7750 BRAS PPPoE使用组播时的访问控制
7750 BRAS PPPoE 使用组播时的访问控制filter
IPD
作者:TSC 何锋
【产品类别】: 7750 8.0R6
【CASE ID 】: N/A ,适合用户
【故障级别】:Minor
【关键字】: BRAS PPPoE Multicast IGMP IP-Filter
【故障现象】:
在镇江电信BRAS 试商用项目中,要求当用户PC (机顶盒)以用户名为@vod 后缀方式
进行
PPPoE 拨入时,需要禁止此类型账号的用户访问Internet 。
ip-filter ),对此@vod 用户进行控制,只允许访问Internet )。
7750上配置同样的sla-profile (sla-pppoe-10M )上。发现IPTV 机顶盒播放不流畅,且IPTV 不能成功切换频道。但是修改sla-profile 的ip-filter 为默认forward 后,机顶盒播放流畅,且能成功切换频道。(但是此账号随之也能访问Internet 了)
【告警信息】:无
【原因分析】:
以下是7750上设置的ip-filter (ip-filter 200为7750 sap 的ingress 方向):
A:ZJ-DM-B-AC7750-01>config>filter# ip-filter 200
A:ZJ-DM-B-AC7750-01>config>filter>ip-filter# info
----------------------------------------------
entry 5 create
match
dst-ip 202.102.13.66/32
exit
action forward
exit
entry 10 create
match
dst-ip 218.2.135.1/32
exit
action forward
exit
entry 15 create
match
dst-ip 61.147.37.1/32
exit
action forward
exit
entry 20 create
match
dst-ip 202.102.15.118/32
exit
action forward
exit
entry 25 create
match
dst-ip 221.231.151.2/32
exit
action forward
exit
entry 30 create
match
dst-ip 239.252.152.0/24(IPTV的多播节目频道的地址) exit
action forward
exit
entry 35 create
match
dst-ip 10.205.24.0/24
exit
action forward
exit
entry 40 create
match
dst-ip 58.223.64.0/18
exit
action forward
exit
entry 45 create
match
dst-ip 58.223.128.0/17
exit
action forward
exit
entry 50 create
match
dst-ip 202.102.13.0/24
exit
action forward
exit
entry 55 create
match
dst-ip 221.231.144.0/24
exit
action forward
exit
----------------------------------------------
如果将ip-filter 200的default-action修改成forward后,IPTV播放能正常(但是此账户随之也能访问Internet了,没能进行访问控制)。因此原因应该是访问控制列表的地址范围不正确,有部分地址本应该被放开允许访问,但实际却被以上的ip-filter 200所drop 掉。
【解决方法】:
使用测试的@vod账号并通过PC进行抓包分析,发现机顶盒会向地址224.0.0.1(全网主机)和224.0.0.2(全网路由器)发IGMP报文。
因此,只需要在ip-filter 200(7750 sap的ingress方向)增加一个允许访问条目:
entry 55 create
match
dst-ip 224.0.0.0/24
exit
action forward
exit
并保持ip-filter 200的default-action为drop(ip-filter的默认设置)。
经测试@vod用户IPTV播放正常,IPTV点播、频道切换也工作正常。
【经验教训与总结】:
在7750 BRAS的多播应用中使用访问控制ip-filter时,需要放开224.0.0.1和224.0.0.2等这种协议用多播地址。
【附件】:
无
网络管理复习资料
考试题型 选择题20个(共40分)、填空题10个(共10分)、简单题5个(共20分)、计算题1个(共10分),论述题2个(共20分) 复习要点 第一讲网络管理概论复习要点 1.网络管理的主要功能? 按照国际标准化组织(ISO)的定义,网络管理主要包括五个方面工作,即故障管理、配置管理、计费管理、性能管理、安全管理。 2.网络管理系统的组成?(自己完善) 网络管理系统可以抽象为管理者、管理协议、管理信息库和管理代理四部分组成。 管理者:发出指令与操作 管理协议:通信方式与操作命令的约定(SNMP) 管理代理:驻留在被管实体的进程,负责接收指令,通知事件 管理信息库(MIB):被管对象信息集合 3.SNMP模型的组成与模型图?(自己完善) SNMP管理模型的关键元素: 网管站(Network Management Station):对网络设备发送各种查询报文,并接收来自被管设备的响应及陷阱(trap)报文 代理(Agent):响应查询报文、通过Trap主动发送报文 管理信息库(MIB)
注意:SNMP协议基于UDP协议的,常用的端口为UDP161,162端口 MIB 数据库中的信息由代理(Agent )收集 第二讲 网络规划与设计复习要点 1.网络规划的主要内容?(自己完善) 基础平台设计: 网络逻辑结构设计:协议与标准、网络的拓扑结构、IP 地址规划、虚拟局域网(VLAN )设计、冗余设计等,网络物理结构设计:网络设备、网络服务器、综合布线等服务平台设计:操作系统的选择,网络服务的设计(WWW 、Email 、DNS 、DHCP 等)安全管理平台设计:防火墙、入侵检测系统等设计。 2.IP 地址分类 网络地址:192.168.0.0 有限广播地址:255.255.255.255 回送地址:127.0.0.1(本机地址) 私有地址: 3.子网划分 子网划分方法: (1)确定子网位。 (2)验证主机位。
网络管理复习详解详解
一、时间安排 2016年1月18日-1月22日期末考试 2016年1月19日-1月25日阅卷 2016年1月8 日-1月26日成绩录入 二、考试题型 选择题20个(共40分)、填空题10个(共10分)、简单题5个(共20分)、计算题1个(共10分),论述题2个(共20分) 三、考试知识点(请同学们一定要认真复习,该记住的一定要记住,如果会做也不要太早提前交卷,考试时间是2个小时,尽量在一个半小时以后才可以交卷哦!,还有不要想着抄袭,不要空着,加油!!!!) 四、复习要点 第一讲网络管理概论复习要点 1.网络管理的主要功能? 按照国际标准化组织(ISO)的定义,网络管理主要包括五个方面工作,即故障管理、配置管理、计费管理、性能管理、安全管理。 2.网络管理系统的组成?(自己完善) 网络管理系统可以抽象为管理者、管理协议、管理信息库和管理代理四部分组成。 管理者:发出指令与操作 管理协议:通信方式与操作命令的约定(SNMP) 管理代理:驻留在被管实体的进程,负责接收指令,通知事件 管理信息库(MIB):被管对象信息集合 3.SNMP模型的组成与模型图?(自己完善) SNMP管理模型的关键元素: 网管站(Network Management Station):对网络设备发送各种查询报文,并接收来自被管设备的响应及陷阱(trap)报文
代理(Agent ):响应查询报文、通过Trap 主动发送报文 管理信息库(MIB) 注意:SNMP协议基于UDP协议的,常用的端口为UDP161,162端口 MIB 数据库中的信息由代理(Agent )收集 第二讲 网络规划与设计复习要点 1.网络规划的主要内容?(自己完善) 基础平台设计: 网络逻辑结构设计:协议与标准、网络的拓扑结构、IP 地址规划、虚拟局域网(VLAN )设计、冗余设计等,网络物理结构设计:网络设备、网络服务器、综合布线等服务平台设计:操作系统的选择,网络服务的设计(WWW 、Email 、DNS 、DHCP 等)安全管理平台设计:防火墙、入侵检测系统等设计。 2.IP 地址分类 网络地址:192.168.0.0 有限广播地址:255.255.255.255 回送地址:127.0.0.1(本机地址) 私有地址: 3.子网划分 子网划分方法: (1)确定子网位。 (2)验证主机位。
理论提问相关
第七讲防火墙与NA T配置 (1)包过滤防火墙工作原理 (2)NAT工作原理 (3)在配置NA T时,是ACL还是NA T TABLE 确定哪些内网主机的地址将被转换(4)防火墙分类(包过滤和状态防火墙) (5)NAT的特点(功能) 节约IP地址 提高内网安全性 (6)配置包过滤防火墙的主要步骤(一,制定访问规则二,将访问规则作用在某个接口上) (7)访问控制列表中的反掩码中,0表示网段需要比较,1表示主机,不需要比较 第六讲广域网 (1)PPP协议时TCP/IP中那一层协议(数据链路层协议) (2)PPP协议组包含哪些部分(LCP ,NCP, 验证协议PAPCHAP) (3)广域网数据链路层协议包括哪几种(PPP HDLC, ISDN,帧中继) (4)PPP验证方式有哪几种,PAP CHAP ,他们之间的区别 前者是明文验证,或者是密文验证。如果验证配置正确,显示接口信息,会发现IPCP OPENED, 如果配置有误,验证没有通过,会有IPCP INITIAL (5) 在配置验证过程中,如果只配置了主验证方,不配被验证方,通信正常么?(不正常)如果不配置主验证方,只配置被验证方,通信正常么(正常) (6)LOCAL-USER代表哪一方的用户(对方) (7)广域网常见的几种数据传输方式(点到点,电路交换,分组交换) 第五讲 (1)路由器的功能(寻路,转发) (2)如何查看路由器的型号和软硬件版本,DIS VERSION) (3)第一次拿到路由器,有几种方式登录上去(一种,CONSOLE) (4)如何更改路由器名称 (5)如何配置路由器的IP地址(如果配置交换机IP地址) (6)避免环路常用的措施是什么(水平分割,毒性逆转) (7)路由协议的分类(RIP ,OSPF) (8)缺省路由概念 第四讲 (1)缺省情况下,交换机上的所有端口属于哪一个VLAN(VLAN1) (2)Vlan最大编号是多少(4096) (3)交换机端口链路类型分为(ACCESS, TRUNK,,HYBRID) (4)什么是广播域(接收同样广播消息的节点的集合。) (5)Vlan基本功能是什么(隔离广播域) (6)不同VLAN之间互通为什么要用路由 (7)VLAN分类 (8)三层交换机基本功能(vlan内部二层交换,vlan间路由,vlan划分) (9)何种情况下需要在设备上配置静态路由(无动态路由协议情况下要到达非直连网段) (10)查看路由表的命令是什么 (11)用什么命令查看具体VLAN所包含的端口(DIS VLAN 2) 第三讲
配置实现访问控制列表ACL
石河子大学信息科学与技术学院 网络工程实验报告 课题名称:配置实现访问控制列表ACL 学生姓名: 学号: 学院:信息科学与技术学院专业年级: 指导教师: 完成日期:2014年4月25日
一、实验目的 1、熟练掌握2种访问控制列表的配置实现技术,特别掌握扩展ACL的配置方法。 2、掌握使用show access-list,show access-lists和show ip interface [接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。 3、能按要求利用Cisco Packet Tracer V5.00 模拟配置工具绘制出本实验的 网络拓扑图,并能实现拓扑的物理连接 4、熟悉2种ACL的配置方法及基本操作步骤,掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法 二、实验环境 PC机一台,并安装PACKET TRACER 5.0或以上版本 三、实验步骤 1、本实验的拓扑,如图所示:
2,PC0~PC2,server0,server1的IP配置: Step2:配置PC0的IP、子网掩码、默认网关、DNS 4项基本参数;(PC0: 1.1.1.100 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step3:配置PC1的IP、子网掩码、默认网关、DNS 4项基本参数;(PC1: 1.1.1.200 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step4:配置PC2的IP、子网掩码、默认网关、DNS 4项基本参数;(PC2: 2.2.2.100 255.255.255.0 GW: 2.2.2.1 DNS: 2.2.2.200) Step5:配置Server-PT Server0的IP、子网掩码、默认网关3项基本参数;(Server0: 2.2.2.200 255.255.255.0 GW: 2.2.2.1) Step6:配置Server-PT Server1的IP、子网掩码、默认网关3项基本参数;(Server0: 4.4.4.100 255.255.255.0 GW: 4.4.4.1)
H3C交换机典型(ACL)访问控制列表配置实例
H3C交换机典型(ACL)访问控制列表配置实例 一、组网需求: 2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器; 三、配置步骤: H3C 3600 5600 5100系列交换机典型访问控制列表配置 共用配置 1.根据组网图,创建四个vlan,对应加入各个端口
需求1配置(基本ACL配置) 1.进入2000号的基本访问控制列表视图 [H3C-GigabitEthernet1/0/1] acl number 2000 3.在接口上应用2000号ACL 需求2 1.进入 [H3C] 2 3 4 [H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000 需求3配置(二层ACL配置) 1.进入4000号的二层访问控制列表视图 [H3C] acl number 4000 2.定义访问规则过滤源MAC为00e0-fc01-0101的报文 [H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei
CCNA教材-初学者最好的教材2
目 录 课程表: (1) 开学、师资、教材、路由器及模块介绍 第一讲: (2) 资源环境及路由机架拓扑分析 (2) 第二讲:路由器及通信服务器的基本配置、思科认证 (5) 第三讲:路由器的各种密码设置及接口地址设置 (7) 第四讲:两地互连路由配置,路由变PC,模拟器的使用,静态路由 (9) 第五讲:三地互连路由配置,环回接口的使用,动态RIP路由 (16) 第六讲:路由器优化配置,默认路由,上下文帮助,IGRP路由协议 (22) 第七讲:有类路由与无类路由及IP地址的企业化应用 (28) 第八讲:EIGRP路由协议及CCNA认证考试及考题分析 (33) 第九讲:OSPF路由协议及MD7密码破解 (38) 第十讲:路由原理、编辑命令及网络案例故障分析 (40) 第十一讲:标准访问控制列表 (43) 第十二讲:扩展访问控制列表 (47) 第十三讲:命名及VTY访问控制列表,静态NAT (50) 第十四讲:动态NAT及端口NAT (53) 第十五讲:路由器的启动过程及特权密码破解 (58) 第十六讲:PPP配置、IOS及配置文件的升级与备份 (62) 第十七讲:帧中继的配置 (74) 第十八讲:帧中继的配置及排错 (78) 第十九讲:交换机的启动、工作原理及基本配置 (85) 第二十讲:交换机的安全配置 (86) 第二十一讲:交换机的VLAN配置 (90) 第二十二讲:单臂路由、VTP (96) 网络案例及通信服务器(总路由器)的配置 (97) 第二十三讲:综合练习 (105) ;
第二讲 路由器及通信服务器的基本配置 思科认证体系介绍 本课重点:掌握终端服务器及路由器的基本配置 实验一: COMM_SERV_RACK1>r1 回车 Translating "r1" 再回车 Trying r1 (1.1.1.1, 2001)... Open R1> --------------如要从该路由器返回到通信服务器 ctrl+shift+6 x ---返回到总路由器(通信服务器) show session -----显示会话数(占用了几个路由器) show host --------显示总路由器所连的设备代号 disconnect 1------主动释放某台路由器 show user --------显示连接到总路由器的用户 clear line 19 ---踢除某个用户 clear line 5 ----踢除5号线所连设备 quit/exit----------退出总路由器,释放所有路由器 实验二: R1: enable -----进入特权模式 disable-----从特权模式返回到用户模式 enable -----再次进入特权模式 config terminal----进入全局模式 exit ----返回上一层相当于DOS环境中的cd.. config terminal interface serial0 ---进入接口模式(26xx系列路由器如:r5则使用serial0/0) ip address 192.168.51.1 255.255.255.0 clock rate 64000 ----配置时钟(DCE) no shutdown -----------激活启用当前接口 end------返回到最顶层相当于DOS环境中的cd\ config terminal hostname r100----给路由器命名(区分大小写r1,从通信服务器转过来还用线名r1,非路由器名) end disable ping 192.168.xy.x/y !!!!!---拼通 .....---查错
理论提问相关.
第七讲防火墙与NAT配置 (1)包过滤防火墙工作原理 (2)NAT工作原理 (3)在配置NAT时,是ACL还是NAT TABLE确定哪些内网主机的地址将被转换(4)防火墙分类(包过滤和状态防火墙) (5)NAT的特点(功能) 节约IP地址 提高内网安全性 (6)配置包过滤防火墙的主要步骤(一,制定访问规则二,将访问规则作用在某个接口上) (7)访问控制列表中的反掩码中,0表示网段需要比较,1表示主机,不需要比较 第六讲广域网 (1)PPP协议时TCP/IP中那一层协议(数据链路层协议) (2)PPP协议组包含哪些部分(LCP,NCP,验证协议PAPCHAP) (3)广域网数据链路层协议包括哪几种(PPP HDLC,ISDN,帧中继) (4)PPP验证方式有哪几种,PAP CHAP,他们之间的区别 前者是明文验证,或者是密文验证。如果验证配置正确,显示接口信息,会发现IPCP OPENED,如果配置有误,验证没有通过,会有IPCP INITIAL (5)在配置验证过程中,如果只配置了主验证方,不配被验证方,通信正常么?(不正常)如果不配置主验证方,只配置被验证方,通信正常么(正常) (6)LOCAL-USER代表哪一方的用户(对方) (7)广域网常见的几种数据传输方式(点到点,电路交换,分组交换) 第五讲 (1)路由器的功能(寻路,转发) (2)如何查看路由器的型号和软硬件版本,DIS VERSION) (3)第一次拿到路由器,有几种方式登录上去(一种,CONSOLE) (4)如何更改路由器名称 (5)如何配置路由器的IP地址(如果配置交换机IP地址) (6)避免环路常用的措施是什么(水平分割,毒性逆转) (7)路由协议的分类(RIP,OSPF) (8)缺省路由概念 第四讲 (1)缺省情况下,交换机上的所有端口属于哪一个VLAN(VLAN1) (2)Vlan最大编号是多少(4096) (3)交换机端口链路类型分为(ACCESS,TRUNK,,HYBRID) (4)什么是广播域(接收同样广播消息的节点的集合。) (5)Vlan基本功能是什么(隔离广播域) (6)不同VLAN之间互通为什么要用路由 (7)VLAN分类 (8)三层交换机基本功能(vlan内部二层交换,vlan间路由,vlan划分) (9)何种情况下需要在设备上配置静态路由(无动态路由协议情况下要到达非直连网段) (10)查看路由表的命令是什么 (11)用什么命令查看具体VLAN所包含的端口(DIS VLAN2) 第三讲
ACL访问控制列表
ACL访问控制列表 Acl通常有两种,一种为标准的,一种有扩展的。 H3C标准ACL的序号为2000-2999 扩展的ACL序号为3000-3999 [RT1]firewall enable --开启防火墙功能 [RT1]acl num 2000 --写标准的ACL。(2000-2999) [RT1-acl-basic-2000]rule 0 deny source 1.1.1.0 0.0.0.255 --匹配源地址 [RT1-GigabitEthernet0/0/0]firewall packet-filter 2000 inbound --在入接口调用 [RT2]ip route-static 0.0.0.0 0.0.0.0 12.1.1.1 --加个默认路由,保证包能回来。 接下来我们更改ACL的写法,达到同样的目的! 首先将firewall默认的最后一条语句改为deny. [RT1]firewall default deny [RT1]acl num 2000 [RT1-acl-basic-2000]rule permit source 2.2.2.10 0 [RT1-acl-basic-2000]int g0/0/2 [RT1-GigabitEthernet0/0/2]firewall packet-filter 2000 outbound 因为acl的匹配原则为从上到下依次匹配,匹配到了就执行选项,deny或者是permit。在ACL,最后有一条隐含的语句。默认是permit any。可以更改!
下面写ACL,要求达到PC2可以Ping通R2。但是R2不能Ping通PC2。这个就需要运行扩展的ACL。 [RT1]acl number 3000 [RT1-acl-adv-3000]rule 0 deny icmp icmp-type echo source 12.1.1.2 0 destination 2.2.2.10 0 [RT1-acl-adv-3000]int g0/0/2 [RT1-GigabitEthernet0/0/2]firewall packet-filter 3000 inbound 验证一下实验结果; 要求,R1可以telnet到R3上,但是R1不能够Ping通R3。 R2: [RT2]firewall enable [RT2]acl num 3000 [RT2-acl-adv-3000]rule 0 permit tcp source 12.1.1.1 0 destination 23.2.2.3 0 destination-port eq 23 [RT2-acl-adv-3000]rule 5 deny icmp source 12.1.1.1 0 destination 23.2.2.3 0 [RT2-acl-adv-3000]int g0/0/1 [RT2-GigabitEthernet0/0/1]firewall packet-filter 3000 outbound 接下来在R3上开启telnet服务 [RT3]telnet server enable % Start Telnet server [RT3]user-interface vty 0 3 [RT3-ui-vty0-3]authentication-mode none [RT3-ui-vty0-3]quit
访问控制列表ACL的配置与使用
访问控制列表ACL的配置与使用 访问控制列表,即Access Control List,以下简称ACL,是路由器、交换机等网络设备上最常用的功能之一。可以说大多数的网络协议都跟ACL有着千丝万缕的联系,所以要弄清楚ACL的用法非常重要。 实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。 ACL的基本原理: 1、ACL由若干条件,并按照一定的顺序而成,同时每个条件都对应了一个策略:允许或者禁止。 2、收到一个数据帧之后,ACL会按照从上到下的顺序逐一匹配: ●一个条件不匹配就查看下一个; ●任意一个条件匹配后就按照指定的策略执行,并跳出匹配; ●所有条件都不匹配时,默认禁止,即deny。 根据条件描述的不同,我们通常可以将IP ACL分为基本型和扩展型两种。 其中基本型只能就数据包的源ip地址进行匹配; 而扩展型ACL就可以对源IP、目的IP、协议号(判断tcp/udp/icmp等)、源端口号、目的端口号、QoS 参数(tos、precedence)等参数来进行定义,同时在匹配时,还可以根据路由器系统时间(time-range)来变化、还可以选择是否生成日志(log)等,功能非常强大。 显然标准型ACL功能非常简单,而扩展型ACL功能非常强大;但是功能越强大,匹配的越详细,对于路由器等网络设备的性能要求越高,或者对于网速的拖慢越明显。组网时需要酌情使用。 不过有一点,两种类型的ACL在原理上是完全一致的。 标准型ACL只能匹配源IP地址,在实际操作中,有三种匹配方式: 1、any,任意地址 2、
配置实现访问控制列表ACL
网络工程课程设计报告 完成日期:2012年5月3日 题目名称: 配置实现访问控制列表ACL 专业班级: 电信09(1)班 学生姓名: 黄永生 学生学号: 2009082333 指导教师: 曹传东
路由器配置实验:配置实现ACL 一、实验目的 1.熟练掌握2种访问控制列表的配置实现技术,特别掌握扩展ACL的配置方法。 2.掌握使用show access-list,show access-lists和show ip interface [接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。 3.能按要求利用Cisco Packet Tracer V5.00 模拟配置工具绘制出本实验的网络拓扑图,并能实现拓扑的物理连接 4.熟悉2种ACL的配置方法及基本操作步骤,掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法 二、实验环境 PC机一台,并安装PACKET TRACER 5.0或以上版本 三、实验步骤 1.每人一机,安装并配置Cisco Packet Tracer V5.00模拟配置工具 2.在Cisco Packet Tracer V5.00模拟配置路由器中通过添加和连接设备构建出本 实验的实际相应的拓扑 实验拓扑: 3、逐个单击网络拓扑图中的每台设备,进入设备的命令交互操作,进行工作模式的切换和选择 4、利用命令检查设备的相关配置及信息 5、联系使用路由器/交换机IOS提供的CLI帮助系统和常用编辑功能键 6、在Cisco Packet Tracer V5.0模拟配置工具中,依据绘制的出的本实验的网络拓扑图,进行相应的设备基本呢配置及配置检查测试
访问控制列表(ACL)
访问控制列表(ACL) 第1节 理解ACL如何工作 最重要,也最强大的事情是需要一系列的访问控制。访问控制列表是一种细粒度,易维护以及易管理的方式来管理应用程序权限。访问控制列表或 ACL[1]处理2件主要的事情:他们想要的事情,以及想要他们的事情。按照ACL的行话来说,事情想要的使用的原料(最常见的是用户)称为访问请求对象,或者ARO(Access Request Object)。这些实体之所以称为'对象',是因为有的时候请求的对象不是一个人-有的时候你可能想限制访问某个Cake Controller,而此Controller在应用程序的其它部分不得不初始化逻辑。ACO可以是你想控制的任何东西,从一个Controller动作,到一个Web Service,或到一个你祖母的在线日记上去。 为了即刻使用所有的缩写形式,可以如下:ACL是用来决定一个ARO什么时候可以访问一个ACO。 现在,为了帮助你理解它,让我们使用一个实际的例子吧。假想一下,再过一会,一个冒险家们使用的计算机系统。这组冒险家的老大在为其他人员维护一个正常程度的隐私和安全时,他又想继续处理他们的请求。其中涉及到的ARO如下: Gandalf Aragorn Bilbo Frodo Gollum Legolas Gimli Pippin Merry 这些就是系统里的实体,他们会请求系统的东西(ACO)。你应该注意到ACL并“不是”一个系统,它的意思是指认证的用户。你也应该有一种方式来存储用户信息,而且当用户进入系统时,能够验证他们的身份。一旦你知道用户是谁时,这就是ACL真正发光之处!OK,还是让我们回到冒险家那里吧。 Gandalf需要做的下一件事情是制作一个系统会处理的东西(或ACO)的初始化列表.他的列表可能如下: 武器(Weapon) 环(Ring) 咸肉(Salted Pork) 外交策略(Diplomacy) 啤酒(Ale) 传统上,我们会使用一组矩阵来管理系统,此矩阵展示了一组用户和与之相关对象的权限。如果此信息存储在一个表里,它可能会像下面这样,其中X表示拒绝访问,O代表允许访问:
课设5:访问控制列表ACL的配置
课设5:访问控制列表ACL的配置 【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】:
【实验过程记录】: 步骤1:搭建拓扑结构,进行配置 (1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 192.168.1.1 192.168.1.254 PC1 192.168.1.2 192.168.1.254 PC2 196.168.1.1 196.168.1.254 PC3 195.168.1.1 195.168.1.254 PC4 197.168.1.1 197.168.1.254 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通
三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。
(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net 194.168.1.0 Route(config-route)#net 195.168.1.0 Route(config-route)#exit Route(config)#access-list 1 deny 192.168.1.0 0.0.0.255 Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end
访问控制列表详解(ACL)
CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。 (1)标准型IP访问列表的格式 ---- 标准型IP访问列表的格式如下: ---- access-list[list number][permit|deny][source address] ---- [address][wildcard mask][log] ---- 下面解释一下标准型IP访问列表的关键字和参数。首先,在access和list这2个关键字之间必须有一个连字符"-";其次,list number的范围在0~99之间,这表明该access-list 语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS,在0~99之间的数字指示出该访问列表和IP协议有关,所以list number参数具有双重功能: (1)定义访问列表的操作协议; (2)通知IOS在处理access-list语句时,把相同的list number参数作为同一实体对待。正如本文在后面所讨论的,扩展型IP访问列表也是通过list number(范围是100~199之间的数字)而表现其特点的。因此,当运用访问列表时,还需要补充如下重要的规则: 在需要创建访问列表的时候,需要选择适当的list number参数。 ---- (2)允许/拒绝数据包通过 ---- 在标准型IP访问列表中,使用permit语句可以使得和访问列表项目匹配的数据包通过接口,而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。source address代表主机的IP地址,利用不同掩码的组合可以指定主机。 ---- 为了更好地了解IP地址和通配符掩码的作用,这里举一个例子。假设您的公司有一个分支机构,其IP地址为C类的192.46.28.0。在您的公司,每个分支机构都需要通过总部的路由器访问Internet。要实现这点,您就可以使用一个通配符掩码0.0.0.255。因为C类IP地址的最后一组数字代表主机,把它们都置1即允许总部访问网络上的每一台主机。因此,您的标准型IP访问列表中的access-list语句如下: ---- access-list 1 permit 192.46.28.0 0.0.0.255 ---- 注意,通配符掩码是子网掩码的补充。因此,如果您是网络高手,您可以先确定子网掩码,然后把它转换成可应用的通配符掩码。这里,又可以补充一条访问列表的规则5。