CCNA学习笔记十 ACL访问控制列表、包过滤

实现访问控制列表的核心技术是包过滤

将包拆开，查看源端口和目的端口

TCP 65535

UDP 65535

Telnet 23

FTP 21

HTTP 80show 

分析数据包包头信息，进行判断

RIP 520端口

ETGRP IP协议号88

OSPF IP协议号

当所有的规则都没有匹配到，那么最后一条默认是拒绝所有，数据包被丢弃。

router eigrp  <name>

 no auto-summary

netw......

1~99标准acl 只看三层，ip层面

100~199扩展，可看四层，tcp/udp

写规则：：：ACL::

access-list 1 deny  host  192.168.2.1《《-拒绝主机192.168.2.1

access-list 1 deny host 192.168.3.1<<-拒绝主机192.168.3.1

去除自动生成的拒绝所有：：

access-list 1 permit any 其他的可以通过

应用：：：int fa0/0

ip access-group 1  out<<- 列表名   方向in/out

防火墙可以，记录是谁主动发起的包

拒绝主机：：

access-list 1 deny  192.168.2.0 0.0.0.255

 

被拒绝后，在ping的时候根据发起请求的方向不同有两种状态，

一、请求超时

二、目标主机不可达  

标准的访问控制列表：是基于源地址来做控制的

扩展的：是基于源目IP和源目端口（扩展的acl更加精确    依然是简单的包过滤）

扩展的acl，，上例是拒绝某个计算机访问目的web服务器

一般做acl的时候，最好写在靠近被限制的主机比较近的端口上

基于mac的acl，要写在交换机上