標准acl訪問控制列表
『壹』 思科Cisco路由器的ACL控制列表設置
1、根據問題1,需在在switch3上做acl,其PC3不能訪問伺服器192.168.3.3,命令如下:
switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3 //拒絕網路192.168.4.4訪問伺服器192.168.3.3。
switch3(config)#access-list 100 peimit ip any any //允許其他主機訪問。
switch3(config) #interface f0/5
switch3(config-if) #ip access-group 100 in //在路由器f0/5介面入方向下調用此ACL 100。
2、根據問題2,PC0、PC1、PC2之間訪問關系,如下命令:
switch3(config) #access-list 101 deny host 192.168.1.2 host 202.135.147.33 //PC0禁止訪問外網
switch3(config) #access-list 101 peimit host 192.168.1.2 host 192.168.2.2 //PC0允許訪問PC2
switch3(config) #access-list 101 peimit host 192.168.1.3 host 192.168.2.2 //PC1允許訪問PC2
switch3(config) #access-list 102 deny 192.168.2.2 0.0.0.0.0 192.168.1.0 0.0.0.255 //PC2禁止訪問192.168.1.0網段
switch3(config) #interface f0/2
switch3(config-if) #ip access-group 101 in
switch3(config) #interface f0/3
switch3(config-if) #ip access-group 102 in //分別在switch3上調用acl 101和102。
3、根據問題3,acl分為標准acl和擴展acl,其標准acl訪問控制列表號為1-99,擴展acl訪問控制列表號為100-199,每條acl下又能創建多條規則,但一個介面下只能調用一條acl。
4、根據問題4,其192.168.1.0 0.0.0.255匹配的是192.168.1.0/24,表示的是192.168.1.0~192.168.1.255地址范圍,命令為:
switch3(config) #access-list 103 peimit ip 192.168.0.0 0.0.255.255 any //允許192.168.0.0/16地址訪問任何網路。
(1)標准acl訪問控制列表擴展閱讀:
ACL可以應用於多種場合,其中最為常見的應用情形如下:
1、過濾鄰居設備間傳遞的路由信息。
2、控制交換訪問,以此阻止非法訪問設備的行為,如對 Console介面、 Telnet或SSH訪問實施控制。
3、控制穿越網路設備的流量和網路訪問。
4、通過限制對路由器上某些服務的訪問來保護路由器,如HTP、SNMP和NIP等。
5、為DDR和 IPSeC VPN定義感興趣流。
6、能夠以多種方式在IOS中實現QoS(服務質量)特性。
7、在其他安全技術中的擴展應用,如TCP攔截和IOS防火牆。
『貳』 路由器訪問控制列表(ACL)的特性有哪些
網路安全保障的第一道關卡 對於許多網管員來說,配置路由器的訪問控制列表是一件經常性的工作,可以說,路由器的訪問控制列表是網路安全保障的第一道關卡。訪問列表提供了一種機制,它可以控制和過濾通過路由器的不同介面去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息流,以制定公司內部網路的相關策略。這些策略可以描述安全功能,並且反映流量的優先順序別。例如,某個組織可能希望允許或拒絕Internet對內部Web伺服器的訪問,或者允許內部區域網上一個或多個工作站能夠將數據流發到廣域網上。這些情形,以及其他的一些功能都可以通過訪問表來達到目的。 訪問列表的種類劃分 目前的路由器一般都支持兩種類型的訪問表:基本訪問表和擴展訪問表。
1、基本訪問表控制基於網路地址的信息流,且只允許過濾源地址。
2、擴展訪問表通過網路地址和傳輸中的數據類型進行信息流控制,允許過濾源地址、目的地址和上層應用數據。
表1列出了路由器所支持的不同訪問表的號碼范圍。
由於篇幅所限,本文只對標准訪問列表和擴展訪問列表進行討論。 標准IP訪問表 標准IP訪問表的基本格式為:
access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]
下面對標准IP訪問表基本格式中的各項參數進行解釋:
1.list number---表號范圍
標准IP訪問表的表號標識是從1到99。
2.permit/deny----允許或拒絕
關鍵字permit和deny用來表示滿足訪問表項的報文是允許通過介面,還是要過濾掉。permit表示允許報文通過介面,而deny表示匹配標准IP訪問表源地址的報文要被丟棄掉。 3.source address----源地址
對於標準的IP訪問表,源地址是主機或一組主機的點分十進製表示,如:198.78.46.8。
4.host/any----主機匹配
host和any分別用於指定單個主機和所有主機。host表示一種精確的匹配,其屏蔽碼為0.0.0.0。例如,假定我們希望允許從198.78.46.8來的報文,則使用標準的訪問控制列表語句如下:
access-list 1 permit 198.78.46.8 0.0.0.0
如果採用關鍵字host,則也可以用下面的語句來代替:
access-list 1 permithost 198.78.46.8
也就是說,host是0.0.0.O通配符屏蔽碼的簡寫。
與此相對照,any是源地證/目標地址0.O.O.O/255.255.255.255的簡寫。假定我們要拒絕從源地址198.78.46.8來的報文,並且要允許從其他源地址來的報文,標準的IP訪問表可以使用下面的語句達到這個目的:
access-list 1 deny host 198.78.46.8
access-list 1 permit any
注意,這兩條語句的順序;訪問表語句的處理順序是由上到下的。如果我們將兩個語句順序顛倒,將permit語句放在deny語句的前面,則我們將不能過濾來自主機地址198.78.46.8的報文,因為permit語句將允許所有的報文通過。所以說訪問表中的語句順序是很重要的,因為不合理語句順序將會在網路中產生安全漏洞,或者使得用戶不能很好地利用公司的網路策略。 5.wildcardmask------通配符屏蔽碼
Cisco訪問表功能所支持的通配符屏蔽碼與子網屏蔽碼的方式是剛好相反的,也就是說,二進制的O表示一個"匹配"條件,二進制的1表示一個"不關心"條件。假設組織機構擁有一個C類網路198.78.46.0,若不使用子網,則當配置網路中的每一個工作站時,使用於網屏蔽碼255.255.255.O。在這種情況下,1表示一個 "匹配",而0表示一個"不關心"的條件。因為Cisco通配符屏蔽碼與子網屏蔽碼是相反的,所以匹配源網路地址198.78.46.0中的所有報文的通配符屏蔽碼為:0.0.O.255。
6.Log----日誌記錄
log關鍵字只在IOS版本11.3中存在。如果該關鍵字用於訪問表中,則對那些能夠匹配訪問表中的permit和deny語句的報文進行日誌記錄。日誌信息包含訪問表號、報文的允許或拒絕、源IP地址以及在顯示了第一個匹配以來每5分鍾間隔內的報文數目。使用log關鍵字,會使控制台日誌提供測試和報警兩種功能。系統管理員可以使用日誌來觀察不同活動下的報文匹配情況,從而可以測試不同訪問表的設計情況。當其用於報警時,管理員可以察看顯示結果,以定位那些多次嘗試活動被拒絕的訪問表語句。執行一個訪問表語句的多次嘗試活動被拒絕,很可能表明有潛在的黑客攻擊活動。 擴展的IP訪問控制列表 顧名思義,擴展的IP訪問表用於擴展報文過濾能力。一個擴展的IP訪問表允許用戶根據如下內容過濾報文:源和目的地址、協議、源和目的埠以及在特定報文欄位中允許進行特殊位比較等等。一個擴展的IP訪問表的一般語法格或如下所示:
下面簡要介紹各個關鍵字的功能:
1.list number----表號范圍
擴展IP訪問表的表號標識從l00到199。
2.protocol-----協議
協議項定義了需要被過濾的協議,例如IP、TCP、UDP、ICMP等等。協議選項是很重要的,因為在TCP/IP協議棧中的各種協議之間有很密切的關系,如果管理員希望根據特殊協議進行報文過濾,就要指定該協議。
另外,管理員應該注意將相對重要的過濾項放在靠前的位置。如果管理員設置的命令中,允許IP地址的語句放在拒絕TCP地址的語句前面,則後一個語句根本不起作用。但是如果將這兩條語句換一下位置,則在允許該地址上的其他協議的同時,拒絕了TCP協議。
3.源埠號和目的埠號
源埠號可以用幾種不同的方法來指定。它可以顯式地指定,使用一個數字或者使用一個可識別的助記符。例如,我們可以使用80或者http來指定Web的超文本傳輸協議。對於TCP和UDP,讀者可以使用操作符 "<"(小於)、">"(大於)"="(等於)以及""(不等於)來進行設置。
目的埠號的指定方法與源埠號的指定方法相同。讀者可以使用數字、助記符或者使用操作符與數字或助記符相結合的格式來指定一個埠范圍。
下面的實例說明了擴展IP訪問表中部分關鍵字使用方法:
access-list 101 permit tcp any host 198.78.46.8 eq smtp
access-list 101 permit tcp any host 198.78.46.3 eq www
第一個語句允許來自任何主機的TCP報文到達特定主機198.78.46.8的smtp服務埠(25);第二個語句允許任何來自任何主機的TCP報文到達指定的主機198.78.46.3的www或http服務埠(80)。 Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any ?
eq Match only packets on a given port number
<cr>
log Log matches against this entry
Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log
4.選項
擴展的IP訪問表支持很多選項。其中一個常用的選項有log,它已在前面討論標准訪問表時介紹過了。另一個常用的選項是established,該選項只用於TCP協議並且只在TCP通信流的一個方向上來響應由另一端發起的會話。為了實現該功能,使用established選項的訪問表語句檢查每個 TCP報文,以確定報文的ACK或RST位是否已設置。
例如,考慮如下擴展的IP訪問表語句:
access-list 101 permit tcp any host 198.78.46.8 established
該語句的作用是:只要報文的ACK和RST位被設置,該訪問表語句就允許來自任何源地址的TCP報文流到指定的主機198.78.46.8。這意味著主機198.78.46.8此前必須發起TCP會話。 5.其他關鍵字
deny/permit、源地址和通配符屏蔽碼、目的地址和通配符屏蔽碼以及host/any的使用均與標准IP訪問表中的相同。
表2是對部分關鍵字的具體解釋。
表 2:
管理和使用訪問表 在一個介面上配置訪問表需要三個步驟:
(1)定義訪問表;
(2)指定訪問表所應用的介面;
(3)定義訪問表作用於介面上的方向。
我們已經討論了如何定義標準的和擴展的IP訪問表,下面將討論如何指定訪問表所用的介面以及介面應用的方向。
一般地,採用interface命令指定一個介面。例如,為了將訪問表應用於串口0,應使用如下命令指定此埠:
interface serial0
類似地,為將訪問表應用於路由器的乙太網埠上時,假定埠為Ethernet0,則應使用如下命令來指定此埠:
interface ethernet0
在上述三個步驟中的第三步是定義訪問表所應用的介面方向,通常使用ip access-group命令來指定。其中,列表號標識訪問表,而關鍵字in或out則指明訪問表所使用的方向。方向用於指出是在報文進入或離開路由器介面時對其進行過濾。如下的實例將這三個步驟綜合在一起: intface serial0
ip access-group 107 in
access-list 107 remark allow traffic to tom's pc
access-list 107 ip any host 198.78.46.8
access-list 107 remark allow only web traffic to webserver
access-list 107 tcp any host 198.78.46.12 eq 80
access-list 107 remark block everything else
access-list 107 deny any any
在本例中,先使用interface命令指定串列埠0,並使用ipaccess-group命令來將訪問表l07中的語句應用於串列介面的向內方向上。最後,輸入6個訪問表語句,其中三條訪問表語句使用關鍵字remark
『叄』 ACL(訪問控制列表)的分類和作用
IP訪問控制列表的分類
標准IP訪問控制列表
當我們要想阻止來自某一網路的所有通信流量,或者充許來自某一特定網路的所有通信流量,或者想要拒絕某一協議簇的所有通信流量時,可以使用標准訪問控制列表來實現這一目標。賀巧標准訪問控制列表檢查路由的數據包的源地址,從而允許或拒絕基於網者御絡、子網或主機的IP地址的所有通信流量通過路由器的出口。
擴展IP訪問控制列表
擴展訪問控制列表既檢查數據包的源地址,也檢查數據首拍岩包的目的地址,還檢查數據包的特定協議類型、埠號等。擴展訪問控制列表更具有靈活性和可擴充性,即可以對同一地址允許使用某些協議通信流量通過,而拒絕使用其他協議的流量通過。
命名訪問控制列表
在標准與擴展訪問控制列表中均要使用表號,而在命名訪問控制列表中使用一個字母或數字組合的字元串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目,這樣可以讓我們在使用過程中方便地進行修改。
在使用命名訪問控制列表時,要求路由器的IOS在11.2以上的版本,並且不能以同一名字命名多個ACL,不同類型的ACL也不能使用相同的名字。
『肆』 訪問控制列表有哪幾種類型,分別在哪個位置
分類
1、標准IP訪問列表
一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。
2、擴展IP訪問
擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項,包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
3、命名的IP訪問
所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表,同樣包括標准和擴展兩種列表,定義過濾的語句與編號方式中相似。
4、標准IPX訪問
標准IPX訪問控制列表的編號范圍是800-899,它檢查IPX源網路號和目的網路號,同樣可以檢查源地址和目的地址的節點號部分。
5、擴展IPX訪問
擴展IPX訪問控制列表在標准IPX訪問控制列表的基礎上,增加了對IPX報頭中以下幾個欄位的檢查,它們是協議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號范圍是900-999。
6、命名的IPX訪問
與命名的IP訪問控制列表一樣,命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表,同樣有標准和擴展之分。
(4)標准acl訪問控制列表擴展閱讀
訪問控制列表的使用
ACL的使用分為兩步:
(1)創建訪問控制列表ACL,根據實際需要設置對應的條件項;
(2)將ACL應用到路由器指定介面的指定方向(in/out)上。
在ACL的配置與使用中需要注意以下事項:
(1)ACL是自頂向下順序進行處理,一旦匹配成功,就會進行處理,且不再比對以後的語句,所以ACL中語句的順序很重要。應當將最嚴格的語句放在最上面,最不嚴格的語句放在底部。
(2)當所有語句沒有匹配成功時,會丟棄分組。這也稱為ACL隱性拒絕。
(3)每個介面在每個方向上,只能應用一個ACL。
(4)標准ACL應該部署在距離分組的目的網路近的位置,擴展ACL應該部署在距離分組發送者近的位置。
『伍』 ACL是什麼
訪問控制列表(ACL)是一種基於包過濾的訪問控制技術。
它可以根據設定的條件對介面上的數據包進行過濾,允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機,藉助於訪問控制列表,可以有效地控制用戶對網路的訪問,從而最大程度地保障網路安全。
訪問控制列表具有許多作用,如限制網路流量、提高網路性能;通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;提供網路安全訪問的基本手段。
ACL的功能:
1、限制網路流量、提高網路性能。例如,ACL可以根據數據包的協議,指定這種類型的數據包具有更高的優先順序,同等情況下可預先被網路設備處理。
2、提供對通信流量的控制手段。
3、提供網路訪問的基本安全手段。
4、在網路設備介面處,決定哪種類型的通信流量被轉發、哪種類型的通信流量被阻塞。
以上內容參考:網路—ACL
『陸』 CCNA考點精析——訪問控制列表
訪問控制列表使用目的:
1、限制網路流量、提高網路性能。例如隊列技術,不僅限制了網路流量,而且減少了擁塞
2、提供對通信流量的控制手段。例如可以用其控制通過某台路由器的某個網路的流量
3、提供了網路訪問的一種基本安全手段。例如在公司中,允許財務部的員工計算機可以訪問財務伺服器而拒絕其他部門訪問財務伺服器
4、在路由器介面上,決定某些流量允許或拒絕被轉發。例如,可以允許FTP的通信流量,而拒絕TELNET的通信流量。
工作原理:
ACL中規定了兩種操作,所有的應用都是圍繞這兩種操作來完成的:允許、拒絕
注意:ACL是CISCO IOS中的一段程序,對於管理員輸入的指令,有其自己的執行順序,它執行指令的順序是從上至下,一行行的執行,尋找匹配,一旦匹配則停止繼續查找,如果到末尾還未找到匹配項,則執行一段隱含代碼——丟棄DENY.所以在寫ACL時,一孫檔定要注意先後順序。
例如:要拒絕來自172.16.1.0/24的流量,把ACL寫成如下形式
允許172.16.0.0/18
拒絕172.16.1.0/24
允許192.168.1.1/24
拒絕172.16.3.0/24
那麼結果將於預期背道而馳,把表一和表二調換過來之後,再看一下有沒有問題:
拒絕172.16.1.0/24
允許172.16.0.0/18
允許192.168.1.1/24
拒絕172.16.3.0/24
發現172.16.3.0/24和剛才的情況一樣,這個表項並未起到作用,因為執行到表二就發現匹配,於是路由器將會允許,和我們的需求完全相反,那麼還需要把表項四的位置移到前面
最後變成這樣:
拒絕172.16.1.0/24
拒絕172.16.3.0/24
允許172.16.0.0/18
允許192.168.1.1/24
可以發現,在ACL的配置中的一個規律:越精確的表項越靠前,而越籠統的表項越靠後放置
ACL是一組判斷語句的集合,它主要用於對如下數據進行控制:
1、入站數據;
2、出站數據;
3、被路由器中繼的數據
工作過程
1、無論在路由器上有無ACL,接到數據包的處理方法都是一樣的:當數據進入某個入站口時,路由器首先對其進行檢查,看其是否可路由,如果不可路由那麼就丟棄,反之通過查路由選擇表發現該路由的詳細信息——包括AD,METRIC……及對應的出介面;
2、這時,我們假定該數據是可路由的,並且已經順利完成了第一步,找出了要將其送出站的介面,此時路由器檢查該出站口有沒有被編入ACL,如果沒有ACL 的話,則直接從該口送出。如果該介面編入了ACL,那塵穗么就比較麻煩。第一種情況——路由器將按照從上到下的順序依次把該數據和ACL進行匹配,從上往下,逐條執行,當發現其中某條ACL匹配,則根據該ACL指定的操作對數據進行相應處理派凱卜(允許或拒絕),並停止繼續查詢匹配;當查到ACL的最末尾,依然未找到匹配,則調用ACL最末尾的一條隱含語句deny any來將該數據包丟棄。
對於ACL,從工作原理上來看,可以分成兩種類型:
1、入站ACL
2、出站ACL
上面的工作過程的解釋是針對出站ACL的。它是在數據包進入路由器,並進行了路由選擇找到了出介面後進行的匹配操作;而入站ACL是指當數據剛進入路由器介面時進行的匹配操作,減少了查表過程
並不能說入站表省略了路由過程就認為它較之出站表更好,依照實際情況而定:
如圖所示,採用基本的ACL——針對源的訪問控制
要求如下:
1、拒絕1.1.1.2訪問3.1.1.2但允許訪問5.1.1.2
2、拒絕3.1.1.2訪問1.1.1.2但允許訪問5.1.1.2
採用基本的ACL來對其進行控制
R1(config)#access-list 1 deny 1.1.1.2 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#int e0
R1(config-if)#access-group 1 in
R2(config)#access-list 1 deny 3.1.1.2 0.0.0.255
R2(config)#access-list 1 permit any
R2(config)#int e0
R2(config-if)#access-group 1 in
從命令上來看,配置似乎可以滿足條件。
假定從1.1.1.2有數據包要發往3.1.1.2,進入路由器介面E0後,這里採用的是入站表,則不需查找路由表,直接匹配ACL,發現有語句 access-list 1 deny 1.1.1.2 0.0.0.255拒絕該數據包,丟棄;假定從3.1.1.2有數據包要發往1.1.1.2,同上。
當1.1.1.2要和5.1.1.2通信,數據包同樣會被拒絕掉
當3.1.1.2要和5.1.1.2通信,數據包也會被拒絕掉
該ACL只能針對源進行控制,所以無論目的是何處,只要滿足源的匹配,則執行操作。
如何解決此問題?
1、把源放到離目標最近的地方,使用出站控制;
2、使ACL可以針對目的地址進行控制。
第一項很好理解,因為標準的ACL只能針對源進行控制,如果把它放在離源最近的地方,那麼就會造成不必要的數據包丟失的情況,一般將標准ACL放在離目標最近的位置!
第二種辦法,要針對目標地址進行控制。因為標准ACL只針對源,所以,這里不能採用標准ACL,而要採用擴展ACL.但是它也有它的劣勢,對數據的查找項目多,雖然控制很精確,但是速度卻相對慢些。
簡單比較以下標准和擴展ACL
標准ACL僅僅只針對源進行控制
擴展ACL可以針對某種協議、源、目標、埠號來進行控制
從命令行就可看出
標准:
Router(config)#access-list list-number
擴展:
Router(config)#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]
Protocol—用來指定協議類型,如IP、TCP、UDP、ICMP以及IGRP等
Source and destination—源和目的,分別用來標示源地址及目的地址
Source-mask and destination-mask—源和目的的通配符掩碼
Operator operand—It,gt,eq,neq(分別是小於、大於、等於、不等於)和一個埠號
Established—如果數據包使用一個已建連接(例如,具有ACK位組),就允許TCP信息通過
為了避免過多的查表,所以擴展ACL一般放置在離源最近的地方
看完上面的內容後,那麼大家可以看以下幾道關於CISCO訪問控制列表的例題:
1、What are two reasons that a network administrator would use access lists? (Choose two.)
A:to control vty access into a router
B:to control broadcast traffic through a router
C:to filter traffic as it passes through a router
D:to filter traffic that originates from the router
E:to replace passwords as a line of defense against security incursions
Answers: A, C
註:該題主要考察CISCO考生對ACL作用的理解:網路管理員在網路中使用ACL的兩個理由?
A選項指出了CISCO 訪問列表的一個用法:通過VTY線路來訪問路由器的訪問控制;
ACL不能對穿越路由器的廣播流量作出有效控制。
選項C也指明了ACL的另一個作用,那就是過濾穿越路由器的流量。這里要注意了,是「穿越」路由器的流量才能被ACL來作用,但是路由器本身產生的流量,比如路由更新報文等,ACL是不會對它起任何作用的:因為ACL不能過濾由路由器本身產生的流量,那麼D也是錯誤的;
2、For security reasons, the network administrator needs to prevent pings into the corporate networks from hosts outside the internetwork. Which protocol should be blocked with access control lists?
A: IP
B: ICMP
C: TCP
D: UDP
Answers: B
安全起見,網路管理員想要阻止來自Internet上的外部主機PING企業內部網路,哪種協議必須在訪問列表中被阻塞掉?PING使用的是ICMP協議,在ACL中,我們可以自己來定義需要被允許或者拒絕某些協議的流量。該題選B
3、Refer to the exhibit. The access list has been configured on the S0/0 interface of router RTB in the outbound direction. Which two packets, if routed to the interface, will be denied? (Choose two.)
access-list 101 deny tcp 192.168.15.32 0.0.0.15 any eq telnet
access-list 101 permit ip any any
訪問控制列表
A:source ip address: 192.168.15.5; destination port: 21
B:source ip address:, 192.168.15.37 destination port: 21
C:source ip address:, 192.168.15.41 destination port: 21
D:source ip address:, 192.168.15.36 destination port: 23
E:source ip address: 192.168.15.46; destination port: 23
Correct Answers: B, E
如圖,在RTB上配置了訪問列表,控制從S0/0口出去向外部的由192.168.15.32/29網段發起的telnet流量,其它流量允許通過。telnet使用23號埠,由此可以排除掉ABC三個選項。該題選擇D,E.
『柒』 ACL(訪問控制列表)詳解
訪問控制列表(ACL)是應用在 路由器 介面的指令列表(即規則)。這些指令列表用來告訴路由器,那些數據包可以接受,那些數據包需要拒絕。
ACL使用包過濾技術,在路由器上讀取OSI七層模型的第3層和第4層包頭中的信息。如源地址,目標地址,源埠,目標埠等,根據預先定義好的規則,對包進行過濾,從而達到訪問控制的目的。
ACl是一組規則的集合,它應用在路由器的某個介面上。對路由器介面而言,訪問控制列表有兩個方向。
出:已經通過路由器的處理,正離開路由器的數據包。
入:已到達路由器介面的數據包。將被路由器處理。
————————————————
1、Access Contral List
2、ACL是一種包過濾技術。
3、ACL基於 IP包頭的IP地址 、 四層TCP/UDP頭部的埠號; 基於三層和四層過濾
4、ACL在路由器上配置,也可以在防火牆上配置(一般稱為策略)
5、ACL主要分為2大類:
標准 ACL
表號是 1-99 特點;
只能基於 源IP地址 對包進行過濾
擴展 ACL
表號:100-199
特點:可以基於源IP、目標IP、埠號、協議對包進行過濾
————————————————
ACL原理
1)ACL表必須應用到介面的進或出方向生效
2) 一個介面的一個方向 只能應用一張表
3)進還是出方向應用?取決於流量控制總方向
4)ACL表是嚴格自上而下檢查每一條,所以要注意書寫順序
5)每一條是有條件和動作組成,當流量不滿足某條件,則繼續檢查;當流量完全 滿足某條件,不再往後檢查 直接執行動作。
6)標准ACL盡量寫在靠近目標的地方
————————————————
將ACL應用到介面:
———————
注釋:反子網掩碼:將正子網掩碼0和1倒置
反子網掩碼:用來匹配,與0對應的嚴格匹配,與1對應的忽略匹配。
———————
例如:access-list 1 deny 10.1.1.1 0.255.255.255
解釋:該條目用來拒絕所有源IP為10開頭的
access-list 1 deny 10.1.1.1 0.0.0.0
簡寫:access-list 1 deny host 10.1.1.1
解釋:該條目用來拒絕所有源IP為10.1.1.1的主機
access-list 1 deny 0.0.0.0 255.255.255.255
簡寫:access-list 1 deny any
解釋:該條目用來拒絕所有人
————————————————
————————————————
1)做流量控制,首先要先判斷ACL寫的位置(那個路由器?那個介面的哪個方向?)
2)再考慮怎麼寫ACL
首先要判斷最終要 允許所有還是拒絕所有
將 【詳細的嚴格的控制】 寫在最前面
3)一般情況下,標准或擴展ACL一旦編寫,無法修改某一條,也無法刪除某一條,也無法往中間插入新的條目,只能一直在最後添加新的條目
如想修改插入或刪除,只能刪除整張表,重新寫!
conf t
no access-list 表號
查看ACL表:
show ip access-list [表ID]
————————————————
擴展ACL:
表號:100-199
特點:可以基於源IP、目標IP、埠號、協議對包進行過濾
命令:
acc 100 permint/deny 協議 源IP或源網段 反子網掩碼 目標IP 或源網段 反子網掩碼 [eq埠號]
注釋:協議:tcp/udp/icmp/ip
案例:
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 deny ip host 10.1.1.1 20.1.1.1 0.0.0.255
————————————————
命名ACL:
作用:可以對標准或擴展ACL進行自定義命名
優點:
自定義命名更容易辨認,也便於記憶!
可以任意修改某一條,或刪除某一條,也可以往中間插入某一條
conf t
ip access-list standard/extended 自定義表名
開始從deny或permit編寫ACL條目
exit
刪除某一條:
ip access-list standard/extended 自定義表名
no 條目ID
exit
插入某一條:
IP access-list standard/extended 自定義表名
條目ID 動作 條件
————————————————
以上是以思科命令為例。