詳解cisco訪問控制列表ACL

來源:本站原創 網絡技術 超過1,142 views圍觀 0條評論

 

一:訪問控制列表概述

·訪問控制列表(ACL)是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數據包可以通過,哪些數據包需要拒絕。

·工作原理:它讀取第三及第四層包頭中的信息,如源地址、目的地址、源端口、目的端口等。根據預先設定好的規則對包進行過濾,從而達到訪問控制的目的。

·實際應用: 阻止某個網段訪問服務器。

阻止A網段訪問B網段,但B網段可以訪問A網段。

禁止某些端口進入網絡,可達到安全性。

二:標準ACL

· 標準訪問控制列表只檢查被路由器路由的數據包的源地址。若使用標準訪問控制列表禁用某網段,則該網段下所有主機以及所有協議都被禁止。 如禁止了A網段,則 A網段下所有的主機都不能訪問服務器,而B網段下的主機卻可以。

用1—-99之間數字作為表號

一般用于局域網,所以最好把標準ACL應用在離目的地址最近的地方。

·標準ACL的配置:

router(config)#access-list 表號 deny(禁止) 網段/IP地址 反掩碼

********禁止某各網段或某個IP

router(config)#access-list 表號 permit(允許) any

注:默認情況下所有的網絡被設置為禁止,所以應該放行其他的網段。

router(config)#interface 接口 ******進入想要應用此ACL的接口(因為訪問控制列表只能應用在接口模式下)

router(config-if)#ip access-group 表號 out/in ***** 設置在此接口下為OUT或為IN

其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0 =

router(config)#access-list 10 deny host 192.168.0.1

router(config)#access-list 10 deny 0.0.0.0 255.255.255.255 =

router(config)#access-list 10 deny any

router#show access-lists ******查看訪問控制列表。

·標準訪問控制列表的工作原理。

(每當數據進入路由器的每口接口下,都會進行以下進程。)

clip_image001

注:當配置訪問控制列表時,順序很重要。要確保按照從具體到普遍的次序來排列條目。

如:想要拒絕一個具體的主機地址并且允許其他主機,那么要確保有關這個具體主機的條目最新出現。

三:擴展ACL

·擴展訪問控制列表對數據包源地址、目的地址、源端口、目的端口都進行檢查。若使用擴展訪問控制列表禁止某網段訪問別的網段,則A網段下所有主機不能訪問B網段,而B網段下的主機可以訪問A網段。

用100—-199之間數字作為表號

一般用于外網,所以最好把擴展ACL應用在離源地址最近的地方。

·配置擴展訪問控制列表。

router(config)#access-list 表號 deny(禁止) 協議 源IP地址/網段 反掩碼 目的IP地址/網段 反掩碼 eq 端口

******禁止A網段(源網段)下的某協議(或某端口)訪問B網段(目的網段)

router(config)#access-list 表號 permit ip any any

注:擴展ACL默認情況下所有的網絡也被設置為禁止,所以應該放行其他的網段。

router(config)#interface 接口 **********進入想要應用此ACL的接口

router(config-if)#ip access-group 表號 out/in ******激活該接口下咋訪問控制列表,并根據實際情況設置此接口為OUT/in。

·常用端口及所屬協議。

clip_image002

·擴展訪問控制列表的工作原理:

(每當數據進入路由器的每口接口下,都會進行以下進程。)

clip_image003

本文出自 “.\Best” 博客,請務必保留此出處http://best0.blog.51cto.com/444987/94882

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=3343轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
上篇文章:
下篇文章:
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏