访问控制列表的编号
Ⅰ 配置思科三层交换机,访问控制列表的时候,下面八句话是什么意思啊谢谢
先解释103.
第一句和第三句分别允许[任何人向DHCP客户端通信]和[从DHCP客户端向任何人通信]。
DHCP客户端一般就是自动获取地址的主机。
这两个允许就允许了自动获取地址的过程。
eq bootpc就是端口 68.是udp协议。
#103是访问控制列表的编号
#permit是允许,也可以是deny
#udp指的是udp协议,还可以写tcp,ip(这是思科特殊的地方,尽管ip跟tcp,udp不是一个层次的)。
#any指的是任何地址,也可以写具体地址。前一个any是源后一个是目的地址。
#eq代表端口号,eq bootpc = eq 68两者都可以写。在配置里面不管怎么写显示前者。
#默认最后一个隐藏的语句access-list 103 deny ip any any就是说除以上允许外其他全部拒绝(访问控制列表是一条一条从上往下匹配的)
第二句和第四句分别允许[任何人向tftp客户端/服务器通信]和反过来。
因为tftp客户和服务器端都用一个69端口。也是udp协议
104.类似。
103和104是两个独立的访问控制列表。看谁调用了。
Ⅱ 什么是访问控制列表
下面是对几种访问控制列表的简要总结。
●标准IP访问控制列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。
●扩展IP访问控制列表
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
●命名的IP访问控制列表
所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。
●标准IPX访问控制列表
标准IPX访问控制列表的编号范围是800-899,它检查IPX源网络号和目的网络号,同样可以检查源地址和目的地址的节点号部分。
●扩展IPX访问控制列表
扩展IPX访问控制列表在标准IPX访问控制列表的基础上,增加了对IPX报头中以下几个宇段的检查,它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。
●命名的IPX访问控制列表
与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表,同样有标准和扩展之分。
Ⅲ 路由器的访问控制列表是怎样设置的
访问控制列表是一种包过滤技术,分为标准访问控制列表(编号为1到99)和扩展访问控制列表(编号为100到199)两类。标准访问控制列表主要是对源地址的控制,适用于所有的协议。
以Cisco2600路由器为例,假设允许192.168.1.0网段内的所有机器通过路由器出去,那么设置如下:access-list 1 permit 192.168.1.0 0.0.0.255interface serial 0ip access-group 1 out其中,0.0.0.255为该网段的通配符掩码。非标准访问控制列表可以实现对源地址和目的地址的双重控制,还可以只针对某一协议作控制。以Cisco路由器为例,假设拒绝192.16.1.0网段内的所有机器通过80端口从路由器访问新浪网站,操作如下:access-list 101 deny tcp 192.168.1.0 0.0.0.255 www.sina.com.cn eq 80access-list 101 permit any anyinterface serial 1ip access-group 101 out
Ⅳ 华为 ACL访问控制列表 (高级ACL为例)
Access Control List访问控制列表–ACL
ACL是由一个或多个用于报文过滤的规则组成的规则集合,通过在不同功能上的应用 可 达到不同的应用效果。
路由器和交换机接口的指令列表,用来控制端口进出的数据包,配合各种应用(NAT、route police 前缀列表等)实现对应的效果。
匹配特定数据,实现对数据的控制(deny–拒绝,permit–放行)
实现网络访问控制,Qos留策略,路由信息过滤,策略路由等诸多方面。
(1):按照ACL过滤的报文类型和功能划分
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。
① 接口ACL(编号1000-----19999)
② 基本ACL(编号2000-----2999)
③ 高级ACL(编号3000-----3999)
④ 二层ACL(编号4000-----4999)
⑤ 自定义ACL(编号5000----5999)
(2):按照命名方式划分
① 数字型ACL(创建ACL是编号)
② 命名型ACL(给所创建的ACL赋予一个名称)
定义ACL语句--------》接口/应用挂载-------》接口收到流量匹配ACL语句----------》数据命中ACL后执行语句动作。
(1):一个ACL可以由多条“deny | permit”语句组成,每一条语句描述了一条规则
permit–放行,允许,抓取/匹配
deny----拒绝,过滤。
(2):设备收到数据流量后,会逐条匹配ACL规则,看其是否匹配。
如果不匹配,则匹配下一条。一旦找到一条匹配的规则,则执行规则中定义的动作(permit或者deny)并且不再匹配后续的语句。
如果找不到匹配的规则,则设备不对报文进行任何处理(即默认执行prmit any any,放行所有)
注意: ACL中定义的这些规则可能存在重复或矛盾的地方。规则的匹配顺序决定了规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形
配置顺序和自动排序
(1)配置顺序:
配置顺序按ACL规则编号(rule-id)从小到大的顺序进行匹配。
设备会在创建ACL的过程中自动为每一条规则分配一个编号(rule-id),规则编号决定了规则被匹配的顺序(ARG3系列路由器默认规则编号的步长是5)。
(2)自动排序:
自动排序使用“深度优先”的原则进行匹配,即根据规则的精确度排序,匹配条件(如协议类型,源目的IP地址范围等)限制越严格越精确。
若“深度优先”的顺序相同,则匹配该规则时按照规则编号从小到大排列。
rule
(1) 一个ACL内可以有一条或者多条规则,每条规则都有自己的编号,在一个ACL每条语句的规则编号时唯一的,每条编号代表一个ACL语句和动作。
(2) ACL的规则编号(rule id)默认自动生成,也可以手动指定,一般我们通过手动插入新的rule 来调整ACL的匹配规则。
(3)默认每条规则号的从0开始,增长规则为步进5(通过step命令修改步进号)
Ⅳ 访问控制列表有哪几种类型,分别在哪个位置
分类
1、标准IP访问列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。
2、扩展IP访问
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
3、命名的IP访问
所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。
4、标准IPX访问
标准IPX访问控制列表的编号范围是800-899,它检查IPX源网络号和目的网络号,同样可以检查源地址和目的地址的节点号部分。
5、扩展IPX访问
扩展IPX访问控制列表在标准IPX访问控制列表的基础上,增加了对IPX报头中以下几个字段的检查,它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。
6、命名的IPX访问
与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表,同样有标准和扩展之分。
(5)访问控制列表的编号扩展阅读
访问控制列表的使用
ACL的使用分为两步:
(1)创建访问控制列表ACL,根据实际需要设置对应的条件项;
(2)将ACL应用到路由器指定接口的指定方向(in/out)上。
在ACL的配置与使用中需要注意以下事项:
(1)ACL是自顶向下顺序进行处理,一旦匹配成功,就会进行处理,且不再比对以后的语句,所以ACL中语句的顺序很重要。应当将最严格的语句放在最上面,最不严格的语句放在底部。
(2)当所有语句没有匹配成功时,会丢弃分组。这也称为ACL隐性拒绝。
(3)每个接口在每个方向上,只能应用一个ACL。
(4)标准ACL应该部署在距离分组的目的网络近的位置,扩展ACL应该部署在距离分组发送者近的位置。