访问控制列表 |
您所在的位置:网站首页 › 查看路由器中所有的访问控制列表可以使用什么命令 › 访问控制列表 |
2.1 实验目的
(1)理解扩展ACL和标准ACL的区别 (2)掌握扩展ACL的配置和应用 (3)熟悉扩展ACL的调试 2.2 实验原理 1.扩展ACL配置命令为了更加精确地控制流量过滤,我们可以使用编号在 100 到 199 之间以及 2000 到 2699 之间的扩展 ACL(最多可使用 800 个扩展 ACL)。扩展 ACL 比标准 ACL 更常用,因为其控制范围更广,可以提升安全性。与标准 ACL 类似,扩展 ACL 可以检查数据包源地址,但除此之外,它们还可以检查目的地址、协议和端口号(或服务)。如此一来,我们便可基于更多的因素来构建 ACL。例如,扩展 ACL 可以允许从某网络到指定目的地的电子邮件流量,同时拒绝文件传输和网页浏览流量。 由于扩展 ACL 具备根据协议和端口号进行过滤的功能,因此我们可以构建针对性极强的 ACL。利用适当的端口号,我们可以通过配置端口号或公认端口名称来指定应用程序。 本实验案例要求配置OSPF动态路由协议使得网络联通,同时定义扩展ACL实现如下访问控制: l 该网段只允许IP地址为172.16.1.0/28范围的主机访问server(192.168.1.254)的WEB服务; l 该网段只允许IP地址为172.16.1.0/28范围的主机访问server(192.168.1.254)的FTP服务; l 拒绝PC2所在网段访问服务器器server的telnet服务; l 拒绝PC2所在网段ping server(192.168.1.254); 要配置扩展ACL,在全局配置模式中执行以下命令: Router(config)#access-list access-list-number { remark | permit | deny} protocol source [source-wildcard] [operator port] destination [destination-wildcard] [operator port] [established] [log] 参数说明: 参数 参数含义 access-list-number |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |