CCNA考点精析-访问控制列表

1、CCNA考点精析一一访问控制列表ACL是一组推断语句的集合，它主要用于对如下数据进展掌握：、入站数据；、出站数据；、被路由器中继的数据工作过程、无论在路由器上有无ACL，接到数据包的处理方法都是一样的：当数据进入某个入站口时，路由器首先对其进展检查，看其是否可路由，假如不行路由那么就丢弃，反之通过查路由选择表发觉该路由的具体信息包括AD, METRIC及对应的出接口；、这时，我们假定该数据是可路由的，并且已经顺当完成了第一步，找出了要将其送出站的接口，此时路由器检查该出站口有没有被编入ACL,假如没有ACL的话，则直接从该口送出。假如该接口编入了 ACL,那么就比拟麻烦。第一种状况一一路由器将

2、根据从上到下的挨次依次把该数据和ACL进展匹配，从上往下，逐条执行，当发觉其中某条ACL匹配，则依据该ACL指定的操作对数据进展相应处理允许或拒绝，并停顿连续查询匹配；当查到ACL的最末尾，依旧未找到匹配，则调用ACL最末尾的一条隐含语句deny any来将该数据包丢弃。对于ACL，从工作原理上来看，可以分成两种类型:、入站ACL、出站ACL上面的工作过程的解释是针对出站ACL的。它是在数据包进入路由器，并进展了路由选择找到了出接口后进展的匹配操作；而入站ACL是指当数据刚进入路由器接口时进展的匹配操作，削减了查表过程并不能说入站表省略了路由过程就认为它较之出站表更好，依照实际状况而定：如下列

3、图，采纳根本的ACL针对源的访问掌握要求如下：、拒绝访问但允许访问、拒绝访问1.1.1. 2但允许访问采纳根本的ACL来对其进展掌握R1(config)#accessTist 1 R1(config)#accessTist 1 permit anyR1(config)#int e0R1(config-if)#access-group 1 inR2(config)#accessTist 1 permit anyR2(config)#int e0R2(config-if)#access-group 1 in从命令上来看，配置好像可以满意条件。假定从有数据包要发往，进入路由器接口 E0后，这里采纳的

4、是入站表，则不需查找路由表，直接匹配ACL,发觉有语句access-list 1 deny 1.1.1.2 0.0.0.255 拒绝该数据包，丢弃；假定从有数据包要发往，同上。当要和通信，数据包同样会被拒绝掉当要和通信，数据包也会被拒绝掉该ACL只能针对源进展掌握，所以无论目的是何处，只要满意源的匹配，则执行操作。如何解决此问题？、把源放到离目标最近的地方，使用出站掌握；、使ACL可以针对目的地址进展掌握。第一项很好理解，由于标准的ACL只能针对源进展掌握，假如把它放在离源最近的地方，那么就会造成不必要的数据包丧失的状况，一般将标准ACL放在离目标最近的位置！其次种方法，要针对目标地址进展掌握

5、。由于标准ACL只针对源，所以，这里不能采纳标准ACL,而要采纳扩展ACL.但是它也有它的劣势，对数据的查找工程多，虽然掌握很准确，但是速度却相对慢些。简洁比拟以下标准和扩展ACL标准ACL仅仅只针对源进展掌握扩展ACL可以针对某种协议、源、目标、端口号来进展掌握从命令行就可看出标准：Router(config) #access-list list-number扩展：Router ( config ) #access-list list-number protocol sourcesource-mask destination destination-mask operator operand

6、established logProtocol 用来指定协议类型，如IP、TCP、UDP、ICMP以及IGRP等Sourceand destination源和目的，分别用来标示源地址及目的地址Source-mask and destination-mask源和目的的通配符掩码Operator operandIt, gt, eq, neq (分别是小于、大于、等于、不等于)和一个端口号Established假如数据包使用一个已建连接(例如，具有ACK位组)，就允许TCP信息通过为了避开过多的查表，所以扩展ACL 一般放置在离源最近的地方看完上面的内容后，那么大家可以看以下几道关于CISCO访问掌

7、握列表的例题：1、What are two reasons that a network administrator would useaccess lists?(Choose two.)A:tocontrol vty access into a routerB:tocontrol broadcast traffic through arouterC:tofilter traffic as it passes througha routerD:tofilter traffic that originates fromthe routerE : to replace passwords as a

8、 line of defense against securityincursionsAnswers : A , C注：该题主要考察CISCO考生对ACL作用的理解：网络治理员在网络中使用ACL的两个理由？A 选项指出了 CISCO访问列表的一个用法：通过VTY线路来访问路由器的访问掌握；ACL不能对穿越路由器的播送流量作出有效掌握。选项C也指明白ACL的另一个作用，那就是过滤穿越路由器的流量。这里要留意了，是“穿越路由器的流量才能被ACL来作用，但是路由器本身产生的流量，比方路由更新报文等，ACL是不会对它起任何作用的:由于ACL不能过滤由路由器本身产生的流量，那么D也是错误的；、For s

9、ecurity reasons, the network administrator needs toprevent pings into the corporate networks from hosts outside theinternetwork. Which protocol should be blocked with access controllists?A:IPB:ICMPC:TCPD:UDPAnswers : B安全起见，网络治理员想要阻挡来自Internet上的外部主机PING企业内部网络，哪种协议必需在访问列表中被堵塞掉？ PING使用的是ICMP协议，在ACL中，我们

10、可以自己来定义需要被允许或者拒绝某些协议的流量。该题选B、 Refer to the exhibit. The access list has been configuredon the S0/0 interface of router RTB in the outbound direction. Whichtwo packets, if routed to the interface, will be denied?(Choosetwo.)access-list 101 deny tcp 192.168.15.32 0.0.0.15 any eq telnetaccess-list 101 permit ip any any访问掌握列表 TOC o 1-5 h z A:sourceipaddress：192.168.15.5 ；destinationport:21B:sourceipaddress：,192.168.15.37destinationport:21C:sourceipaddress：,192.168.15.41destinationport:21D:sourceipaddress：,192.168.15.36destinationport:23E : s