标准acl访问控制列表
‘壹’ 思科Cisco路由器的ACL控制列表设置
1、根据问题1,需在在switch3上做acl,其PC3不能访问服务器192.168.3.3,命令如下:
switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3 //拒绝网络192.168.4.4访问服务器192.168.3.3。
switch3(config)#access-list 100 peimit ip any any //允许其他主机访问。
switch3(config) #interface f0/5
switch3(config-if) #ip access-group 100 in //在路由器f0/5接口入方向下调用此ACL 100。
2、根据问题2,PC0、PC1、PC2之间访问关系,如下命令:
switch3(config) #access-list 101 deny host 192.168.1.2 host 202.135.147.33 //PC0禁止访问外网
switch3(config) #access-list 101 peimit host 192.168.1.2 host 192.168.2.2 //PC0允许访问PC2
switch3(config) #access-list 101 peimit host 192.168.1.3 host 192.168.2.2 //PC1允许访问PC2
switch3(config) #access-list 102 deny 192.168.2.2 0.0.0.0.0 192.168.1.0 0.0.0.255 //PC2禁止访问192.168.1.0网段
switch3(config) #interface f0/2
switch3(config-if) #ip access-group 101 in
switch3(config) #interface f0/3
switch3(config-if) #ip access-group 102 in //分别在switch3上调用acl 101和102。
3、根据问题3,acl分为标准acl和扩展acl,其标准acl访问控制列表号为1-99,扩展acl访问控制列表号为100-199,每条acl下又能创建多条规则,但一个接口下只能调用一条acl。
4、根据问题4,其192.168.1.0 0.0.0.255匹配的是192.168.1.0/24,表示的是192.168.1.0~192.168.1.255地址范围,命令为:
switch3(config) #access-list 103 peimit ip 192.168.0.0 0.0.255.255 any //允许192.168.0.0/16地址访问任何网络。
(1)标准acl访问控制列表扩展阅读:
ACL可以应用于多种场合,其中最为常见的应用情形如下:
1、过滤邻居设备间传递的路由信息。
2、控制交换访问,以此阻止非法访问设备的行为,如对 Console接口、 Telnet或SSH访问实施控制。
3、控制穿越网络设备的流量和网络访问。
4、通过限制对路由器上某些服务的访问来保护路由器,如HTP、SNMP和NIP等。
5、为DDR和 IPSeC VPN定义感兴趣流。
6、能够以多种方式在IOS中实现QoS(服务质量)特性。
7、在其他安全技术中的扩展应用,如TCP拦截和IOS防火墙。
‘贰’ 路由器访问控制列表(ACL)的特性有哪些
网络安全保障的第一道关卡 对于许多网管员来说,配置路由器的访问控制列表是一件经常性的工作,可以说,路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制,它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问表来管理信息流,以制定公司内部网络的相关策略。这些策略可以描述安全功能,并且反映流量的优先级别。例如,某个组织可能希望允许或拒绝Internet对内部Web服务器的访问,或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。这些情形,以及其他的一些功能都可以通过访问表来达到目的。 访问列表的种类划分 目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。
1、基本访问表控制基于网络地址的信息流,且只允许过滤源地址。
2、扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据。
表1列出了路由器所支持的不同访问表的号码范围。
由于篇幅所限,本文只对标准访问列表和扩展访问列表进行讨论。 标准IP访问表 标准IP访问表的基本格式为:
access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]
下面对标准IP访问表基本格式中的各项参数进行解释:
1.list number---表号范围
标准IP访问表的表号标识是从1到99。
2.permit/deny----允许或拒绝
关键字permit和deny用来表示满足访问表项的报文是允许通过接口,还是要过滤掉。permit表示允许报文通过接口,而deny表示匹配标准IP访问表源地址的报文要被丢弃掉。 3.source address----源地址
对于标准的IP访问表,源地址是主机或一组主机的点分十进制表示,如:198.78.46.8。
4.host/any----主机匹配
host和any分别用于指定单个主机和所有主机。host表示一种精确的匹配,其屏蔽码为0.0.0.0。例如,假定我们希望允许从198.78.46.8来的报文,则使用标准的访问控制列表语句如下:
access-list 1 permit 198.78.46.8 0.0.0.0
如果采用关键字host,则也可以用下面的语句来代替:
access-list 1 permithost 198.78.46.8
也就是说,host是0.0.0.O通配符屏蔽码的简写。
与此相对照,any是源地证/目标地址0.O.O.O/255.255.255.255的简写。假定我们要拒绝从源地址198.78.46.8来的报文,并且要允许从其他源地址来的报文,标准的IP访问表可以使用下面的语句达到这个目的:
access-list 1 deny host 198.78.46.8
access-list 1 permit any
注意,这两条语句的顺序;访问表语句的处理顺序是由上到下的。如果我们将两个语句顺序颠倒,将permit语句放在deny语句的前面,则我们将不能过滤来自主机地址198.78.46.8的报文,因为permit语句将允许所有的报文通过。所以说访问表中的语句顺序是很重要的,因为不合理语句顺序将会在网络中产生安全漏洞,或者使得用户不能很好地利用公司的网络策略。 5.wildcardmask------通配符屏蔽码
Cisco访问表功能所支持的通配符屏蔽码与子网屏蔽码的方式是刚好相反的,也就是说,二进制的O表示一个"匹配"条件,二进制的1表示一个"不关心"条件。假设组织机构拥有一个C类网络198.78.46.0,若不使用子网,则当配置网络中的每一个工作站时,使用于网屏蔽码255.255.255.O。在这种情况下,1表示一个 "匹配",而0表示一个"不关心"的条件。因为Cisco通配符屏蔽码与子网屏蔽码是相反的,所以匹配源网络地址198.78.46.0中的所有报文的通配符屏蔽码为:0.0.O.255。
6.Log----日志记录
log关键字只在IOS版本11.3中存在。如果该关键字用于访问表中,则对那些能够匹配访问表中的permit和deny语句的报文进行日志记录。日志信息包含访问表号、报文的允许或拒绝、源IP地址以及在显示了第一个匹配以来每5分钟间隔内的报文数目。使用log关键字,会使控制台日志提供测试和报警两种功能。系统管理员可以使用日志来观察不同活动下的报文匹配情况,从而可以测试不同访问表的设计情况。当其用于报警时,管理员可以察看显示结果,以定位那些多次尝试活动被拒绝的访问表语句。执行一个访问表语句的多次尝试活动被拒绝,很可能表明有潜在的黑客攻击活动。 扩展的IP访问控制列表 顾名思义,扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较等等。一个扩展的IP访问表的一般语法格或如下所示:
下面简要介绍各个关键字的功能:
1.list number----表号范围
扩展IP访问表的表号标识从l00到199。
2.protocol-----协议
协议项定义了需要被过滤的协议,例如IP、TCP、UDP、ICMP等等。协议选项是很重要的,因为在TCP/IP协议栈中的各种协议之间有很密切的关系,如果管理员希望根据特殊协议进行报文过滤,就要指定该协议。
另外,管理员应该注意将相对重要的过滤项放在靠前的位置。如果管理员设置的命令中,允许IP地址的语句放在拒绝TCP地址的语句前面,则后一个语句根本不起作用。但是如果将这两条语句换一下位置,则在允许该地址上的其他协议的同时,拒绝了TCP协议。
3.源端口号和目的端口号
源端口号可以用几种不同的方法来指定。它可以显式地指定,使用一个数字或者使用一个可识别的助记符。例如,我们可以使用80或者http来指定Web的超文本传输协议。对于TCP和UDP,读者可以使用操作符 "<"(小于)、">"(大于)"="(等于)以及""(不等于)来进行设置。
目的端口号的指定方法与源端口号的指定方法相同。读者可以使用数字、助记符或者使用操作符与数字或助记符相结合的格式来指定一个端口范围。
下面的实例说明了扩展IP访问表中部分关键字使用方法:
access-list 101 permit tcp any host 198.78.46.8 eq smtp
access-list 101 permit tcp any host 198.78.46.3 eq www
第一个语句允许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服务端口(25);第二个语句允许任何来自任何主机的TCP报文到达指定的主机198.78.46.3的www或http服务端口(80)。 Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any ?
eq Match only packets on a given port number
<cr>
log Log matches against this entry
Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log
4.选项
扩展的IP访问表支持很多选项。其中一个常用的选项有log,它已在前面讨论标准访问表时介绍过了。另一个常用的选项是established,该选项只用于TCP协议并且只在TCP通信流的一个方向上来响应由另一端发起的会话。为了实现该功能,使用established选项的访问表语句检查每个 TCP报文,以确定报文的ACK或RST位是否已设置。
例如,考虑如下扩展的IP访问表语句:
access-list 101 permit tcp any host 198.78.46.8 established
该语句的作用是:只要报文的ACK和RST位被设置,该访问表语句就允许来自任何源地址的TCP报文流到指定的主机198.78.46.8。这意味着主机198.78.46.8此前必须发起TCP会话。 5.其他关键字
deny/permit、源地址和通配符屏蔽码、目的地址和通配符屏蔽码以及host/any的使用均与标准IP访问表中的相同。
表2是对部分关键字的具体解释。
表 2:
管理和使用访问表 在一个接口上配置访问表需要三个步骤:
(1)定义访问表;
(2)指定访问表所应用的接口;
(3)定义访问表作用于接口上的方向。
我们已经讨论了如何定义标准的和扩展的IP访问表,下面将讨论如何指定访问表所用的接口以及接口应用的方向。
一般地,采用interface命令指定一个接口。例如,为了将访问表应用于串口0,应使用如下命令指定此端口:
interface serial0
类似地,为将访问表应用于路由器的以太网端口上时,假定端口为Ethernet0,则应使用如下命令来指定此端口:
interface ethernet0
在上述三个步骤中的第三步是定义访问表所应用的接口方向,通常使用ip access-group命令来指定。其中,列表号标识访问表,而关键字in或out则指明访问表所使用的方向。方向用于指出是在报文进入或离开路由器接口时对其进行过滤。如下的实例将这三个步骤综合在一起: intface serial0
ip access-group 107 in
access-list 107 remark allow traffic to tom's pc
access-list 107 ip any host 198.78.46.8
access-list 107 remark allow only web traffic to webserver
access-list 107 tcp any host 198.78.46.12 eq 80
access-list 107 remark block everything else
access-list 107 deny any any
在本例中,先使用interface命令指定串行端口0,并使用ipaccess-group命令来将访问表l07中的语句应用于串行接口的向内方向上。最后,输入6个访问表语句,其中三条访问表语句使用关键字remark
‘叁’ ACL(访问控制列表)的分类和作用
IP访问控制列表的分类
标准IP访问控制列表
当我们要想阻止来自某一网络的所有通信流量,或者充许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。贺巧标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网者御络、子网或主机的IP地址的所有通信流量通过路由器的出口。
扩展IP访问控制列表
扩展访问控制列表既检查数据包的源地址,也检查数据首拍岩包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。
命名访问控制列表
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。
在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。
‘肆’ 访问控制列表有哪几种类型,分别在哪个位置
分类
1、标准IP访问列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。
2、扩展IP访问
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
3、命名的IP访问
所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。
4、标准IPX访问
标准IPX访问控制列表的编号范围是800-899,它检查IPX源网络号和目的网络号,同样可以检查源地址和目的地址的节点号部分。
5、扩展IPX访问
扩展IPX访问控制列表在标准IPX访问控制列表的基础上,增加了对IPX报头中以下几个字段的检查,它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。
6、命名的IPX访问
与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表,同样有标准和扩展之分。
(4)标准acl访问控制列表扩展阅读
访问控制列表的使用
ACL的使用分为两步:
(1)创建访问控制列表ACL,根据实际需要设置对应的条件项;
(2)将ACL应用到路由器指定接口的指定方向(in/out)上。
在ACL的配置与使用中需要注意以下事项:
(1)ACL是自顶向下顺序进行处理,一旦匹配成功,就会进行处理,且不再比对以后的语句,所以ACL中语句的顺序很重要。应当将最严格的语句放在最上面,最不严格的语句放在底部。
(2)当所有语句没有匹配成功时,会丢弃分组。这也称为ACL隐性拒绝。
(3)每个接口在每个方向上,只能应用一个ACL。
(4)标准ACL应该部署在距离分组的目的网络近的位置,扩展ACL应该部署在距离分组发送者近的位置。
‘伍’ ACL是什么
访问控制列表(ACL)是一种基于包过滤的访问控制技术。
它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
访问控制列表具有许多作用,如限制网络流量、提高网络性能;通信流量的控制,例如ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量;提供网络安全访问的基本手段。
ACL的功能:
1、限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定这种类型的数据包具有更高的优先级,同等情况下可预先被网络设备处理。
2、提供对通信流量的控制手段。
3、提供网络访问的基本安全手段。
4、在网络设备接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。
以上内容参考:网络—ACL
‘陆’ CCNA考点精析——访问控制列表
访问控制列表使用目的:
1、限制网络流量、提高网络性能。例如队列技术,不仅限制了网络流量,而且减少了拥塞
2、提供对通信流量的控制手段。例如可以用其控制通过某台路由器的某个网络的流量
3、提供了网络访问的一种基本安全手段。例如在公司中,允许财务部的员工计算机可以访问财务服务器而拒绝其他部门访问财务服务器
4、在路由器接口上,决定某些流量允许或拒绝被转发。例如,可以允许FTP的通信流量,而拒绝TELNET的通信流量。
工作原理:
ACL中规定了两种操作,所有的应用都是围绕这两种操作来完成的:允许、拒绝
注意:ACL是CISCO IOS中的一段程序,对于管理员输入的指令,有其自己的执行顺序,它执行指令的顺序是从上至下,一行行的执行,寻找匹配,一旦匹配则停止继续查找,如果到末尾还未找到匹配项,则执行一段隐含代码——丢弃DENY.所以在写ACL时,一孙档定要注意先后顺序。
例如:要拒绝来自172.16.1.0/24的流量,把ACL写成如下形式
允许172.16.0.0/18
拒绝172.16.1.0/24
允许192.168.1.1/24
拒绝172.16.3.0/24
那么结果将于预期背道而驰,把表一和表二调换过来之后,再看一下有没有问题:
拒绝172.16.1.0/24
允许172.16.0.0/18
允许192.168.1.1/24
拒绝172.16.3.0/24
发现172.16.3.0/24和刚才的情况一样,这个表项并未起到作用,因为执行到表二就发现匹配,于是路由器将会允许,和我们的需求完全相反,那么还需要把表项四的位置移到前面
最后变成这样:
拒绝172.16.1.0/24
拒绝172.16.3.0/24
允许172.16.0.0/18
允许192.168.1.1/24
可以发现,在ACL的配置中的一个规律:越精确的表项越靠前,而越笼统的表项越靠后放置
ACL是一组判断语句的集合,它主要用于对如下数据进行控制:
1、入站数据;
2、出站数据;
3、被路由器中继的数据
工作过程
1、无论在路由器上有无ACL,接到数据包的处理方法都是一样的:当数据进入某个入站口时,路由器首先对其进行检查,看其是否可路由,如果不可路由那么就丢弃,反之通过查路由选择表发现该路由的详细信息——包括AD,METRIC……及对应的出接口;
2、这时,我们假定该数据是可路由的,并且已经顺利完成了第一步,找出了要将其送出站的接口,此时路由器检查该出站口有没有被编入ACL,如果没有ACL 的话,则直接从该口送出。如果该接口编入了ACL,那尘穗么就比较麻烦。第一种情况——路由器将按照从上到下的顺序依次把该数据和ACL进行匹配,从上往下,逐条执行,当发现其中某条ACL匹配,则根据该ACL指定的操作对数据进行相应处理派凯卜(允许或拒绝),并停止继续查询匹配;当查到ACL的最末尾,依然未找到匹配,则调用ACL最末尾的一条隐含语句deny any来将该数据包丢弃。
对于ACL,从工作原理上来看,可以分成两种类型:
1、入站ACL
2、出站ACL
上面的工作过程的解释是针对出站ACL的。它是在数据包进入路由器,并进行了路由选择找到了出接口后进行的匹配操作;而入站ACL是指当数据刚进入路由器接口时进行的匹配操作,减少了查表过程
并不能说入站表省略了路由过程就认为它较之出站表更好,依照实际情况而定:
如图所示,采用基本的ACL——针对源的访问控制
要求如下:
1、拒绝1.1.1.2访问3.1.1.2但允许访问5.1.1.2
2、拒绝3.1.1.2访问1.1.1.2但允许访问5.1.1.2
采用基本的ACL来对其进行控制
R1(config)#access-list 1 deny 1.1.1.2 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#int e0
R1(config-if)#access-group 1 in
R2(config)#access-list 1 deny 3.1.1.2 0.0.0.255
R2(config)#access-list 1 permit any
R2(config)#int e0
R2(config-if)#access-group 1 in
从命令上来看,配置似乎可以满足条件。
假定从1.1.1.2有数据包要发往3.1.1.2,进入路由器接口E0后,这里采用的是入站表,则不需查找路由表,直接匹配ACL,发现有语句 access-list 1 deny 1.1.1.2 0.0.0.255拒绝该数据包,丢弃;假定从3.1.1.2有数据包要发往1.1.1.2,同上。
当1.1.1.2要和5.1.1.2通信,数据包同样会被拒绝掉
当3.1.1.2要和5.1.1.2通信,数据包也会被拒绝掉
该ACL只能针对源进行控制,所以无论目的是何处,只要满足源的匹配,则执行操作。
如何解决此问题?
1、把源放到离目标最近的地方,使用出站控制;
2、使ACL可以针对目的地址进行控制。
第一项很好理解,因为标准的ACL只能针对源进行控制,如果把它放在离源最近的地方,那么就会造成不必要的数据包丢失的情况,一般将标准ACL放在离目标最近的位置!
第二种办法,要针对目标地址进行控制。因为标准ACL只针对源,所以,这里不能采用标准ACL,而要采用扩展ACL.但是它也有它的劣势,对数据的查找项目多,虽然控制很精确,但是速度却相对慢些。
简单比较以下标准和扩展ACL
标准ACL仅仅只针对源进行控制
扩展ACL可以针对某种协议、源、目标、端口号来进行控制
从命令行就可看出
标准:
Router(config)#access-list list-number
扩展:
Router(config)#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]
Protocol—用来指定协议类型,如IP、TCP、UDP、ICMP以及IGRP等
Source and destination—源和目的,分别用来标示源地址及目的地址
Source-mask and destination-mask—源和目的的通配符掩码
Operator operand—It,gt,eq,neq(分别是小于、大于、等于、不等于)和一个端口号
Established—如果数据包使用一个已建连接(例如,具有ACK位组),就允许TCP信息通过
为了避免过多的查表,所以扩展ACL一般放置在离源最近的地方
看完上面的内容后,那么大家可以看以下几道关于CISCO访问控制列表的例题:
1、What are two reasons that a network administrator would use access lists? (Choose two.)
A:to control vty access into a router
B:to control broadcast traffic through a router
C:to filter traffic as it passes through a router
D:to filter traffic that originates from the router
E:to replace passwords as a line of defense against security incursions
Answers: A, C
注:该题主要考察CISCO考生对ACL作用的理解:网络管理员在网络中使用ACL的两个理由?
A选项指出了CISCO 访问列表的一个用法:通过VTY线路来访问路由器的访问控制;
ACL不能对穿越路由器的广播流量作出有效控制。
选项C也指明了ACL的另一个作用,那就是过滤穿越路由器的流量。这里要注意了,是“穿越”路由器的流量才能被ACL来作用,但是路由器本身产生的流量,比如路由更新报文等,ACL是不会对它起任何作用的:因为ACL不能过滤由路由器本身产生的流量,那么D也是错误的;
2、For security reasons, the network administrator needs to prevent pings into the corporate networks from hosts outside the internetwork. Which protocol should be blocked with access control lists?
A: IP
B: ICMP
C: TCP
D: UDP
Answers: B
安全起见,网络管理员想要阻止来自Internet上的外部主机PING企业内部网络,哪种协议必须在访问列表中被阻塞掉?PING使用的是ICMP协议,在ACL中,我们可以自己来定义需要被允许或者拒绝某些协议的流量。该题选B
3、Refer to the exhibit. The access list has been configured on the S0/0 interface of router RTB in the outbound direction. Which two packets, if routed to the interface, will be denied? (Choose two.)
access-list 101 deny tcp 192.168.15.32 0.0.0.15 any eq telnet
access-list 101 permit ip any any
访问控制列表
A:source ip address: 192.168.15.5; destination port: 21
B:source ip address:, 192.168.15.37 destination port: 21
C:source ip address:, 192.168.15.41 destination port: 21
D:source ip address:, 192.168.15.36 destination port: 23
E:source ip address: 192.168.15.46; destination port: 23
Correct Answers: B, E
如图,在RTB上配置了访问列表,控制从S0/0口出去向外部的由192.168.15.32/29网段发起的telnet流量,其它流量允许通过。telnet使用23号端口,由此可以排除掉ABC三个选项。该题选择D,E.
‘柒’ ACL(访问控制列表)详解
访问控制列表(ACL)是应用在 路由器 接口的指令列表(即规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。
ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。
ACl是一组规则的集合,它应用在路由器的某个接口上。对路由器接口而言,访问控制列表有两个方向。
出:已经通过路由器的处理,正离开路由器的数据包。
入:已到达路由器接口的数据包。将被路由器处理。
————————————————
1、Access Contral List
2、ACL是一种包过滤技术。
3、ACL基于 IP包头的IP地址 、 四层TCP/UDP头部的端口号; 基于三层和四层过滤
4、ACL在路由器上配置,也可以在防火墙上配置(一般称为策略)
5、ACL主要分为2大类:
标准 ACL
表号是 1-99 特点;
只能基于 源IP地址 对包进行过滤
扩展 ACL
表号:100-199
特点:可以基于源IP、目标IP、端口号、协议对包进行过滤
————————————————
ACL原理
1)ACL表必须应用到接口的进或出方向生效
2) 一个接口的一个方向 只能应用一张表
3)进还是出方向应用?取决于流量控制总方向
4)ACL表是严格自上而下检查每一条,所以要注意书写顺序
5)每一条是有条件和动作组成,当流量不满足某条件,则继续检查;当流量完全 满足某条件,不再往后检查 直接执行动作。
6)标准ACL尽量写在靠近目标的地方
————————————————
将ACL应用到接口:
———————
注释:反子网掩码:将正子网掩码0和1倒置
反子网掩码:用来匹配,与0对应的严格匹配,与1对应的忽略匹配。
———————
例如:access-list 1 deny 10.1.1.1 0.255.255.255
解释:该条目用来拒绝所有源IP为10开头的
access-list 1 deny 10.1.1.1 0.0.0.0
简写:access-list 1 deny host 10.1.1.1
解释:该条目用来拒绝所有源IP为10.1.1.1的主机
access-list 1 deny 0.0.0.0 255.255.255.255
简写:access-list 1 deny any
解释:该条目用来拒绝所有人
————————————————
————————————————
1)做流量控制,首先要先判断ACL写的位置(那个路由器?那个接口的哪个方向?)
2)再考虑怎么写ACL
首先要判断最终要 允许所有还是拒绝所有
将 【详细的严格的控制】 写在最前面
3)一般情况下,标准或扩展ACL一旦编写,无法修改某一条,也无法删除某一条,也无法往中间插入新的条目,只能一直在最后添加新的条目
如想修改插入或删除,只能删除整张表,重新写!
conf t
no access-list 表号
查看ACL表:
show ip access-list [表ID]
————————————————
扩展ACL:
表号:100-199
特点:可以基于源IP、目标IP、端口号、协议对包进行过滤
命令:
acc 100 permint/deny 协议 源IP或源网段 反子网掩码 目标IP 或源网段 反子网掩码 [eq端口号]
注释:协议:tcp/udp/icmp/ip
案例:
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 deny ip host 10.1.1.1 20.1.1.1 0.0.0.255
————————————————
命名ACL:
作用:可以对标准或扩展ACL进行自定义命名
优点:
自定义命名更容易辨认,也便于记忆!
可以任意修改某一条,或删除某一条,也可以往中间插入某一条
conf t
ip access-list standard/extended 自定义表名
开始从deny或permit编写ACL条目
exit
删除某一条:
ip access-list standard/extended 自定义表名
no 条目ID
exit
插入某一条:
IP access-list standard/extended 自定义表名
条目ID 动作 条件
————————————————
以上是以思科命令为例。