1、功用:控制节点通信可用性(端口级80/23/21)
限制效率(服务质量qos:区分不服优先级的服务),
NAT地址转换(内部私有IP转换公有IP)
2、规则检测顺序:1组ACL中多条规则,自上向下检测数据包是否匹配某规则,如匹配即执行本规则动作(允许或拒绝),不再检测下方其他规则;默认隐含规则是拒绝。 access-list 20 permit host 192.168.1.1 int f0/0 ip access-group 20 in end 上段代码意思是:只允许主机192.168.1.1,拒绝其他所有。
3、ACL类型
(1)标准ACL:编号1-99 , 只限制源节点。
(2)扩展ACL:编号100-199,可限制源节点与目标节点的端口号。
4、流程:
(1)创建ACL规则
(2)在接口上应用:有方向性(接口分为进in与出out)
三、标准ACL步骤
1、ACL语法:全局下
access-list 号 动作 源节点范围
(1)源节点范围表示方法:3种
A.单个节点: host 192.168.1.2
B.所有节点: any
C.部分节点: 192.168.1.0 0.0.0.255 ==>表示192.168.1.1 ~ 192.168.1.254
反向子网掩码
192.168.88.8 0.0.0.0 == any
192.168.88.8 255.255.255.255 = host 192.168.88.8
(2)动作:仅2个
A. deny 拒绝
B. permit允许
access-list 10 permit host 192.168.1.1
access-list 10 permit 193.10.20.0 0.0.0.255
access-list 10 deny any
2、查看:
show ip access-lists 可接ACL号
show run | include 提取关键词(模拟器没有这个功能,真设备有此功能)
3、应用在接口某方向
int f0/0
ip access-group ACL号 方向
ip access-group 10 in或out
四、扩展ACL
0.1、标准ACL缺点:仅能限制源IP,过于粗糙。
不能限制目标IP或目标端口号
(某具体单向的服务,80站点/23telnet/25邮件/3389远程桌面)
0.2、扩展实例:
(1)模拟器检查【服务器】:默认开放的【网站80】与【文件21/20】,进入【services】选项卡。
(2)去除路由器原有接口上的ACL限制:
en
conf t
int f0/0
no ip access-group 10 in
end
(3)模拟器的客户机登录:网站与文件服务
【web browser】【URL】后写服务器IP 192.168.2.2,回车可打开一简约网页。
FTP在小黑中录入 ftp 192.168.2.2回车
录入 cisco账户与cisco密码,回车
dir 查看到一些文件,证明服务器FTP好用。
quit可退出ftp
(4)路由器使用“扩展ACL”,实现精细化限制流量。
(只允许192.168.1.1 访问192.168.2.2 的网站,
只允许192.168.1.2 访问192.168.2.2的FTP,(FTP服务用2个端口,21是控制连接,20是传输数据)
允许192.168.1.3所有功能,
其他拒绝)
潍坊旗帜职业培训学校成立于1998年,潍坊地区上世纪仅存的民营培训机构。总校位于潍城,现已在潍城、高新、高密、诸城、青州、寿光设有16家分校及教学点的连锁机构,教师121人,我校年培训达13000余人次。 我校新开设云计算培训、网络工程培训、web前端培训、网站网页培训、linux培训、路由交换NP培训、NA华为思科培训、python培训、SQL数据库培训、微软服务器培训、vt虚拟化培训、shell脚本培训等等,填补了目前潍坊地区线下IT前沿高端就业培训空白。
原有培训有会计(会计出纳、会计就业实操、会计初级综合、会计中级综合、管理会计)计算机办公、设计(平面创意设计师、室内设计师、新媒体视频、图像处理、电商掘金特训营、AE影视特效、新媒体运营)、电商培训(开店、美工、运营)、人力资源考证和实战、教师资格证、教师在编、企业团体培训、学历教育、职场综合能力训练营等技能培训。是潍坊地区具规模的职业技能培训学校。
学校成立简学在线学习平台,实现线上线下双师授课、满足学员学习需求,让学员在家里也可以复习上课内容,并定期录播和直播课程,保证学员学习时间的灵活性。
