.0 0.0.0.255
 
被拒绝后,在ping的时候根据发起请求的方向不同有两种状态,
一、请求超时
二、目标主机不可达  


标准的访问控制列表:是基于源地址来做控制的
扩展的:是基于源目IP和源目端口(扩展的acl更加精确    依然是简单的包过滤)

扩展的acl,,上例是拒绝某个计算机访问目的web服务器
一般做acl的时候,最好写在靠近被限制的主机比较近的端口上
基于mac的acl,要写在交换机上
CCNA学习笔记十 ACL访问控制列表、包过滤_第1张图片 CCNA学习笔记十 ACL访问控制列表、包过滤_第2张图片



你可能感兴趣的:(网络,telnet,路由器,交换机,思科)