請選擇 進入手機版 | 繼續訪問電腦版

施勢帆老師的教學網站

 找回密碼
 註冊
搜索
熱搜: 活动 交友 discuz
查看: 79|回復: 28

CCNA 作業五 Access Control List

[複製鏈接]
shie 發表於 2021-5-11 15:41:58 | 顯示全部樓層 |閱讀模式
Refer : http://mouse.oit.edu.tw/Books/Network2/CCNP8/Lab%2008.ppt

Refer : http://mouse.oit.edu.tw/Books/Network2/CCNP8/Lab%2011.ppt

作業
(LAN 部分使用 208.52.xxx/24,
WAN 部分使用 175.82.xxx/24,
xxx代表學號末3碼,
學號末3碼超過250,使用末2碼)

模擬練習
1.明瞭OSPF動態繞送的運作原理
2.明瞭Access Control List工作原理

步驟:
1. PC1 tracert PC6
2. In Router 1,Router 2, Router3, Router4
   刪除所有EIGRP路由
   conf t
   no router eigrp 100
   router ospf 100
   network 211.81.xxx.0 0.0.0.255 area 0
   network 151.61.0.0 0.0.255.255 area 0
3. R1 s0/2 斷線
   conf t
   int s0/2
   shutdown
4.等待一段時間並觀察路由表   PC1 tracert PC6

作業圖 I Router 1 的 OSPF routing table



作業圖 II Router1 s0/2 斷線前後 PC1 tracert PC6 (三步變成四步)



I. 標準 ACL
實驗要求:不允許172.16.0.0/16, 192.168.2.0/24, 192.168.3.1連線至PC1。
For router 1

en
conf t
access-list 1 deny 172.16.0.0 0.0.255.255
access-list 1 deny 192.168.2.0 0.0.0.255
access-list 1 deny host 192.168.3.1
access-list 1 permit any
int f0/0
ip access-group 1 out
exit
exit
copy run start
sh ip int f0/0


作業圖 III
Router 1 的組態



作業圖 IV
PC1 Tracert PC6 & PC2



II.延伸ACL
實驗要求:Router 2 只允許由 Router 3 來telnet。

For router 2

en
conf t
line vty 0 4
login
password xxxxxx
exit
access-list 101 permit tcp host 172.16.2.253 any eq telnet
access-list 101 permit tcp host 172.16.3.254 any eq telnet
access-list 101 permit tcp host 172.16.5.253 any eq telnet
access-list 101 deny tcp any any eq telnet
access-list 101 permit ip any any
int s0/1
ip access-group 101 in
int f0/1
ip access-group 101 in
exit
exit
copy run start
sh start

作業圖 V
Router 2 的組態



作業圖 VI
Router 3 telnet Router 2



作業圖 VII
Router 1 telnet Router 2



III.延伸ACL - PING
實驗要求:Router 3 只允許由 PC6 來 ping。

For router 3

en
conf t
access-list 101 permit icmp host 192.168.3.1 any
access-list 101 deny icmp any any
access-list 101 permit ip any any
int s0/0
ip access-group 101 in
int s0/2
ip access-group 101 in
int f0/0
ip access-group 101 in
int f0/1
ip access-group 101 in
exit
exit
copy run start
sh start

作業圖 VIII
Router 3 的組態



作業圖 IX
PC6 Tacert Router 3 & PC 10


本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B106103239 發表於 前天 10:47 | 顯示全部樓層











[url=]Network.rar[/url]

本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103246 發表於 前天 10:51 | 顯示全部樓層

















本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103208 發表於 前天 10:54 | 顯示全部樓層
1.


2.


3.


4.


5.


6.


7.


8.


9.

本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103247 發表於 前天 11:22 | 顯示全部樓層











本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103214 發表於 前天 11:30 | 顯示全部樓層

本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103209 發表於 前天 11:43 | 顯示全部樓層

訪問控制列表(ACL)是應用在路由器介面的指令列表(即規則)。這些指令列表用來告訴路由器,那些資料包可以接受,那些資料包需要拒絕。

訪問控制列表(ACL)的工作原理

ACL使用包過濾技術,在路由器上讀取OSI七層模型的第3層和第4層包頭中的資訊。如源地址,目標地址,源埠,目標埠等,根據預先定義好的規則,對包進行過濾,從而達到訪問控制的目的。

ACl是一組規則的集合,它應用在路由器的某個介面上。對路由器介面而言,訪問控制列表有兩個方向。

出:已經過路由器的處理,正離開路由器的資料包。

入:已到達路由器介面的資料包。將被路由器處理。OSPF協定是「開放式最短路徑優先(Open Shortest Path First)」的縮寫,屬於鏈路狀態路由協定。

OSPF提出了「區域(area)」的概念,每個區域中所有路由器維護著一個相同的鏈路狀態資料庫(LSDB)。區域又分為骨幹區域(骨幹區域的編號必須為0)和非骨幹區域(非0編號區域),如果一個執行OSPF的網路只存在單一區域,則該區域可以是骨幹區域或者非骨幹區域。如果該網路存在多個區域,那麼必須存在骨幹區域,並且所有非骨幹區域必須和骨幹區域直接相連。OSPF利用所維護的鏈路狀態資料庫,通過最短路徑優先演算法([size=15.008000373840332px]SPF演算法)計算得到路由表。OSPF的收斂速度較快。由於其特有的開放性以及良好的擴充性,目前OSPF協定在各種網路中廣泛部署。

來源:https://zh.wikipedia.org/wiki/路由协议#OSPF

       :https://www.itread01.com/content/1547119823.html

心得:這是最後一次模擬,但模擬器過期了很可惜沒辦法做最後一次,ospf有良好的擴充性,所以很常被使用,在這堂課上學到了很多。


1061B107103256 發表於 前天 11:47 | 顯示全部樓層
1.

2.

3.

4.

5.

6.

7.

8.

9.




本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103205 發表於 前天 11:51 | 顯示全部樓層
123456789

本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103225 發表於 前天 11:57 | 顯示全部樓層
1

2

3

4

5

6

7

8


9


本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103212 發表於 前天 12:02 | 顯示全部樓層
檔案系統ACL檔案系統ACL是一種數據結構(通常是表),其中包含指定特定系統對象(如程式,進程或檔案)的單個用戶或組許可權的條目。這些條目在Microsoft Windows NT,OpenVMS,類Unix和Mac OS X作業系統中稱為訪問控制條目(ACE)。每個可訪問對象都包含其ACL的標識符。特權或許可權確定特定的訪問許可權,例如用戶是否可以讀取,寫入或執行對象。在一些實現中,ACE可以控制用戶或用戶組是否可以改變對象上的ACL。
大部分的Unix和類Unix作業系統(例如Linux中,BSD或Solaris)支持POSIX.1e的ACL,基於所於1997年他們中的許多撤回,例如AIX,FreeBSD的早期POSIX草案從版本10.4(“Tiger”)開始的Mac OS X,或帶有ZFS檔案系統的Solaris,支持NFSv4 ACL,它們是NFSv4標準的一部分。有NFSv4 ACL的用於Linux的兩個實驗實現:用於Ext3檔案系統和最近Richacls NFSv4 ACL的支持,其帶來了對檔案系統的Ext4 NFSv4 ACL的支持。
PRIMOS至少早在1984年就有ACL。
在20世紀90年代,ACL和RBAC模型被廣泛測試並用於管理檔案許可權。

網路ACL在某些類型的專有計算機硬體(特別是路由器和交換機)上,訪問控制列表提供套用於主機或其他第3層上可用的連線埠號或IP位址的規則,每個規則都包含主機列表和/或允許使用該服務的網路。雖然還可以根據網路域名配置訪問控制列表,但這是一個值得懷疑的想法,因為各個TCP,UDP和ICMP標頭不包含域名。因此,強制執行訪問控制列表的設備必須單獨將名稱解析為數字地址。這為攻擊者提供了額外的攻擊面,該攻擊者試圖破壞訪問控制列表正在保護的系統的安全性。單個伺服器和路由器都可以具有網路ACL。通常可以將訪問控制列表配置為控制入站和出站流量,在此上下文中,它們與防火牆類似。與防火牆一樣,ACL可能受到安全法規和PCI DSS等標準的制約。

SQL實現ACL算法已移植到SQL和關係資料庫系統。許多“現代”(2000年代和2010年代)基於SQL的系統(如企業資源規劃和內容管理系統)在其管理模組中使用了ACL模型。
心得:沒想到ACL所包含的項目這麼多,而隨著世代的進步也越來越廣泛。而今天是最後一堂課,很可惜因為疫情關係沒辦法在學校體驗,希望之後也有機會學到這麼多的相關知識

1061B108103210 發表於 前天 12:17 | 顯示全部樓層
1.

2.

3.

4.

5.

6.

7.

8.

9.


本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103217 發表於 前天 12:22 | 顯示全部樓層
本帖最後由 1061B108103217 於 2021-6-22 12:24 編輯

1.

2.

3.

4.

5.

6.

7.

8.

9.




本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103220 發表於 前天 12:47 | 顯示全部樓層





















本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103253 發表於 前天 12:54 | 顯示全部樓層

本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103204 發表於 前天 13:08 | 顯示全部樓層












本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103244 發表於 前天 13:26 | 顯示全部樓層
1.

2.

3.

4.

5.

6.

7.

8.

9.





本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103226 發表於 前天 13:49 | 顯示全部樓層
1.

2.

3.

4.

5.

6.

7.

8.


9.



本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103235 發表於 前天 14:32 | 顯示全部樓層
1

2

3

4

5

6

7

8

9

[url=]108103235(2).rar[/url]

本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103231 發表於 前天 15:02 | 顯示全部樓層
























本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103224 發表於 前天 15:19 | 顯示全部樓層
本帖最後由 1061B108103224 於 2021-6-22 15:20 編輯

Access Control List
    存取控制串列(Access Control List,ACL),又稱訪問控制表,是使用以存取控制矩陣為基礎的存取控制表,每一個(檔案系統內的)物件對應一個串列主體。存取控制串列由存取控制條目(access control entries,ACE)組成。存取控制串列描述使用者或系統行程對每個物件的存取控制權限。
存取控制串列的主要缺點是不可以有效迅速地枚舉一個物件的存取權限。因此,要確定一個物件的所有存取權限需要搜尋整個存取控制串列來找出相對應的存取權限。
使用存取控制原則
    Access Manager 利用虛擬的表示法來代表安全網域中的資源 -- 稱為「受保護的物件空間」。您可藉由定義特殊的安全原則(規則),然後將這些規則附加到資源在受保護的物件空間中的物件表示法,來保護這個資源。
負責定義可存取物件之人員以及可對物件執行之作業的原則類型,稱為存取控制清單原則或 ACL 原則。ACL 原則是用來協助將組織的安全原則戳印到屬於安全網域的資源。
ACL 原則簡介
    存取控制清單原則(ACL)是 Access Manager 所使用的一種方法,可對安全網域中的提供縝密的保護。
ACL 原則是一組規則或許可權,可指定在對受保護的物件執行作業時的必要條件。ACL 原則可識別在受保護的物件上所允許的作業,並且會列出可執行這些作業的身份(使用者和群組)。
  • 使用者和群組的身份是在 Access Manager 登錄中定義。
  • 受保護的物件空間和 ACL 原則是在主要授權資料庫中定義。
     每一個 ACL 原則都有一個唯一的名稱或標籤。每一個 ACL 原則都可以映射到一或多個物件。
ACL 原則是由一或多個項目組成,這些項目包含了使用者和群組的指定,以及他們的特定許可權。

ACL 原則項目
     ACL 原則由一或多個項目組成:這些項目說明了以下各個部分:
  • 其物件存取權受到明確控制的使用者名稱和群組名稱
  • 允許每一個使用者、群組或角色執行的特定作業
  • 允許特殊的 any-other 和 unauthenticated 使用者種類執行的特定作業
    使用者代表任何已經鑑別的 Access Manager 身份。一般來說,使用者代表網路使用者或應用程式伺服器。
群組是指一或多個使用者的集合。網路管理者可以使用群組 ACL 項目來輕易地 將同樣的許可權指定給多位使用者。安全網域的新使用者可藉由成為相關群組的成員,來取得對物件的存取權。這樣可以省去為每一個新使用者建立新 ACL 項目的需求。群組可代表安全網域中的組織部門。群組對於定義角色或功能關聯非常有用。
使用者和群組統稱為實體。
ACL 中的使用者和群組項目其實就是利用泛用唯一識別字 (UUID) 來進行儲存作業的。當您從網域中刪除某個使用者或群組,然後再用相同名稱加以重建時,UUID 便可提供額外的安全性。例如,即使某個使用者和被刪除的使用者有相同的名稱,Access Manager 仍會分配一個新的 UUID 給這個使用者。這個新的 UUID 是新的 UUID,所以任何參照舊使用者名稱的現存 ACL 不會再授與任何權限給這個新的使用者。原則伺服器 (pdmgrd) 也會以自動的方式移除 ACL 中陳舊的 UUID(被刪除的使用者和群組所擁有的 UUID)。

建立和指名 ACL 原則
     您可以使用 Web Portal Manager 或 pdadmin acl create 指令來建立一個唯一的 ACL 原則,然後用一個名稱加以儲存。這樣您就可以將 ACL 附加到受保護的物件空間中的物件,來套用安全原則。
ACL 會成為一個單一的來源原則(類似公式或秘訣),其中包含特定的項目,可為所有相關物件提供正確的保護層次。如果安全原則的基本要求改變,您只需要編輯單一的 ACL。新的安全定義會針對受到 ACL 影響的所有物件立即實作。


心得:
這是這學期最後一堂計算機網路實習,雖然因為疫情而無法到學校上課有點可惜,不過還好老師有將上課內容錄影下來,才能重複的看不懂的地方。這禮拜在學存取控制串列ACL所包含的項目很多,隨著世代的進步也使用的越來越廣泛了,因此也變得蠻重要的。

本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
1061B108103250 發表於 前天 16:32 | 顯示全部樓層
本帖最後由 1061B108103250 於 2021-6-22 16:52 編輯

ACL運作模式

(A) 防禦主機與屏蔽路由器

防火牆最普遍的建構是架設封包過濾器,但它過濾的條件應該有許多條件。最簡單的建置是將所需的過濾條件歸納為『存取控制清單』(Access Control List, ACL),Cisco 路由器大多具有此功能,如果管理得妥當,也是一個很理想的防火牆功能。但路由器 ACL 的過濾條件並沒有專屬防火牆那麼強,大多僅能過濾 IP 位址與 TCP/UDP 埠口為主,並無法辨識訊息型號,譬如 TCP 的 SYN 與 ACK 旗標,或 ICMP 訊息等等。雖然利用 ACL 製作的防火牆的功能較低,但是學習防火牆的入門功課,本章就先以 ACL 管理方式,來介紹防火牆的架設方法。

其實,ACL 控制封包進出並非只有路由器,一般伺服主機也大多具有,如果依照 ACL 所安裝的裝置,可區分為:

l   防禦主機:伺服主機具有 ACL 功能,可過濾封包是否可以存取主機內所安裝的伺服器系統。

l   屏蔽路由器:路由器具有 ACL 功能,可過濾封包是否允許通過路由器,進入或出去內部網路。

(B) ACL 運作模式

當封包進入路由器時,會依照 ACL 表內過濾條件逐條列出,比對順序如下:

(1) 由上而下依序比對每筆條件,一直到條件符合為止;

(2) 比對中,如符合條件是『允許』(permit) 表示允許該封包通過,並停止往下比對;

(3) 比對中,如符合條件是『禁止』(deny),表示禁止該封包通過,並停止往下比對;

(4) 如果都沒有符合,但最後一筆是 Permit Any,則該封包允許通過;

(5) 如果都沒有符合,但最後一筆是Deny Any,則該封包不允許通過。

ACL條件和種類

(A) ACL 從嚴或從寬條件敘述

每一個封包進入或出去都會逐條比對存取控制清單,但以上皆非時,最後一筆條件有兩種處理方式:

(1) 從嚴條件:最後一筆如是 Deny any,表示以上條件都不符合,則拒絕通過。

(2) 從寬條件:最後一筆如是 Permit any,表示以上條件都不符合,則允許通過。

(B) Cisco 路由器 ACL 種類

Cisco 路由器的存取控制清單有三種:

(1) 『標準存取控制清單』( Standard ACL):僅檢視 IP 封包中的來源位址(source address) ,來決定封包是否允許通過,編號由 1~99, 1300~1999。

(2) 『延伸式存取清單』(Extended ACL):可比對 IP 封包中的 IP 標頭與上一層(TCP、UDP、、)標頭內的多個欄位,屬於比較進階細膩的過濾條件。編號由 100 ~ 199、2000 ~ 2699。

(3) 『名稱式存取清單』(Named ACL):是屬於前面兩種存取清單,但僅以名稱命名,也許這樣比較能了解該清單目的與功能。

(C) 存取條件的方向性

每筆存取條件都有其方向性:

(1) 『進入』(Inbound):如存取清單被宣告成 Inbound,表示是針對進入裝置(路由器)封包的條件過濾。

(2) 『出去』(Outbound):如存取清單被應用於 Outbound,表示是針對離開裝置(路由器)封包的過濾條件。

ACL語法

(A) Standard ACL 語法

每筆 ACL 都有編號,由 1 ~ #,其中 1 ~ 99 保留給 Standard ACL 使用,每一個編號表示可以多筆 ACL 紀錄,宣告語法如下:

# access-list 1~99 deny | permit host IP_address wildmask

譬如,在路由器的 fa0/1 介面哩,產生一個『進入』(in) 封包的過濾條件是:

(B) Extended ACL 語法

Extended ACL 過濾條件包含有 IP 封包標頭外,還可增加 TCP、UDP 或 ICMP 標頭訊息,語法如下:

# access-list 100~199 deny|permit ip|TCP|UDP|ICMP  host

(C) Named ACL語法

Names ACL 過濾條件允許包含 IP、TCP、UDP 或 ICMP 標頭訊息,取一只 ACL 條件名稱,再加入各種條件敘述,語法如下:

# access-list extended ACL_Name

心得:
這是這學期最後一堂計算機網路實習,因為疫情而無法到學校上課相當可惜,不過還好老師有將上課內容錄影下來,才能重複的看不懂的地方,但是要實際操作的話對我來說還是困難重重。這禮拜在學存取控制串列ACL所包含的項目很多,隨著世代的進步也使用的越來越廣泛了,因此也變得蠻重要的。



1061B108103254 發表於 前天 18:22 | 顯示全部樓層
Access Control List

眾所周知,防火牆可以透過設定來控制所通過的網路封包,以便於決定何種網路協定或何種埠的封包能夠通過,甚至可設定哪些來源端或目的地端套用這樣的設定。防火牆就是由許多這樣的規則所組成,以增加網路的安全性,而Cisco網路設備也可以提供這樣的功能,本文將示範如何設定Cisco路由器來當作網路防火牆。
為了讓Cisco路由器擁有如防火牆般的功能,最重要的技術就是透過Access Control List來完成。Access Control List簡稱ACL,可稱為存取控制清單。

簡單來說,存取控制清單包含一些規則,每一條規則可用來定義要允許或拒絕特定形式的網路封包,而這裡的特定形式,則包含網路協定的定義、來源端或目的地端的指定,或是埠的指定之類。接下來,說明Cisco路由器的存取控制清單的概念。

存取控制清單簡介

顧名思義,存取控制清單就是一個清單,內容包含一些「規則」,也可以視為條件,用來指導Cisco路由器設備如何辨識某些網路封包,以及對這些網路封包做哪些動作。

例如,網路管理人員想要阻絕某些網路封包,只允許其他特定的網路封包,當網路管理人員在Cisco路由器設備上設定好存取控制清單後,在網路封包通過Cisco路由器設備時,就會依據存取控制清單的內容來決定是否讓這個網路封包經過。

可是,存取控制清單只能過濾「通過」路由器設備的網路封包,而從路由器設備自行產生的網路封包,存取控制清單並不會過濾處理。

在Cisco IOS上,若不設定存取控制清單,也可以使用Cisco網路設備,但如果適當使用的話會更好。基本上,存取控制清單分為以下兩種類型:

1. 標準型存取控制清單
2. 延伸型存取控制清單

標準型存取控制清單與延伸型存取控制清單最大的不同之處,在於標準型會檢查網路封包的來源IP位址,延伸型存取控制清單則檢查網路封包的來源IP位址和目的地IP位址。

除此之外,標準型存取控制清單只能針對所有的網路協定來做處理,不針對特定的網路協定指定允許或拒絕的動作處理。延伸型存取控制清單則可針對特定的網路協定進行處置。由此看來,延伸型的存取控制清單的能力比較強大,可設定的地方比較多。

延伸型存取控制清單內的規則,除了可以指定網路協定外,還可以在協定後面加上埠的編號,以便指明要套用在何種通訊埠的網路封包。一般而言,網路管理人員都會指明比較常見的埠編號(Well Known Ports),底下列出一些常見的埠編號以及所對應的網路服務。

常見的埠編號及其對應的網路服務

根據以上的說明,可以歸納出延伸型存取控制清單多了以下幾種功能:

1. 檢查目的端位址
2. 可以指定網路協定
3. 可以指定埠



1061B108103228 發表於 前天 19:53 | 顯示全部樓層
訪問控制列表(ACL)是應用在路由器介面的指令列表(即規則)。這些指令列表用來告訴路由器,那些資料包可以接受,那些資料包需要拒絕。

訪問控制列表(ACL)的工作原理

ACL使用包過濾技術,在路由器上讀取OSI七層模型的第3層和第4層包頭中的資訊。如源地址,目標地址,源埠,目標埠等,根據預先定義好的規則,對包進行過濾,從而達到訪問控制的目的。

ACl是一組規則的集合,它應用在路由器的某個介面上。對路由器介面而言,訪問控制列表有兩個方向。

出:已經過路由器的處理,正離開路由器的資料包。

入:已到達路由器介面的資料包。將被路由器處理。OSPF協定是「開放式最短路徑優先(Open Shortest Path First)」的縮寫,屬於鏈路狀態路由協定。

OSPF提出了「區域(area)」的概念,每個區域中所有路由器維護著一個相同的鏈路狀態資料庫(LSDB)。區域又分為骨幹區域(骨幹區域的編號必須為0)和非骨幹區域(非0編號區域),如果一個執行OSPF的網路只存在單一區域,則該區域可以是骨幹區域或者非骨幹區域。如果該網路存在多個區域,那麼必須存在骨幹區域,並且所有非骨幹區域必須和骨幹區域直接相連。OSPF利用所維護的鏈路狀態資料庫,通過最短路徑優先演算法([size=15.008000373840332px]SPF演算法)計算得到路由表。OSPF的收斂速度較快。由於其特有的開放性以及良好的擴充性,目前OSPF協定在各種網路中廣泛部署。

來源:https://zh.wikipedia.org/wiki/路由协议#OSPF

       :https://www.itread01.com/content/1547119823.html

心得:這是最後一次模擬,但模擬器過期了很可惜沒辦法做最後一次,ospf有良好的擴充性,所以很常被使用,在這堂課上學到了很多這是這學期最後一堂計算機網路實習,因為疫情而無法到學校上課相當可惜,不過還好老師有將上課內容錄影下來,才能重複的看不懂的地方,但是要實際操作的話對我來說還是困難重重。這禮拜在學存取控制串列,ACL所包含的項目很多,隨著世代的進步也使用的越來越廣泛了,因此也變得蠻重要的。
1061B108103223 發表於 前天 20:12 | 顯示全部樓層
存取控制串列(Access Control List,ACL),又稱訪問控制表,是使用以存取控制矩陣
為基礎的存取控制表,每一個(檔案系統內的)物件對應一個串列主體。存取控制串列由存取控制條目(access control entries,ACE)組成。存取控制串列描述使用者或系統行程對每個物件的存取控制權限。
存取控制串列的主要缺點是不可以有效迅速地枚舉一個物件的存取權限。因此,要確定一個物件的所有存取權限需要搜尋整個存取控制串列來找出相對應的存取權限。
為了讓Cisco路由器擁有如防火牆般的功能,最重要的技術就是透過Access Control List來完成。Access Control List簡稱ACL,可稱為存取控制清單。

簡單來說,存取控制清單包含一些規則,每一條規則可用來定義要允許或拒絕特定形式的網路封包,而這裡的特定形式,則包含網路協定的定義、來源端或目的地端的指定,或是埠的指定之類。接下來,說明Cisco路由器的存取控制清單的概念。

存取控制清單

顧名思義,存取控制清單就是一個清單,內容包含一些「規則」,也可以視為條件,用來指導Cisco路由器設備如何辨識某些網路封包,以及對這些網路封包做哪些動作。

例如,網路管理人員想要阻絕某些網路封包,只允許其他特定的網路封包,當網路管理人員在Cisco路由器設備上設定好存取控制清單後,在網路封包通過Cisco路由器設備時,就會依據存取控制清單的內容來決定是否讓這個網路封包經過。

可是,存取控制清單只能過濾「通過」路由器設備的網路封包,而從路由器設備自行產生的網路封包,存取控制清單並不會過濾處理。

在Cisco IOS上,若不設定存取控制清單,也可以使用Cisco網路設備,但如果適當使用的話會更好。基本上,存取控制清單分為以下兩種類型:

1. 標準型存取控制清單
2. 延伸型存取控制清單

標準型存取控制清單與延伸型存取控制清單最大的不同之處,在於標準型會檢查網路封包的來源IP位址,延伸型存取控制清單則檢查網路封包的來源IP位址和目的地IP位址。

除此之外,標準型存取控制清單只能針對所有的網路協定來做處理,不針對特定的網路協定指定允許或拒絕的動作處理。延伸型存取控制清單則可針對特定的網路協定進行處置。由此看來,延伸型的存取控制清單的能力比較強大,可設定的地方比較多。

心得:
這是這學期最後一堂計算機網路實習,因為疫情而無法到學校上課相當可惜,不過還好老師有將上課內容錄影下來,才能重複的看不懂的地方,但是要實際操作的話對我來說還是困難重重。這禮拜在學存取控制串列,ACL所包含的項目很多,隨著世代的進步也使用的越來越廣泛了,因此也變得蠻重要的。



您需要登錄後才可以回帖 登錄 | 註冊

本版積分規則

小黑屋|手机版|Archiver|施勢帆老師的教學網站  

GMT+8, 2021-6-24 20:41 , Processed in 0.107173 second(s), 17 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回復 返回頂部 返回列表