网络路由之ACL
2013-10-07 16:57
246 查看
ACL access control list 访问控制列表TCP transmit control protocol传输控制协议UDP user data protocol 用户数据报协议Segment 数据段ISN initial serialnumber 初始序列号
TCP
面向连接的全双工
复习:
全双工:同时双向传输
半双工:不能同时,但是双向的
单工:一个方向传输
TCP报文段:
封装在IP数据报中
首部长度最少20字节,可以扩展长达60字节
ACK 确认位为1表示确认序列号字段有效
RST 重置位重新建立TCP连接
SYN 同步序列号建立TCP连接时置为1
FIN 完成发送位需要断开连接时,置为1
TCP 三次握手:
TCP四次断开:
TCP常用的端口号和应用:
21 FTP
23 TELNET
25 SMTP 用于发送邮件
110 POP3 邮局协议
UDP:
无连接,不保证可靠性
常用的UDP端口和应用
69 TFTP 简单文件传输协议
111 RPC 远程过程调用
123 NTP 网络时间协议
161 SNMP 简单网络管理协议
ACL 访问控制列表:
1、标准访问控制列表:只匹配源IP 表号1-992、扩展访问列表:表号100-1993、命名访问控制列表:使用名称代替表号4、定时ACL:基于时间进行控制
标准ACL的配置:
Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ]将ACL应用于接口Router(config-if)# ip access-group access-list-number {in |out}
删除ACLRouter(config)#no access-list access-list-number
扩展ACL的配置:
Router(config)# access-list access-list-number { permit | deny } protocol{ source source-wildcard destination destination-wildcard } [ operator operan ]
show access-lists命令查看ACL配置
注意:
因为默认ACL是deny ip any any,所以如果要允许流量,要考虑是否加上permit ip any any
Echo参数:
permit icmp host10.3.9.23 any echo
deny icmp any any (意思是说:任何PC不可以ping通10.3.9.23,但是10.3.9.23可以ping通任何PC)
命名ACL配置:
Router(config)# ip access-list { standard | extended } access-list-name
配置标准命名ACL
Router(config-std-nacl)# [ Sequence-Number] { permit | deny } source [ source-wildcard ]
配置扩展命名ACL
Router(config-ext-nacl)# [ Sequence-Number] { permit | deny } protocol { sourcesource-wildcard destination destination-wildcard } [ operatoroperan ]
删除组中单一ACL语句
no Sequence-Number
no ACL语句
注意:Sequence-Number决定ACL语句在ACL列表中的位置
关于ACL应用的接口和方向问题:
应用的接口可以是物理接口,也可以是vlan虚拟接口等。
标准ACL和扩展ACL的应用区别:
标准的应用在离目的端最近的路由器上,应用在入口
扩展的应用在离源端最近的路由器上,应用在入口
特例:
telnet流量的ACL控制例子:////////只允许网管区telnet到各设备上
access-list 1 permit 192.168.2.0 0.0.0.255username benet password 123
line vty 0 4login local access-class 1 inexit注意:这几条命令都需要在每个管理设备上进行配置
本文出自 “一丝不挂” 博客,请务必保留此出处http://easedown.blog.51cto.com/7952239/1305461
TCP
面向连接的全双工
复习:
全双工:同时双向传输
半双工:不能同时,但是双向的
单工:一个方向传输
TCP报文段:
封装在IP数据报中
首部长度最少20字节,可以扩展长达60字节
| 源端口号(16) | 目标端口号(16) | |||||||
| 序号(32)随机产生的,每个方向的编号是独立的 | ||||||||
| 确认号(32)是告诉发送端这个序号之前的数据都收到了,为序号+1 | ||||||||
| 首部长度(4) | 保留(6) | U R G | A C K | P S H | R S T | S Y N | F I N | 窗口大小(16) |
| 校验和(16)包括校验首部、数据和其他填充字节(与IP不同) | 紧急指针(16) | |||||||
| 选项 | ||||||||
RST 重置位重新建立TCP连接
SYN 同步序列号建立TCP连接时置为1
FIN 完成发送位需要断开连接时,置为1
TCP 三次握手:
TCP四次断开:
TCP常用的端口号和应用:
21 FTP
23 TELNET
25 SMTP 用于发送邮件
110 POP3 邮局协议
UDP:
无连接,不保证可靠性
常用的UDP端口和应用
69 TFTP 简单文件传输协议
111 RPC 远程过程调用
123 NTP 网络时间协议
161 SNMP 简单网络管理协议
ACL 访问控制列表:
1、标准访问控制列表:只匹配源IP 表号1-992、扩展访问列表:表号100-1993、命名访问控制列表:使用名称代替表号4、定时ACL:基于时间进行控制
标准ACL的配置:
Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ]将ACL应用于接口Router(config-if)# ip access-group access-list-number {in |out}
删除ACLRouter(config)#no access-list access-list-number
扩展ACL的配置:
Router(config)# access-list access-list-number { permit | deny } protocol{ source source-wildcard destination destination-wildcard } [ operator operan ]
show access-lists命令查看ACL配置
注意:
因为默认ACL是deny ip any any,所以如果要允许流量,要考虑是否加上permit ip any any
Echo参数:
permit icmp host10.3.9.23 any echo
deny icmp any any (意思是说:任何PC不可以ping通10.3.9.23,但是10.3.9.23可以ping通任何PC)
命名ACL配置:
Router(config)# ip access-list { standard | extended } access-list-name
配置标准命名ACL
Router(config-std-nacl)# [ Sequence-Number] { permit | deny } source [ source-wildcard ]
配置扩展命名ACL
Router(config-ext-nacl)# [ Sequence-Number] { permit | deny } protocol { sourcesource-wildcard destination destination-wildcard } [ operatoroperan ]
删除组中单一ACL语句
no Sequence-Number
no ACL语句
注意:Sequence-Number决定ACL语句在ACL列表中的位置
关于ACL应用的接口和方向问题:
应用的接口可以是物理接口,也可以是vlan虚拟接口等。
标准ACL和扩展ACL的应用区别:
标准的应用在离目的端最近的路由器上,应用在入口
扩展的应用在离源端最近的路由器上,应用在入口
特例:
telnet流量的ACL控制例子:////////只允许网管区telnet到各设备上
access-list 1 permit 192.168.2.0 0.0.0.255username benet password 123
line vty 0 4login local access-class 1 inexit注意:这几条命令都需要在每个管理设备上进行配置
本文出自 “一丝不挂” 博客,请务必保留此出处http://easedown.blog.51cto.com/7952239/1305461
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 单臂路由、扩展ACL与NAT的网络地址转换的配置实验
- dpdk加速网络协议栈ANS,单core路由转发+1000条ACL 64字节达到8.43Mpps
- 网络子系统63_路由子系统处理netlink事件
- 网络路由设置
- 对当前网络路由的一点想法
- 网络子系统73_入口路由缓存查找
- RHCE 系列(一):如何设置和测试静态网络路由
- (网络层)路由协议
- 跨平台网络通信与server编程框架库(acl库)介绍
- 网络路由技术及运用
- 网络与服务器编程框架库 acl_3.0.14发布
- ora-24247:网络访问被访问控制列表(ACL)拒绝
- 计算机网络之路由动态选择最短路径
- 网络设备配置与管理---VLAN间路由实现部门间通信
- 搜索不到无线路由的SSIDWin7如何连接隐藏SSID无线网络
- 网络设备配置与管理--使用ACL实现网络管理
- zwave智能家居技术的网络结构与路由技术
- 网络基础:ACL访问控制例表
- Docker系列(六)路由打通网络示例