路由器ACL应用
2015-07-06 22:39
531 查看
ACL的概念
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
ACL的作用
ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
ACL分类
1. 标准ACL
标准ACL只能检查源IP地址,所以标准ACL要尽量靠近目的端。
1.2. 配置
(1) Router(config)#ip access-list standard [WORD|<1-99>]
——————command——————
<1-2147483647> Sequence Number
default Set a command to its defaults
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
————————————————–
(2) Router(config-std-nacl)#command [IP|any|host] wildcard
(3) 调用
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group test1 in
2. 扩展ACL
扩展ACL能控制源地址,也能控制目的地址,为了减少不必要的网络流量,所以扩展ACL要尽量靠近源端。
2.2. 配置
(1) Router(config)#ip access-list extended [WORD|<100-199>]
——————command————————————
The same as 1.2
——————————————————————–
(2) Router(config-ext-nacl)#command protocol [source|any|host] wildcard destination wildcard option service
——————protocol—————————
ahp Authentication Header Protocol
eigrp Cisco’s EIGRP routing protocol
gre Cisco’s GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
——————option—————————–
eq Match only packets on a given port number
established established
gt Match only packets with a greater port number
lt Match only packets with a lower port number
neq Match only packets not on a given port number
rang Match only packets in the range of port numbers
——————service—————————-
<0-65535> Port number
domain Domain Name Service (DNS, 53)
ftp File Transfer Protocol (21)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
www World Wide Web (HTTP, 80)
(3) 调用
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group test2 in
示例:
1.
Router(config)#ip access-list standard test1
Router(config-std-nacl)#deny 192.168.1.1 0.0.0.0
Router(config-std-nacl)#deny 192.168.1.2 0.0.0.0
Router(config-std-nacl)#permit any
2.
Router(config)#ip access-list extended test2
Router(config-ext-nacl)#deny tcp 192.168.1.1 0.0.0.0 23.1.1.3 0.0.0.0 eq www
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
ACL的作用
ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
ACL分类
1. 标准ACL
标准ACL只能检查源IP地址,所以标准ACL要尽量靠近目的端。
1.2. 配置
(1) Router(config)#ip access-list standard [WORD|<1-99>]
——————command——————
<1-2147483647> Sequence Number
default Set a command to its defaults
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
————————————————–
(2) Router(config-std-nacl)#command [IP|any|host] wildcard
(3) 调用
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group test1 in
2. 扩展ACL
扩展ACL能控制源地址,也能控制目的地址,为了减少不必要的网络流量,所以扩展ACL要尽量靠近源端。
2.2. 配置
(1) Router(config)#ip access-list extended [WORD|<100-199>]
——————command————————————
The same as 1.2
——————————————————————–
(2) Router(config-ext-nacl)#command protocol [source|any|host] wildcard destination wildcard option service
——————protocol—————————
ahp Authentication Header Protocol
eigrp Cisco’s EIGRP routing protocol
gre Cisco’s GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
——————option—————————–
eq Match only packets on a given port number
established established
gt Match only packets with a greater port number
lt Match only packets with a lower port number
neq Match only packets not on a given port number
rang Match only packets in the range of port numbers
——————service—————————-
<0-65535> Port number
domain Domain Name Service (DNS, 53)
ftp File Transfer Protocol (21)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
www World Wide Web (HTTP, 80)
(3) 调用
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group test2 in
示例:
1.
Router(config)#ip access-list standard test1
Router(config-std-nacl)#deny 192.168.1.1 0.0.0.0
Router(config-std-nacl)#deny 192.168.1.2 0.0.0.0
Router(config-std-nacl)#permit any
2.
Router(config)#ip access-list extended test2
Router(config-ext-nacl)#deny tcp 192.168.1.1 0.0.0.0 23.1.1.3 0.0.0.0 eq www
相关文章推荐
- Android 增强版百分比布局库 为了适配而扩展
- 20分制的分配
- WebService
- [LeetCode] Min Stack
- C#数据公共操作函数
- 【HM】第10课:JSP+EL表达式+JavaBean
- 为什么在属性中设置private set
- ACCESS数据库字符串连接方式
- android入门学习-学习规划
- 华为机试题记录1
- 【剑指offer 面试题23】从上往下打印二叉树
- UITableView启动后自动设置滚动的位置
- 正处于尴尬的年纪
- Android入门(14)——使用Spinner实现下拉列表
- 超级台阶
- Spring事务原理
- 超级台阶
- iOS7中的多任务
- 键值表
- java面向对象编程基本概念