收藏
下载资源

访问控制列表

上传人:cl****1 文档编号:509519065 上传时间:2023-04-24 格式:DOCX 页数:8 大小:19.38KB
返回 下载 相关 举报
访问控制列表_第1页
第1页 / 共8页
访问控制列表_第2页
第2页 / 共8页
访问控制列表_第3页
第3页 / 共8页
访问控制列表_第4页
第4页 / 共8页
访问控制列表_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《访问控制列表》由会员分享,可在线阅读,更多相关《访问控制列表(8页珍藏版)》请在金锄头文库上搜索。

1、访问控制列表访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪 些数据包可以接收、哪些数据包需要拒绝。定义访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络 资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问 控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制 以及属性控制等多种手段。访问控制列表(ACL)是应用在路醴接口的指令列表。这些指令列表用 来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被 接收还是拒绝,可以由类似于源地址、目的地址、 端口号等的特定指示条件 来决定。访问控制列表不但可以起到控制 网络流量

2、、流向的作用,而且在很大程 度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一 道关卡,路由器上的访问控制列表成为保护 内网安全的有效手段。此外,在路由器的许多其他配置任务中都需要使用访问控制列表,如 网 络地址转换(Net work Address Transla tion , NAT)、按需拨号路由(Dial on Demand Routing, DDR)、路由重分布(Routing Redistribution)、策略路 由(Policy-Based Routing,PBR)等很多场合都需要访问控制列表。访问控制列表从概念上来讲并不复杂,复杂的是对它的配置和使用,许 多初

3、学者往往在使用访问控制列表时出现错误。几种访问控制列表的简要总结1. 标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分, 可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列 表是标准IP访问控制列表。2. 扩展IP访问控制列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括 协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级 等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。3. 命名的IP访问控制列表所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控 制列表,同样包括标准和扩

4、展两种列表,定义过滤的语句与编号方式中相似。4. 标准IPX访问控制列表标准IPX访问控制列表的编号范围是800-899,它检查IPX源网络号和 目的网络号,同样可以检查源地址和目的地址的节点号部分。5. 扩展IPX访问控制列表扩展IPX访问控制列表在标准IPX访问控制列表的基础上,增加了对IPX 报头中以下几个宇段的检查,它们是协议类型、源Socket、目标Socket。扩 展IPX访问控制列表的编号范围是900-999。6. 命名的IPX访问控制列表与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名 取代列表编号。从而方便定义和引用列表,同样有标准和扩展之分。访问控制列表I

5、N OUT方向测试in的时候判断的是源地址是vlan内的地址,out的时候判断源地址是非 本vlan内的地址。例子,18 19两个不同的网段,在18网段上加访问列表-表示能够访问,-X- ;表示不能访问。ip accessl exte test_liudeny ip host 10.24.18.5 host 10.24.19.30permit ip any anyinter vlan 18ip accessg test_liu inexi t测试:18.5-X-19.3019.30 X18.5访问列表生效,在IN方向判断源地址18.5属于本VLANinter vlan 18ip accessg

6、 test_liu outexi t测试:18.519.3019.30 18.5访问列表不生效,在OUT方向判断源地址18.5属于本VLAN,不作限制 ip accessl exte test_liudeny ip hos t 10.24.19.30 hos t 10.24.18.5permit ip any anyinter vlan 18ip accessg test_liu in exi t测试:18.519.3019.30 18.5访问列表不生效,在in方向判断源地址19.30不属于本VLAN,不作限 制inter vlan 18 ip access-g test_liu out ex

7、i t 测试:18.5-X-19.3019.30 -X-18.5 访问列表生效,在out方向判断源地址19.30不属于本VLAN,加以限制标准访问控制列表配置1. 配置路由器到网络各点可通网络如图,动态路由已设好,IP地址分配如下:Rou terA f0/0: 10.65.1.2RouterA f0/1: 10.66.1.2RouterA s0/1: 10.68.1.2RouterC s0/0: 10.68.1.1RouterC s0/1: 10.78.1.2Rou terB s0/0: 10.78.1.1RouterB s0/1: 10.69.1.2Rou terB f0/0: 10.70.

8、1.2SWA:10.65.1.8ga teway:10.65.1.2PCA:10.65.1.1ga teway:10.65.1.2PCB:10.66.1.1ga teway:10.66.1.2PCC:10.69.1.1ga teway:10.69.1.2PCD:10.70.1.1ga teway:10.70.1.2PCE:10.65.1.3ga teway:10.65.1.2PCF:10.65.2.1ga teway:10.65.1.22. 基本的访问控制列表先从 PCA ping PCD:rootPCA root#ping 10.70.1.1(通)在ROC的s0/0写一个输入的访问控制列表:

9、Rout erC(config)#access-lis t 1 perm it 10.65.1.1 0.0.0.0RouterC(config)#access-list 1 deny anyRouterC(config)#int s0/0RouterC(config-if)#ip access-group 1 inRouterC(config-if)#endRouterC#sh access-list 1rootPCA root#ping 10.70.1.1(通)roo tPCE roo t#ping 10.70.1.1 (不通)rootPCE root#ping 10.66.1.1(通)ro

10、otPCB root#ping 10.70.1.1 (不通)rootPCD root#ping 10.66.1.1(通)第一个ping, PCA的IP地址是10.65.1.1在访问控制列表access-list 1中是允许的,所以通。第二个ping,PCE虽然是65网段,但是access-list 1对10.65.1.1是 完全匹配,所以10.65.1.3的数据包不能通过。第三个ping,PCE到PCB不通过RouterC的s0/0,所以能通。第四个ping,PCB的IP地址是10.66.1.1,它是被禁止的,所以不通。 第五个ping,从PCD到PCB的数据包是从RouterC的s0/0 口

11、出,不受 accessTis t 1的控制,所以通。下面再写一个访问控制列表,先删除原访问控制列表:RouterC(config)#no access-list 1RouterC(config-if)#no ip access-group 1 in 二者都可能实现去掉访拠表的目的。前者是从列表号角度删除,后者 是从接口的输入和输出角度删除。可以通过sh access-list 命令查看访问控制列表。下面再写一个访问控制列表:Rout erC(config)#access-lis t 2 deny 10.65.1.1 0.0.0.255RouterC(config)#access-list 2

12、permit anyRouterC(config)#int s0/0RouterC(config-if)#ip access-group 1 outRouterC(config-if)#endRouterC#sh access-list 1这个访问控制列表比上一个访问控制列表有以下几点不同: 先 deny 后 perm it,禁止的是一个C类一个输出的访问控制rootPCA root#ping 10.69.1.1 (不通)rootPCE root#ping 10.69.1.1 (不通)rootPCF root#ping 10.69.1.1(通)rootPCB root#ping 10.69.1

13、.1(通)因为PCA和PCE的IP地址10.65.1.1、10.65.1.3,在deny范围内,所 以不通。而PCF的IP是10.65.2.1不在10.65.1.0 0.0.0.255范围内,所以能通。3. 梯形基本访问控制列表访问控制列表一般是顺序匹配的,梯形结构,下面是一个参考:Rout erC(config)#accessTis t 4 perm it 10.65.1.1Rout erC(config)#access-lis t 4 deny 10.65.1.0 0.0.0.255Rout erC(config)#access-lis t 4 perm it 10.65.0.0 0.0.

14、255.255Rout erC(config)#access-lis t 4 deny 10.0.0.0 0.255.255.255RouterC(config)#access-list 4 permit anyRouterC(config)#int s0/1RouterC(config-if)#ip access-group 4 outrootPCA root#ping 10.69.1.1(通)rootPCE root#ping 10.69.1.1 (不通)rootPCF root#ping 10.69.1.1(通)rootPCB root#ping 10.69.1.1 (不通)ACL常见问

15、题1) “ACL的最后一条语句都是隐式拒绝语句”是什么意思?每个ACL的末尾都会自动插入一条隐含的deny语句,虽然ACL中看不 到这条语句,它仍其作用。隐含的deny语句会阻止所有流量,以防不受欢 迎的流量意外进入网络。2) 配置ACL后为什么没有生效?在创建访问控制列表之后,必须将其应用到某个接口才可开始生效。ACL 控制的对象是进出接口的流量基于时间的访问控制列表这种基于时间的访问列表是在原来标准访问列表和扩展访问列表中加入有效的 时间范围来更合理有效地控制网络的。它先定义一个时间范围,然后在原来的各 种访问列表的基础上应用它,对于编号访问表和名称访问表均适用。命令及参数可以用“ti me-range 命令来指定时间范围的名称,然后用“ absolu te”命令或 者一个或多个“periodic”命令来具

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号