访问控制列表(ACL)学习笔记
2009-10-07 11:35
281 查看
访问控制列表(ACL)学习笔记
1、ACL分配唯一的表号
IP协议:ACL号为1-99
Extended IP:ACL号为100-177
命令:先创建一个access-list number,然后进入某个端口,使用ip access-group number将规则加入端口中,下面有示例。
2、访问控制列表应用到出站接口,比应用到入站接口效率要高
原因:进口唯一,出口多,在入站口使用ACL会影响处理的效率(见最后)
3、通配符any
指明是任何IP地址
eg. 拒绝一个特定主机的通信流量
access-list 1 deny host 172.16.4.13 0.0.0.0 //拒绝该主机
access-list 1 permit 0.0.0.0 255.255.255.255 //允许其它主机
(后一句可以用access-list 1 permit any代替)
4、通配符host
指明是单个IP地址
eg. 如上例
5、标准访问控制列表
表号为1~99,允许或者限制源网段、源主机或者所有地址进出端口
eg.1.一个实例的配置过程
Router(config)#access-list 50 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
Router(config)#access-list 50 per
Router(config)#access-list 50 permit ?
A.B.C.D Address to match //网段
any Any source host //主机
host A single host address //所有
Router(config)#access-list 50 permit 10.16.0.0 0.0.0.255 ?
<cr>
Router(config)#access-list 50 permit 10.16.0.0 0.0.0.255
注:当使用ip access-list standard number 时可以实现一个表号下有多条规则
eg.2. 一个完成的实例
ip access-list standard 6
10 permit 10.31.197.0 0.0.0.31
20 permit 10.31.197.64 0.0.0.31
30 permit host 10.0.250.254
40 permit host 10.31.197.65
6、扩展访问控制列表
表号为100~199,在标准访问控制列表的基础上,还可以允许或者限制目的网段、主机和所有主机进出路由端口,另外还可以基于协议、端口进行限制。
此外,表号还可以根据实际情况用名字表示。
eg.1. 一个配置实例
Router(config)#ip access-list extended 110
Router(config-ext-nacl)#?
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
Router(config-ext-nacl)#permit ?
icmp Internet Control Message Protocol
ip Any Internet Protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
Router(config-ext-nacl)#permit tcp 10.31.197.0 0.0.0.31 any eq telnet established
eg.2. 基于扩展的完成实例
ip access-list extended 120
permit tcp 10.31.197.0 0.0.0.31 any eq telnet established
permit tcp 10.31.197.64 0.0.0.31 any eq telnet established
eg.3. 基于扩展的完成实例
ip access-list extended denyvirus //扩展的名字列表
10 deny tcp any any eq 135
20 deny tcp any any eq 139
30 deny tcp any any eq 593
40 deny tcp any any eq 4444
50 deny tcp any any eq 5800
60 deny tcp any any eq 5900
70 deny udp any any eq 135
80 deny udp any any eq 593
90 deny udp any any eq 1434
100 permit ip any any
注:当使用ip access-list standard number 时可以实现一个表号下有多条规则
7、相关重点
ACL控制和管理通信流量
防止不必要的流量进入与流出,如限制用户的TELNET,但是要开放MAIL、FTP、WWW等等
ACL放置的位置
进入路由器为in,出路由器为out。尽可能的把ACL放置在离要被拒绝的通信流量的来源最近处。
有些资料建议把ACL放置在出站口要比入站口好,我的理解是入站口是唯一的(相对该线路上过
来的数据包而言),当数据包较多时,入口要对进入该口中发往各出口的数据包进行比较核对,延时长还说还容易造成数据拥塞甚至丢失;而进入路由器后,数据包要根据实际的目标网络发往各个出口,因此流量就相对而言要分散些,故在他们要出的站口进行ACL比较效率相对高些。
ACL放置的顺序
在顺序上要严格的比对,因为ACL是一条条比较的,比如在DENY列表中,假如第一条已经满足条件了就直接丢掉,而后面的条件根本不在比对,这就有可能造成一些失误的通信故障,所以在设设置列表的顺序时需要缜密地比较分析后才可以使用。
1、ACL分配唯一的表号
IP协议:ACL号为1-99
Extended IP:ACL号为100-177
命令:先创建一个access-list number,然后进入某个端口,使用ip access-group number将规则加入端口中,下面有示例。
2、访问控制列表应用到出站接口,比应用到入站接口效率要高
原因:进口唯一,出口多,在入站口使用ACL会影响处理的效率(见最后)
3、通配符any
指明是任何IP地址
eg. 拒绝一个特定主机的通信流量
access-list 1 deny host 172.16.4.13 0.0.0.0 //拒绝该主机
access-list 1 permit 0.0.0.0 255.255.255.255 //允许其它主机
(后一句可以用access-list 1 permit any代替)
4、通配符host
指明是单个IP地址
eg. 如上例
5、标准访问控制列表
表号为1~99,允许或者限制源网段、源主机或者所有地址进出端口
eg.1.一个实例的配置过程
Router(config)#access-list 50 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
Router(config)#access-list 50 per
Router(config)#access-list 50 permit ?
A.B.C.D Address to match //网段
any Any source host //主机
host A single host address //所有
Router(config)#access-list 50 permit 10.16.0.0 0.0.0.255 ?
<cr>
Router(config)#access-list 50 permit 10.16.0.0 0.0.0.255
注:当使用ip access-list standard number 时可以实现一个表号下有多条规则
eg.2. 一个完成的实例
ip access-list standard 6
10 permit 10.31.197.0 0.0.0.31
20 permit 10.31.197.64 0.0.0.31
30 permit host 10.0.250.254
40 permit host 10.31.197.65
6、扩展访问控制列表
表号为100~199,在标准访问控制列表的基础上,还可以允许或者限制目的网段、主机和所有主机进出路由端口,另外还可以基于协议、端口进行限制。
此外,表号还可以根据实际情况用名字表示。
eg.1. 一个配置实例
Router(config)#ip access-list extended 110
Router(config-ext-nacl)#?
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
Router(config-ext-nacl)#permit ?
icmp Internet Control Message Protocol
ip Any Internet Protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
Router(config-ext-nacl)#permit tcp 10.31.197.0 0.0.0.31 any eq telnet established
eg.2. 基于扩展的完成实例
ip access-list extended 120
permit tcp 10.31.197.0 0.0.0.31 any eq telnet established
permit tcp 10.31.197.64 0.0.0.31 any eq telnet established
eg.3. 基于扩展的完成实例
ip access-list extended denyvirus //扩展的名字列表
10 deny tcp any any eq 135
20 deny tcp any any eq 139
30 deny tcp any any eq 593
40 deny tcp any any eq 4444
50 deny tcp any any eq 5800
60 deny tcp any any eq 5900
70 deny udp any any eq 135
80 deny udp any any eq 593
90 deny udp any any eq 1434
100 permit ip any any
注:当使用ip access-list standard number 时可以实现一个表号下有多条规则
7、相关重点
ACL控制和管理通信流量
防止不必要的流量进入与流出,如限制用户的TELNET,但是要开放MAIL、FTP、WWW等等
ACL放置的位置
进入路由器为in,出路由器为out。尽可能的把ACL放置在离要被拒绝的通信流量的来源最近处。
有些资料建议把ACL放置在出站口要比入站口好,我的理解是入站口是唯一的(相对该线路上过
来的数据包而言),当数据包较多时,入口要对进入该口中发往各出口的数据包进行比较核对,延时长还说还容易造成数据拥塞甚至丢失;而进入路由器后,数据包要根据实际的目标网络发往各个出口,因此流量就相对而言要分散些,故在他们要出的站口进行ACL比较效率相对高些。
ACL放置的顺序
在顺序上要严格的比对,因为ACL是一条条比较的,比如在DENY列表中,假如第一条已经满足条件了就直接丢掉,而后面的条件根本不在比对,这就有可能造成一些失误的通信故障,所以在设设置列表的顺序时需要缜密地比较分析后才可以使用。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- CCNA学习笔记九——访问控制列表(ACL)
- 学习Linux 《鸟哥的Linux私房菜 基础学习篇(第三版)》--第14章 Linux账号管理和ACL权限设定1。 笔记
- ZooKeeper3.4.6学习笔记(四)权限控制ACL
- “TI门外汉”网路知识笔记十一 访问控制列表ACL(1标准访问列表)
- 扩展ACL ---王贝的学习笔记
- LINUX ACL 学习笔记
- Linux ACL 学习笔记
- ZendFramework学习第三章(核心组件—访问控制列表ACL的创建并使用)
- LinuxCast学习笔记二十三:ACL
- 基于时间的acl学习笔记
- zookeeper 学习 客户端Acl操作笔记
- linux学习笔记之 ACL 的使用
- 学习笔记:ACL详解
- LINUX ACL 学习笔记
- Linux ACL 学习笔记
- linux之ACL权限学习笔记
- ACL学习笔记
- 鸟哥的 Linux 私房菜第14章-Linux账号关了与ACL权限设定 学习笔记
- 【CCNA学习笔记】访问控制列表
- cisco 访问控制列表ACL笔记