I. Ejemplo de sistema de control de acceso a recursos en el campus
El sistema de control de acceso a recursos en el campus puede permitir a los usuarios acceder directamente a los recursos sin iniciar sesión, del mismo modo que algunos usuarios en el campus pueden acceder a los recursos sin iniciar sesión en el sistema. También hay una nueva versión de VPN que se abre para facilitar el acceso a la intranet y a los recursos de la biblioteca en la red externa. No requiere la instalación de clientes ni complementos, admite el uso directo en computadoras y teléfonos móviles y recomienda el uso de navegadores específicos para una mejor experiencia. Se trata de una situación especial de control de acceso para un entorno específico (acceso a recursos en el campus). Este método se basa en la configuración de políticas de intercambio de recursos en el campus y el propósito es facilitar que los usuarios del campus obtengan recursos.
II. Principio de funcionamiento de ACL (Lista de control de acceso)
1. Basado en tecnología de filtrado de paquetes
- ACL utiliza tecnología de filtrado de paquetes para leer la información en los encabezados de paquetes de tercera y cuarta capa del modelo OSI de siete capas en el enrutador, como dirección de origen, dirección de destino, puerto de origen, puerto de destino, etc.
- Según reglas predefinidas, el paquete se filtra para lograr el propósito de control de acceso.
2. Conjunto de reglas y aplicación de interfaz.
- ACL es un conjunto de reglas que se aplican a una determinada interfaz de un enrutador. Para una interfaz de enrutador, la lista de control de acceso tiene dos direcciones: saliente (paquetes de datos que han sido procesados por el enrutador y que salen del enrutador) y entrante (paquetes de datos que han llegado a la interfaz del enrutador y serán procesados por el enrutador). .
- Si se aplica una ACL a una determinada interfaz de un enrutador, el enrutador aplica este conjunto de reglas a los paquetes de datos para una coincidencia secuencial y filtra los paquetes de datos deteniéndose si se produce una coincidencia y usando la regla predeterminada si no se produce una coincidencia. ocurrir.
3. Lista de control de acceso estándar
- Permitir o rechazar paquetes de datos según la dirección IP de origen del paquete de datos. El número de la lista de control de acceso de la lista de control de acceso estándar es 1 - 99.
- Por ejemplo, la sintaxis para crear una ACL para permitir todos los hosts en el segmento de red 192.168.1.0 es: Router(config)#access-list1permit192.168.1.{{10}} .0.0.255; crear una ACL para permitir un determinado host es Router(config)#access-list1permithost10.0.0.1; La creación de una ACL predeterminada para denegar el acceso a todos los hosts es Router(config)#access-list1denyany, donde la palabra clave host puede especificar una dirección de host sin escribir la subred inversa, y cualquiera puede representar a todos los hosts.
4. Lista de control de acceso ampliada
- Permitir o rechazar paquetes de datos según la dirección IP de origen, la dirección IP de destino, el protocolo especificado, el puerto y las banderas del paquete de datos. El número de la lista de control de acceso de la lista de control de acceso extendida es 100-199.
- La sintaxis para crear una ACL extendida es la siguiente (incluye número de lista de acceso para especificar el número de la lista de control de acceso, protocolo para especificar el tipo de protocolo, como IP, TCP, UDP, ICMP, etc., fuente y destino para indicar la dirección de origen y la dirección de destino respectivamente, el comodín de origen y el comodín de destino son los códigos inversos de subred).
En general, los sistemas de control de acceso determinan qué usuarios o paquetes de datos pueden acceder a recursos específicos o a través de interfaces de red específicas mediante el establecimiento de reglas. Estas reglas pueden basarse en una variedad de factores, desde simples direcciones IP hasta combinaciones complejas de múltiples parámetros de red, como protocolos y puertos.
