《《网络安全-郑万波》网络安全-7.ppt》由会员分享,可在线阅读,更多相关《《网络安全-郑万波》网络安全-7.ppt(103页珍藏版)》请在三一文库上搜索。
1、网络安全,第 7 讲,2,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 访问控制列表配置,3,引言,路由器是一种用于网络互连的专用计算机设备,在网络建设中具有不可替代的作用。路由器工作在OSI参考模型的第三层网络层,它的主要作用是为收到的报文寻找正确的路径,并把它们转发出去。 作为路由器,必须具备: 两个或两个以上的接口(用于连接不同的网络); 协议至少实现到网络层(只有理解网络层协议才能与网络层通讯); 至少支持两种以上的子网协议; 具有存储、转发、寻址功能; 一组路由协议。,4,引言,路由器的用途: 异种网络互连:主要是指具有异种子网协议的网络互连。路由器在报文转发的
2、过程中实现协议转换; 速率适配:不同接口具有不同的速率,路由器可以利用自己的缓冲区、队列等能力实现对不同速率网络的适配; 隔离网络,防止广播风暴,链路层的报文不会通过路由器转发,网络层的广播报文也不会穿过路由器转发; 路由(寻址):路由表建立、刷新、查找; 分片与重组:接口的MTU不同时,超过接口的MTU的报文会被路由器分片,只有到达目的地的报文才会被重组; 备份流控等。,5,引言,在默认情况下,路由器访问密码存储在固定位置,用sniffer嗅探器很容易获得登录名和密码,使得路由器完全受到攻击者控制,从而入侵整个路由器管理的网络。 目前的路由器种类繁多,优质的路由器都有自己丰富的安全机制,一般
3、都内置了防火墙、入侵检测系统等,但还进一步需要网络管理员配置相应的安全策略及进行相应的管理。 国内应用最多的主要有思科公司的IOS平台和华为公司的VRP平台。,6,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 访问控制列表配置,7,路由器安全概述,路由器相关安全特性具有两层含义:保证内部局域网的安全和保护外部进行数据交换的安全。 在开放式的网络环境中,每个网络都是一种对等关系,相互之间可以直接访问。为了增强网络的安全性,需要将这种对等界定在一定的范围之内。使开放的环境处于一种受控的状态。,8,路由器安全概述,针对网络存在的各种安全隐患,路由器必须具有的安全特性包括:身份认
4、证、访问控制、信息隐藏、数据加密和防伪、安全管理、可靠性和线路安全。 可靠性要求主要针对故障恢复、负载能力和主设备运行故障时,备份自动接替工作。 负载分担主要指网络流量增大时,备份链路承担部分主要链路的工作。 线路安全指的是线路本身的安全性,用于防止非法用户利用线路进行访问。 网络安全身份认证包括:访问路由器时的身份认证、Console登录配置、Telnet登录配置 、SNMP登录配置、Modem远程配置、对其它路由的身份认证、直接相连的邻居路由器配置、逻辑连接的对等体配置、路由信息的身份认证、防伪造路由信息的侵入安全特性。,9,路由器安全概述,身份认证是网络安全中的重要问题之一,主要保证只有
5、合法的用户和经过授权的用户才可以访问、控制路由器。如需要配置路由器时,需要验证用户名和密码。路由器安全技术中包括AAA(Authentication、Authorization、Accounting),它是验证、授权和记账的简称。网络安全服务提供一个实现身份认证的框架来支持验证、授权、记账服务,使用RADIUS等协议实现对网络的访问控制。AAA技术可以提供基于用户的验证、授权、记账服务。基于用户的含义是,AAA技术不是根据IP地址等信息来验证用户,而是根据用户名、口令对用户进行验证。RADIUS采用客户机/服务器(Client/Server)结构。验证、授权时客户端的任务是将用户(User)的
6、信息发送到指定的服务器,然后根据服务器的不同响应进行相应处理。,10,路由器安全概述,访问控制是路由器提供的一种重要策略,访问控制可以有效地防止一些非法的访问。包过滤技术提供访问控制的基本框架,从而实现基于IP地址等信息的包过滤、提供基于接口的包过滤和提供基于时间段的包过滤,包过滤技术是利用访问控制列表实现的一种防火墙技术。它是最常用的访问控制手段。 可以通过地址转换技术来实现信息隐藏,使用地址转换技术可以隐藏内网的网络结构、IP地址等信息,增强了内网的安全特性。,11,路由器安全概述,利用公网传输数据不可避免地面临数据窃听的问题,于是出现了数据加密和防伪技术。相关技术包括:数据加密技术、数字
7、签名技术、IPSec协议等。数据加密技术主要是将需要在Internet上传递的数据加密。加密技术包含两个方面:普通的加密和防伪。其中防伪技术能够防止报文被不法分子截获之后,将报文修改,然后重新放到网上继续传递。路由器提供IPSec和IKE技术。IPSec可以实现数据的加密以及防伪,可以在不安全的线路上传输加密信息从而形成“安全的隧道”。IKE为通信双方提供交换密钥等服务,它定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。,12,路由器安全概述,虚拟私有网(Virtual Private Network,VPN)是近年来随着Internet的发展而迅速发展起来的一种技术。许
8、多企业趋向于利用Internet来替代他们的私有数据网络。相对于企业原有的Intranet,这种利用Internet的虚拟链路来传输私有信息而形成的逻辑网络就称为虚拟私有网。VPN的一个核心技术就是“隧道技术”,这种技术的主要思想是将一种类型网络的数据包通过另一种类型网络进行传输。二层隧道是建立在链路层的隧道,三层隧道是建立在网络层的隧道。,13,路由器安全概述,安全管理是指保证重要的网络设备处于安全的运行环境,防止人为破坏、保护访问口令等重要的安全信息、进行安全策略管理,有效利用安全策略,在网络出入口实现报文审计和过滤,提供网络运行的必要信息。对路由器等重要网络设备的管理是保证路由器安全运行
9、的一个重要方面,必须要保证没有权限的用户不能随便配置路由器,也不能得到路由器的配置信息。另外同样需要保障网络拓扑信息的安全。安全接入Internet包括基于接口的包过滤、基于时间段定义过滤规则、通过地址转换访问Internet、外部不能直接访问内部网络,可以通过地址转换向外提供WWW、FTP等服务,避免内部服务器直接受到攻击,日志主机可以记录网络运行情况便于用户的安全分析和管理。,14,路由器安全概述,通用路由平台( Versatile Router Platform, VRP)是由华为公司推出的支持多种网络设备的网络操作系统,它可运行于集中或分布式的网络设备架构之上。也就是说,VRP能运行于
10、低端、中端或核心路由器之上。VRP的这一特点可使一个平台运行于各式路由器和交换机之上,并可使用相同的一组操作来为各级路由器配置协议和功能。为了使单一软件平台能运行于各类路由器和交换机之上,VRP软件模块采用了组件架构,各种协议和模块之间采用了开放的标准接口。,15,路由器安全概述,VRP的安全特性如下: 基于RADIUS的AAA服务可以提供对接入用户的验证、授权和计费安全服务,防止非法访问; 验证协议:在PPP线路上支持CHAP和PAP验证; 包过滤:用ACL实现,允许指定可以(或禁止)通过路由器的报文类型; 应用层报文过滤:也称状态防火墙,它检查应用层协议信息并且监控基于连接的应用层协议状态
11、,维护每一个连接的状态信息,并动态地决定数据包是否被允许通过防火墙或者被丢弃;,16,路由器安全概述,VRP的安全特性如下: 网络层安全(IPSec):特定的通信方之间在IP层通过加密与数据源验证,来保证数据包在Internet上传输时的私有性、完整性和真实性; 事件日志:记录系统安全事件,实时跟踪非法侵入; 地址转换:NAT网关将公共网络和内部网络分隔开来,在公共网络中隐藏企业内部设备的IP地址等信息,阻止来自公共网络上的攻击; 相邻路由器验证:确保所交换路由信息的可靠性; 视图分级保护:将用户分成4级,每级用户赋予不同的配置权限,级别低的用户不能进入高级视图。系统命令行采用分级保护方式,命
12、令行划分为参观级、监控级、配置级和管理级4个级别,只有提供了正确的登录口令,才能使用相应的命令。,17,路由器安全概述,18,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 AAA介绍 RADIUS协议介绍 RADIUS协议配置 访问控制列表配置,19,AAA介绍,AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。 这里的网络安全主要是指访问控制,包括: 哪些用户可以访问网络服务器? 具有访问权的用户可以
13、得到哪些服务? 如何对正在使用网络资源的用户进行计费? 针对以上问题,AAA必须提供下列服务: 认证:验证用户是否可获得访问权,可以选择使用RADIUS协议。 授权:授权用户可使用哪些服务。 计费:记录用户使用网络资源的情况。 AAA为拨入用户动态分配地址,20,AAA介绍,AAA工作过程:用户通过拨号建立一条从用户端到NAS的PPP连接,然后NAS(网络接入服务器)按配置好的验证方式(如PAP,CHAP)要求用户输入用户名,密码等信息。用户按提示输入。NAS得到这些信息后,把这些信息传递给AAA服务器,并根据服务器的响应来决定用户是否可以接入。,21,AAA介绍,AAA的优点:由于AAA一般
14、采用客户/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息,因此,AAA框架具有如下的优点: 具有良好的可扩展性 可以使用标准化的认证方法 容易控制,便于用户信息的集中管理 可以使用多重备用系统来提升整个框架的安全系数,22,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 AAA介绍 RADIUS协议介绍 RADIUS协议配置 访问控制列表配置,23,RADIUS协议概述,如前所述,AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用RADIUS协议来实现AAA。 什么是RADIUS? RADIUS是Remote Authenticat
15、ion Dial-In User Service(远程认证拨号用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(例如,它常被应用来管理使用串口和调制解调器的大量分散拨号用户)。,24,RADIUS协议概述,25,RADIUS协议概述,RADIUS负责接收用户的连接请求,完成验证,并把用户所需要的配置信息返回给NAS。 当RADIUS系统启动后,如果用户想要通过与NAS(PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取
16、得使用某些网络资源的权利时,NAS,也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。RADIUS服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。RADIUS服务器将在接收到NAS传来的用户请求后,通过对用户数据库的查找、更新,完成相应的认证、授权和计费工作,并把用户所需的配置信息和计费统计数据返回给NAS,在这里NAS起到了控制接入用户及对应连接的作用,而RADIUS协议则规定了NAS与RADIUS服务器之间如何传递用户配置信息和计费信息。,26,RADIUS协议概述,NAS和RADIUS之间信息的交互是通过将信息承载在UDP报文中来完成的
17、。在这个过程中,交互双方将使用密钥对报文进行加密,以保证用户的配置信息(如密码)被加密后才在网络上传递,从而避免它们被侦听、窃取。,27,RADIUS协议概述,RADIUS在协议栈中的位置,28,RADIUS协议概述,RADIUS的包结构,29,RADIUS协议概述,RADIUS包结构解析(1),30,RADIUS协议概述,RADIUS包结构解析(2),31,RADIUS协议概述,RADIUS包结构 解析(3),16字节长。用于验证RADIUS服务器传回的请求以及密码隐藏算法。分为: request authenticator response authenticator RequestAut
18、h = 16字节的随机码 ResponseAuth = MD5(Code+ID+Length+RequestAuth+Attribute+Secret),32,RADIUS协议概述,RADIUS包结构解析(4),33,RADIUS协议概述,RADIUS包结构解析属性列表(1),34,RADIUS协议概述,RADIUS包结构解析 属性列表(2),35,RADIUS协议概述,RADIUS验证流程,36,复习,AAA与Radius Radius工作流程,37,复习,共享密钥,16字节长。用于验证Radius服务器传回的请求以及密码隐藏算法。包括Request authenticator和Respon
19、se authenticator。 Request authenticator是一个16位的随机码。 Response authenticator要经过一个加密计算,它是一个通过MD5算法将报文的code、id、Length、Request authenticator、属性和共享密钥通过md5计算后得到的值。 共享密钥:在NAS和AAA之间共享的一个字符串,双方在使用MD5算法中引用此共享密钥,结果一致则完成了双方之间的认证关系。,38,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 AAA介绍 RADIUS协议介绍 RADIUS协议配置 访问控制列表配置,39,Radiu
20、s协议基本配置,共享密钥 验证计费服务器IP地址 验证计费UDP端口号,40,Radius协议相关配置,认证最大重发次数 计费最大重发次数 计费重发时间间隔 实时计费时间间隔,41,Radius服务器配置,Dictionary Clients Users,42,复习:RADIUS协议概述,RADIUS包结构解析(4),43,复习:RADIUS协议概述,RADIUS包结构解析属性列表(1),44,45,路由器安全管理,路由器安全概述 AAA与RADIUS协议原理及配置 AAA介绍 RADIUS协议介绍 RADIUS协议配置 TACACS 访问控制列表配置,TACACS,TACACS 特性 TAC
21、ACS(Terminal Access Controller Access Control System)安全协议是在TACACS(RFC1492)一种安全协议。该协议与RADIUS 协议类似,主要是通过Server-Client 模式与TACACS 服务器通信来实现多种用户的AAA 功能,对尝试访问网路设备的所有用户提供集中验证。 与 RADIUS 相比,TACACS 具有更加可靠的传输和加密特性,更加适合于安全控制。TACACS 协议与RADIUS 协议的主要区别如下表:,46,TACAS分组报头格式,47,TACAS通信过程,48,ACS简介,49,50,EAP-MD5验证,51,PEA
22、P验证,52,53,PEAP工作过程,54,55,访问控制列表配置,ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结: ACL配置要点,56,ACL概述,为什么要使用ACL? 随着网络的增长,要求对IP流量进行管理 网络安全的考虑 什么是ACL? ACL是一个授权和拒绝条件的序列表 基于协议 不能过滤本地路由器的流量 ACL的用途? 用于各个LAN间的接口,过滤LAN流量 用于VTY,过滤Telnet 用于Dial-on-demand routing(DDR) 优先级(priority)和队列管理,57,ACL概
23、述,ACL的分类 入栈ACL:在网络入口处对数据包进行检查,如果被deny,则不需要路由,如果包被permits然后进行路由,转发到 输出接口,是,否,是,否,丢弃,数据包,绑定了入栈ACL,58,ACL概述,ACL的分类 出栈ACL:进入路由器的包被路由后进入outbound接口,然后进行Outbound访问控制列表匹配。,转发到 输出接口,是,否,是,否,丢弃,数据包,绑定了出栈ACL,59,ACL概述,ACL的逻辑测试过程,60,ACL概述,ACL的逻辑测试过程 如果数据包与ACL中某条语句匹配,则列表中其他语句会被忽略 如果数据包与某个命令不匹配,则继续检查ACL下一个命令语句 如果到
24、达ACL的最后一条命令仍不匹配,数据包会被丢弃,61,ACL概述,ACL的逻辑测试过程 ACL中至少要有一条允许语句 ACL命令的放置顺序非常重要,当检测到某个命令条件满足的时候,就不会再检测后面的指令条件 先创建ACL,再将其绑定到入口或出口 ACL只能过滤通过路由器的数据流量,不能过滤路由器本身产生的数据流量,62,ACL概述,ACL举例 要求只允许主机192.168.1.1和网络172.16.0.0的数据包通过 第一条命令:条件:IP地址192.168.1.1,操作:允许。 第二条命令:条件:网络地址172.16.0.0,操作:允许。,63,访问控制列表配置,ACL概述 ACL分类 AC
25、L配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结: ACL配置要点,64,ACL分类,标准ACL(standard): 检查数据包的源地址 扩展ACL(extended): 检查数据包的源地址、目的地址、特定的协议、端口号以及其它参数 使用更灵活,65,ACL分类,标准ACL(standard):,66,ACL分类,标准ACL举例:,67,ACL分类,扩展ACL(extended):,68,ACL分类,扩展ACL举例:,69,访问控制列表配置,ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置
26、 使用ACL控制VTY访问 总结: ACL配置要点,70,ACL配置,配置ACL要点 访问列表要指明过滤什么协议; 按顺序匹配访问列表; 一般限制性的访问列表应该放在前面; 在访问列表的最后隐性定义了deny any,所以每个访问列表应该至少包含一条permit声明,否则将过滤掉所有包; 先创建访问列表,后使用。,71,ACL配置,ACL的编号,72,ACL配置,配置ACL的步骤 创建ACL access-list access-list-number permit | deny test conditions 将ACL绑定到接口 protocol access-group access-li
27、st number in | out ,73,访问控制列表配置,ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结: ACL配置要点,74,翻转掩码,翻转换码的作用 使用IP地址与翻转掩码地址来定义测试条件 简化测试过程,避免额外的输入 翻转掩码的格式 与子网掩码类似,翻转掩码是由0、1二进制组成的32位数字,分成4段。 翻转掩码的配置规则 0意味着检查 1意味着忽略,75,翻转掩码,翻转掩码练习 检查某个地址是不是10.1.1.1,翻转码是多少? 检查某个地址是不是来自网络202.19.10.0,翻转码是多少?
28、检查某个地址是不是10.1.0.0,翻转码是多少? 忽略所有的地址,翻转码是多少?,76,翻转掩码,Any和Host Host 172.30.16.29 0.0.0.0 = host 172.30.16.29,77,翻转掩码,Any和Host Any 0.0.0.0 255.255.255.255 = any,78,翻转掩码,复杂一点的例子,79,翻转掩码,练习 检查某个地址是不是在10.12.8.0/24 10.12.15.0/24范围内,翻转码是多少? 检查某个地址是不是在5.64.0.0/16 5.127.0.0/16范围内,翻转码是多少? 检查某个地址是不是在168.100.32.0/
29、24 168.100.63.0/24范围内,翻转码是多少?,80,访问控制列表配置,ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结: ACL配置要点,81,标准ACL的配置,创建标准ACL access-list access-list-number permit | deny source mask 为访问列表条目设置参数: IP标准访问列表使用:1 99 缺省wildcard mask = 0.0.0.0 “no access-list access-list-number“命令删除访问列表条目,82,标准
30、ACL的配置,绑定ACL到指定的接口 ip access-group access-list-number in | out 在接口配置模式激活访问列表 设置inbound或outbound匹配 缺省是Outbound “no ip access-group access-list-number“命令从接口取消激活访问列表,83,标准ACL的配置,标准ACL举例 如何使Ethernet0和Ethernet1端口只允许源地址为172.16.0.0网络的数据包Outbound? access-list 1 permit 172.16.0.0 0.0.255.255 interface ethern
31、et 0 ip access-group 1 out interface etherent 1 ip access-group 1 out,84,标准ACL的配置,标准ACL举例 如何在端口Ethernet0阻塞主机,阻塞源地址为172.16.4.13的数据包? access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 interface ethernet 0 ip access-group 1 out,85,标准ACL的配置,标准ACL举例 如何在接口Ethernet0阻塞子网,阻塞
32、源地址为172.16.4.0的数据包? access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any interface ethernet 0 ip access-group 1 out,86,访问控制列表配置,ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结: ACL配置要点,87,扩展ACL的配置,扩展ACL和标准ACL的比较,88,扩展ACL的配置,创建扩展ACL access-list access-list-number permit
33、| deny protocol source source-wildcard operator port destination destination-wildcard operator port established log Access-list-number:100 - 199 permit | deny:指明允许还是拒绝 protocol:允许指定协议(IP,TCP,UDP,ICMP,IGRP) source和destination:指明源和目的地址 source-wildcard和destination-wildcard operator port:lt,gt,eq,neq(小于
34、,大于,等于,不等于)端口号 Established(既定的):只用于inbound TCP,允许TCP建立连接 log:发送logging信息到console,89,扩展ACL的配置,创建扩展ACL 扩展ACL的绑定 ip access-group access-list-number in | out ,90,扩展ACL的配置,扩展ACL的配置举例 如何在接口Ethernet0阻塞从subnet172.16.4.0到subnet172.16.3.0的FTP数据包,同时permit所有其它流量? access-list 101 deny tcp 172.16.4.0 0.0.0.255 17
35、2.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any interface ethernet 0 ip access-group 101 out,91,扩展ACL的配置,扩展ACL的配置举例 如何在Ethernet0只阻塞所有来自subnet172.16.4.0的telnet流量? access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 2
36、3 access-list 101 permit ip any any interface ethernet 0 ip access-group 101 out,92,访问控制列表配置,ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结: ACL配置要点,93,标识ACL的配置,标识ACL 使用字符串代替数字,来标识ACL 注意: 命名ACL与Cisco IOS 11.2 之前的版本不兼容 命名ACL也包含标准和扩展ACL 不能为多个ACL使用相同的名字。不同类型的ACL也不能使用相同的名字,94,标识ACL的配置
37、,创建标识ACL ip access-list standard | extended name permit | deny ip access list test conditions 标识ACL的绑定 ip access-group name in | out ,95,访问控制列表配置,ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结: ACL配置要点,96,使用ACL控制VTY的访问,概述 5个终端lines(0-4) 过滤可以访问路由器vty端口的包 过滤从路由器通过vty访问其他设备的包,97,使用AC
38、L控制VTY的访问,配置 创建:与前面相同 绑定: line vty vty# | vty-range access-class access-list-number in|out,98,使用ACL控制VTY的访问,配置实例 如何只允许在网络192.89.55.0中的主机通过vty访问路由器? access-list 12 permit 192.89.55.0 0.0.0.255 line vty 0 4 access-class 12 in,99,访问控制列表配置,ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置,扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总
39、结:ACL配置要点,100,总结:ACL配置要点,配置要点 访问列表条目的顺序是至关重要的 推荐先配置好访问列表,然后粘贴到路由器 访问列表从上至下逐条匹配 把明确的列表(常用到的)尽量放置在前面,以减少处理负载 隐性声明 除非在最后声明permit any,否则路由器在末尾隐性声明deny any,101,总结: ACL配置要点,放置ACL的原则 放置扩展ACL尽量靠近源 放置标准ACL尽量靠近目的,PC1,102,总结: ACL配置要点,放置ACL的原则 例:阻止Token Ring访问PC1 如果设置扩展ACL,应该把它放置在路由器A。因为扩展ACL可以指定源和目的,这样Token发送给PC1的数据包不会经过其他路由器和广域网线路 如果设置标准ACL,应该把它放置在路由器D。因为标准ACL不能指定目的地址。,,Thank You !,