ACLアクセス制御リスト
1.リミットネットワークトラフィックとネットワーク性能向上
通信トラフィックのコントロールを提供2の
基本的なセキュリティ対策は3へのネットワークアクセスを提供する
通信のタイプ、転送されるトラフィックのタイプを決定し、ネットワークインターフェースデバイスで4.トラフィックがブロックされています
ACLの作品
方向1. ACLインタフェースアプリケーション
方向のうち:プロセスはルータを有し、ルータは、パケットインタフェースを残している
方向に:パケットは、ルータのインタフェースに到達したルータが処理される
配向方向に関するデータとインターフェースするアプリケーションリストを
ACLルール
1. 从上到下依次匹配
2. 一旦被某条ACL匹配,则停止查找
3. 依照上两条规则,ACL的精确或者严格规则写在最上面
4. 默认的ACL包含隐藏一条deny all ,即默认情况是拒绝所有数据
5.acl是作用在接口上的
基本的なルールは:
(1)ソースにできるだけ近い拡張ACLは、トラフィックを拒否しました。このように、ネットワークを流れる不要なトラフィック前には除外されます。
(2)標準ACLは、宛先アドレスを指定していないので、そう位置が可能宛先限り近くなければなりません。
:プロセスはルータを持って、ルータはパケットインタフェースを残している
に:パケットは、ルータのインタフェースに到達しているルータが処理されます
アクセス制御リストのALCタイプ
標準アクセス制御リスト
- 送信元IPアドレスに基づいてパケットをフィルタリング
- 標準アクセス制御リストアクセス制御リストの番号1-99
拡張アクセスコントロールリスト - 元IPアドレス、宛先IPアドレスは、データパケットに、プロトコル、およびポートのフラグを超える指定します
- 100-199のアクセス制御リストACL番号を展開して
名前付きアクセス制御リスト - いいえ、標準および拡張アクセスコントロールリストの地名で許さという名前のアクセス制御リスト
ACL関連のコマンド
すべてのコマンドは、グローバルモードで構成されている
ACLを作成するにはRouter(config)#access-list access-list-number { permit | deny} source [source-wildcard ] access-list-number :标准ACL号码,范围从0-99 permit : 允许数据包通过 deny : 拒绝数据包通过 source : 发送数据包的网络地址或者主机地址 source-wildcard : 源ip地址
ACLを削除します
Router(config)# no access-list access-list-number
キーワード
host 、any
ACLは、インターフェイスに適用しました
Router(config-if)#ip access-group access-list-number {in | out}
ip access-group :标准ACL号码,范围从0-99
access-list-number : 标准ACL号码,范围从0-99
in : 限制特定设备与访问列表中地址之间的传入连接
out : 限制特定设备与访问列表中地址之间的传出连接
インターフェイスにACLをキャンセル
Router(config-if)# no ip access-group access-list-number {in | out}
練習
詳細な構成
図1は、3つのトポロジマップPC(VPCS)
「SW」に名前の変更、およびレイヤ2サービスのボードを追加した2、2台のルータが(NM-16ESW)
目的:ACLは、PC2でありますアクセスPC3、PC3とPC1がアクセスすることができない
最初のステップを、スイッチを構成する
第2工程を、R1を構成することがルータに
IPアドレス設定を表示するために
、それぞれ、第3工程を三台のPCに、IPアドレスを設定し、相互運用性テスト
第4工程を、作成ACLとのF0 / 0インターフェイスにACL
第五の工程、試験結果