如何解决此问题?
1、把源放到离目标最近的地方,使用出站控制;
2、使ACL可以针对目的地址进行控制。
第一项很好理解,因为标准的ACL只能针对源进行控制,如果把它放在离源最近的地方,那么就会造成不必要的数据包丢失的情况,一般将标准ACL放在离目标最近的位置!
第二种办法,要针对目标地址进行控制。因为标准ACL只针对源,所以,这里不能采用标准ACL,而要采用扩展ACL.但是它也有它的劣势,对数据的查找项目多,虽然控制很精确,但是速度却相对慢些。
简单比较以下标准和扩展ACL。
标准ACL仅仅只针对源进行控制。
扩展ACL可以针对某种协议、源、目标、端口号来进行控制。
从命令行就可看出:
标准:
Router(config)#access-list list-number
扩展:
Router(config)#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]
Protocol—用来指定协议类型,如IP、TCP、UDP、ICMP以及IGRP等。
Source and destination—源和目的,分别用来标示源地址及目的地址。
Source-mask and destination-mask—源和目的的通配符掩码。
Operator operand—It,gt,eq,neq(分别是小于、大于、等于、不等于)和一个端口号。
Established—如果数据包使用一个已建连接(例如,具有ACK位组),就允许TCP信息通过。
为了避免过多的查表,所以扩展ACL一般放置在离源最近的地方。
看完上面的内容后,那么大家可以看以下几道关于CISCO访问控制列表的例题:
1、What are two reasons that a network administrator would use access lists? (Choose two.)
A:to control vty access into a router
B:to control broadcast traffic through a router
C:to filter traffic as it passes through a router
D:to filter traffic that originates from the router
E:to replace passwords as a line of defense against security incursions
Answers: A, C
注:该题主要考察CISCO考生对ACL作用的理解:网络管理员在网络中使用ACL的两个理由?
A选项指出了CISCO 访问列表的一个用法:通过VTY线路来访问路由器的访问控制;
ACL不能对穿越路由器的广播流量作出有效控制。
选项C也指明了ACL的另一个作用,那就是过滤穿越路由器的流量。这里要注意了,是“穿越”路由器的流量才能被ACL来作用,但是路由器本身产生的流量,比如路由更新报文等,ACL是不会对它起任何作用的:因为ACL不能过滤由路由器本身产生的流量,那么D也是错误的;
2、For security reasons, the network administrator needs to prevent pings into the corporate networks from hosts outside the internetwork. Which protocol should be blocked with access control lists?
A: IP
B: ICMP
C: TCP
D: UDP
Answers: B
安全起见,网络管理员想要阻止来自Internet上的外部主机PING企业内部网络,哪种协议必须在访问列表中被阻塞掉?PING使用的是ICMP协议,在ACL中,我们可以自己来定义需要被允许或者拒绝某些协议的流量。该题选B
3、Refer to the exhibit. The access list has been configured on the S0/0 interface of router RTB in the outbound direction. Which two packets, if routed to the interface, will be denied? (Choose two.)
access-list 101 deny tcp 192.168.15.32 0.0.0.15 any eq telnet
access-list 101 permit ip any any
访问控制列表
A:source ip address: 192.168.15.5; destination port: 21
B:source ip address:, 192.168.15.37 destination port: 21
C:source ip address:, 192.168.15.41 destination port: 21
D:source ip address:, 192.168.15.36 destination port: 23
E:source ip address: 192.168.15.46; destination port: 23
Correct Answers: B, E
如图,在RTB上配置了访问列表,控制从S0/0口出去向外部的由192.168.15.32/29网段发起的telnet流量,其它流量允许通过。telnet使用23号端口,由此可以排除掉ABC三个选项。该题选择D,E。
.分页: [1] [2]
TAG: 路由器 访问控制列表