CCNA-广域网和ACL

学习过程中的笔记,比较零散

广域网

局域网内基本上是以太网相连,通常最大传输距离为100米。

广域网技术一般是用来节约成本的

广域网不等于Internet Internet只是广域网的一种

广域网技术往往只涉及下OSI两层(数据链路层和物理层)对上层没有影响

分为DTE端(客户端) DCE端(服务商端,在配置的时候时钟频率只能配置在DCE端)

在局域网中二层使用的是mac协议

wan数据链路层协议:

HDLC

PPP

Frame Relay(帧中继)

ATM(异步传输网络) 

ISDN

WAN分为专用线路(租用线路)和

交换线路(电路交换,PSTN,家用电话,属于模拟信号传输;包交换(廉价,信号一般),数字信号交换;信源交换(速度快,费用高),数字信号交换,AMT,异步传输网络)

广域网分为闭网和开网

ACL-访问控制列表(access control list)

对IP网络流量进行配置,允许或者不允许某些包连接某些服务器

对流量进行分类

可以把它简单认为是一个防火墙

当把ACL当作过滤器来使用的时候

允许或者不允许某些包通过路由器

没有ACL的时候,所有的包都是允许到所有的地方去的

ACL所能分辨的信息到4层,ACL也称为包防火墙,可以根据流量的TCP/IP或者UDP或者端口号来进行过滤,但是并不能进行内容过滤

ACL可以对流量进行分类,不会对流量进行过滤,只能起到分检器的作用

当数据包进去路由器的时候,先检查路由表,有的话去检查出接口是够挂载ACL(ACL当做过滤器来使用的时候,是需要绑定接口的,两个方向:出向还是入向,即检测进来的还是检测出去的包。一个接口上最多挂两个ACL,也就是说每个方向挂载一个,可以在一个ACL上设定多个规则),是的话进行ACL控制测试,ACL允许该包通过的话就转发。若其中任意过程为否,该包丢弃。

一个ACL可以设定多个判定条件,只要匹配一个就可以转发,多个条件之间的逻辑关系是或,当匹配到其中一个判定条件的时候,立即执行该条件后的动作,若全部不匹配,则将该包丢弃。

ACL分为两种类型:

标准ACL:速度快,只能基于发送的源IP地址进行判断

扩展ACL:扩展的ACL较为精细一点,可以基于源地址,目标地址,协议,端口号进行判断。速度相对来说慢一点。

怎么区分两种ACL:基于编号:当编号在1-99,1300-1999就是标准的

当编号是100-199,2000-2699就是扩展的

基于命名:明确指出ACL类型

标准访问控制列表的语法格式

Access-list access-list-number

{permit | deny | remark}source 【mask】

示例:

拒绝所有来自1.1.1.1的数据包

Access-list 1 deny 1.1.1.1 0.0.0.0(反码,0表示匹配,1表示无所谓)

Access-list 1 permit 0.0.0.0 255.255.255.255 (因为默认是拒绝所有,没有这条命令数据包是无法通过的)

或者: access-list 1 deny host 1.1.1.1

Access-list 1 permit any (host和any是预先设定好的通配符)

允许所有来自192.168.1.0/24的数据包

Access-list 1 permit 192.168.1.0 0.0.0.255

配置完之后还要绑定到端口。

(规则顺序很重要,但是编号ACL不允许删除单独的一条规则

例如

Access-list 1 deny 1.1.1.0 0.0.0.255

Access-list 1 permit 1.1.1.1 0.0.0.0

这样的话第二条规则永远不会生效,因为在匹配了第一条规则后,就会立即执行第一条规则之后的动作,不再向下进行匹配)

在接口配置模式下:

Ip access-group access-list-number {in | out}

标准ACL配置大体分为两步:

①:在全局配置模式下创建访问控制列表,并且设定规则

②:在接口配置模式下挂载ACL,并指定方向。

扩展访问控制列表语法格式

示例

拒绝所有从1.1.1.1 到2.2.2.2 的ping包(ping使用的是ICMP协议)

Access-list 100 deny icmp host 1.1.1.1 host 2.2.2.2

Access-list 100 permit ip any any

拒绝所有从1.1.1.0/24 到2.2.2.0/24的http流量

Access-list 100 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq(端口号) 80

命名访问控制列表(可以单独删除其中的一条规则)

示例:

Ip access-list standard name

Deny host 172.16.4.13

Permit 172.16.4.0 0.0.0.255

Interface e0

Ip access-group name {out | in}

删除的时候可以直接no其中一条

Remark 注释 没有什么意义,只是简单的注释

可以通过 show access-list 查看


CCNA-广域网和ACL
https://blog.huangyuanlove.com/2014/05/19/CCNA-广域网和ACL/
作者
HuangYuan_xuan
发布于
2014年5月19日
许可协议
BY HUANG兄