收藏
下载资源

ACL访问控制列表配置

上传人:汽*** 文档编号:500249121 上传时间:2024-01-31 格式:DOC 页数:14 大小:442.50KB
返回 下载 相关 举报
ACL访问控制列表配置_第1页
第1页 / 共14页
ACL访问控制列表配置_第2页
第2页 / 共14页
ACL访问控制列表配置_第3页
第3页 / 共14页
ACL访问控制列表配置_第4页
第4页 / 共14页
ACL访问控制列表配置_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《ACL访问控制列表配置》由会员分享,可在线阅读,更多相关《ACL访问控制列表配置(14页珍藏版)》请在金锄头文库上搜索。

1、ACL的使用ACL的处理过程:1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许( permit )2.语句顺序按照由上而下的顺序处理列表中的语句3. 语句排序处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。4.隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包, 在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的( deny)要点:1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理 -因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL 应该至少有一条permit 语句;

2、否则所有流量都会丢弃,因为每个ACL 末尾都有隐藏的隐含拒绝语句。2.如果在语句结尾增加deny any 的话可以看到拒绝记录3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。示例:编号方式标准的 ACL使用1 99 以及 13001999 之间的数字作为表号,扩展的ACL使用100 199 以及 20002699 之间的数字作为表号一、标准(标准 ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。 )允许 172.17.31.222 通过,其他主机

3、禁止Cisco-3750(config)#access-list 1(策略编号)(1-99、 1300-1999 ) permit host 172.17.31.222 禁止 172.17.31.222 通过 ,其他主机允许Cisco-3750(config)#access-list 1 deny host 172.17.31.222Cisco-3750(config)#access-list 1 permit any允许 172.17.31.0/24 通过 ,其他主机禁止Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254

4、(反码 255.255.255.255 减去子网掩码,如 172.17.31.0/24 的 255.255.255.255 255.255.255.0=0.0.0.255 )禁止 172.17.31.0/24 通过 ,其他主机允许Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254Cisco-3750(config)#access-list 1 permit any二、扩展(扩展 ACL比标准 ACL提供了更广泛的控制范围。 例如,网络管理员如果希望做到“允许外来的 Web 通信流量通过,拒绝外来的 FTP和 Telnet 等通

5、信流量” ,那么,他可以使用扩展 ACL来达到目的,标准 ACL不能控制这么精确。 )允许 172.17.31.222 访问任何主机 80 端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222 (源) any(目标) eq www允许所有主机访问172.17.31.222 主机 telnet ( 23)端口其他禁止Cisco-3750(config)#access-list 100( 100-199、2000-2699 ) permit tcp any host 172.17.31.222 eq23

6、接口应用(入方向) (所有 ACL只有应用到接口上才能起作用)Cisco-3750(config)#int g1/0/1Cisco-3750(config-if)#ip access-group 1 in (出方向 out )命名方式一、标准建立标准 ACL命名为 test 、允许 172.17.31.222 通过,禁止 172.17.31.223 通过,其他主机禁止Cisco-3750(config)#ip access-list standard testCisco-3750(config-std-nacl)#permit host 172.17.31.222Cisco-3750(conf

7、ig-std-nacl)#deny host 172.17.31.223建立标准 ACL命名为 test 、禁止 172.17.31.223 通过,允许其他所有主机。 Cisco-3750(config)#ip access-list standard test Cisco-3750(config-std-nacl)#deny host 172.17.31.223 Cisco-3750(config-std-nacl)#permit any二、扩展建立扩展 ACL命名为 test1,允许 172.17.31.222 访问所有主机 80 端口,其他所有主机禁止 Cisco-3750(config

8、)#ip access-list extended test1Cisco-3750(config-ext-nacl)#permit tcp host 172.17.31.222 any eq www建立扩展ACL 命名为 test1,禁止所有主机访问172.17.31.222 主机 telnet ( 23)端口,但允许访问其他端口Cisco-3750(config)#ip access-list extended test1Cisco-3750(config-ext-nacl)#deny tcp any host 172.17.31.222 eq 23Cisco-3750(config-ext

9、-nacl)#permit tcp any any接口应用(入方向) (所有 ACL只有应用到接口上才能起作用)Cisco-3750(config)#int g1/0/1Cisco-3750(config-if)#ip access-group test in (出方向out )接口应用原则标准 ACL,的应用靠近目标地址扩展 ACL,的应用靠近源地址网上资料:Cisco ACL 原理及配置详解什么是 ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤, 从而达到访问控制

10、的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。访问控制列表使用原则由于 ACL涉及的配置命令很灵活,功能也很强大, 所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。、1.访问控制列表的列表号指出了是那种协议的访问控制列表,各种协议有自己的访问控制列表, 而每个协议的访问控制列表又分为标准访问控制列表和扩展访问控制列表,通过访问控制列表的列表号区别。2.访问控制列表的语句顺讯决定了对数据包的控制顺序。3.限制性语句应该放在访问控制列表的首行。

11、把限制性语句放在访问控制列表的首行或者语句中靠近前面的位置上,把“全部允许”或者“全部拒绝”这样的语句放在末行或者接近末行,可以防止出现诸如本该拒绝的数据包却被放过的情况。3.最小特权原则只给受控对象完成任务所必须的最小的权限。 也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。4.新的表项只能被添加到访问控制列表的末尾,这意味着不可能改变已有访问控制列表的功能。如果必须改变,只能先删除原有访问控制列表,再重新创建、应用。5.在访问控制列表应用到接口之前,一定要先建立访问控制列表。首先在全局模式下建立访问控制列表, 然后把它应用在接口的进口或者出口方向上。 在接口上应

12、用一个不存在的访问控制列表是不可能的。6.访问控制列表的语句不肯能被逐条的删除,只能一次性删除整个访问控制列表。7.在访问控制列表的最后有一条隐含的“全部拒绝”的命令,所以在访问控制列表里一定要至少有一条“允许”的语句。8.访问控制列表智能过滤通过路由器的数据包,不能过滤从路由器本身发出的数据包。9.在路由选择进行以前,应用在接口进入方向的访问控制列表起作用。10.在路由选择决定以后,应用在接口离开方向的访问控制列表起作用11.最靠近受控对象原则所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。12.

13、默认丢弃原则在 CISCO路由交换设备中默认最后一句为 ACL 中加入了 DENY ANY ANY,也就是丢弃所有不符合条件的数据包。 这一点要特别注意, 虽然我们可以修改这个默认, 但未改前一定要引起重视。由于 ACL是使用包过滤技术来实现的, 过滤的依据又仅仅只是第三层和第四层包头中的部分信息, 这种技术具有一些固有的局限性, 如无法识别到具体的人, 无法识别到应用内部的权限级别等。 因此,要达到端到端的权限控制目的, 需要和系统级及应用级的访问权限控制结合使用。一标准访问列表:访问控制列表ACL分很多种, 不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是

14、通过使用IP 包中的源网络、子网或主机的IP 地址进行过滤,使用的访问控制列表号1 到 99 来创建相应的标准访问控制列表只能检查数据包的原地址,单的 ACL。ACL使用的局限性大,但是配置简单, 是最简它的具体格式如下:access-list ACL号 permit|deny host ip地址例如: access-list 10 deny host 192.168.1.1这句命令是将所有来自据包丢弃。当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:192.168.1.1 地址的数access-list 10 deny192.168.1.0 0.0.0.255通过上面的配置将来自 192.168.1.0/24 的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是 0.0.0.255 呢 ?这是因为 CISCO规定在 ACL中用反向掩玛表示子网掩码,反向掩码为 0.0.0.255 的代表他的子网掩码为 255.255.255.0 。( 1)通配符any为表示任何IP 地址通过,网络管理员输入0.0.0.0;然后,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 活动策划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号