ACL理论
2016-07-01 20:23
507 查看
访问列表最初的目的是许可或拒绝访问进入、离开,经过的数据,现在成为帧和数据包的强大工具
ACL用来控制端口进出的数据包,ACL适用于所有的被路由协议如IP、IPX、AppleTalk等
安全过滤:保护数据流量的完整性
流量过滤:阻止不必要的数据包通过有限带宽的链路
隐藏拒绝所有,拒绝没授权的数据起到保护内网作用
ACL:是一个有序的规则的集合,通过匹配的信息进行分类
ACL顺序很重要,注意写入顺序
ACL分为很多类型:扩展、标准、IPX、XNS等
前期的标准ACL、扩展ACL,大型网络建议使用命名ACL
二层访问控制列表:基于vlan、MAC
标准ACL:直接比较源地址通配符,通配符相同的则按配置顺序;(参考建议:通配符为奇数或0)
扩展ACL:先比较源地址通配符,相同时再比较目的地址通配符,仍相同时则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序
对于操作输入错误试图删除一行,小心删除,不熟悉的建议粘贴到记事本上进行修改删除
功能层面的控制
1、控制层面:针对路由协议的控制(路由过滤、路由属性操作)
2、数据平面:针对于数据报文的控制(数据包过滤,数据报文字段
输入ACL需要注释一下,以便下次忘记
access-list 1 remark permit_R1_Telnet注明作用,由于时间问题,条目众多无法区分
access-list 2 permit 172.16.1.1 0.0.0.0=access-list 2 permit 172.16.1.1意思相同
access-list 3 permit 0.0.0.0 255.255.255.255=access-list 3 permit any意思相同
深度优先规则是把指定范围最小的语句排在最前面。通过比较通配符来实现
172.16.0.0 0.0.0.255通配符【匹配路由0表示严格匹配 1表示任意匹配】
访问控制会拒绝匹配的数据和路由,但是不会拒绝没有匹配的路由【deny any any 对其他路由不生效】
access-list 100 permit ip 172.16.1.1 0.0.0.0 10.1.1.1 0.0.0.0
access-list 100 permit ip host 172.16.1.1 host 10.1.1.1意思相同
access-list 101 permit ip0. 0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
access-list 101 permit ip any any意思相同
由于ACL在调用时,会多次检查读取数据包中的字段,有时会消耗大量的CPU
标准访问控制列表:一般应用在out出站接口,建议配置在离目标端最近的路由上
扩展访问控制列表:一般应用在in入站接口,配置在离源端最近的路由上
ip accounting access-violations在接口上应用,作用计费监视
ip access-list 1 permit 192.168.0.0 0.0.0.0 同时匹配/25-32
时间访问控制列表:时间访问控制列表只能和扩展的访问控制列表结合使用
自反访问控制列表:自反访问列表只能和命名的扩展访问列表结合使用
自反ACL:基于会话的过滤器,自动驻留的、暂时的
自反ACL:只可以内网访问外网,外网无法访问内网
自反ACL只可以在全局模式下使用,只能配置在命名ACL中
例1:
172.16.1.1/24
……
172.16.3.1/24
access-list 1 permit 172.16.1.1 0.0.3.0 0.0.3.255
0000 0000.0000 00001
0000 0001.0000 00001
0000 0010.0000 00001
0000 0011.0000 00001
---------------------------------------
0000 0011.0000 0000
access-list 99 permit 172.16.0.1 0.0.1.0=access-list 99 permit 172.16.1.1 0.0.1.0
例2:
192.168.4.8/32
……
192.168.7.8/32
access-list 1 permit 192.168.4.8 0.0.3.0
例3: 172.16.0.0/24 第三个位为奇数
例如:
172.16.1.0/24
172.16.3.0/24
172.16.xxxx xxx1.0 0.0.254.0
access-list 1 permit 172.16.1.0 0.0.254
172.16.0.0/24 第三个位为偶数
172.16.xxxx xxx0.0 0.0.254.0
access-list 1 permit 172.16.2.0 0.0.254
例4:
192.168.4.0/24
……
192.168.7.0/24
192.168.4.0/25
……
192.168.7.0/25
access-list permit 1 192.168.4.0 0.0.3.0
不能匹配掩码
例5:172.16.x.1/1-32 x=任意值
access-list 1 permit 172.16.0.1 0.0.255.0
ACL需要浪费CPU资源和带宽
地址前缀列表的作用类似于ACL,但比它更为灵活,且更易于为用户理解
主要应用:路由信息的过滤时,其匹配对象为路由信息的目的地址信息域
前缀列表:既能匹配前缀又能匹配掩码
ip prefix-list wolf permit 网络号/掩码
ip prefix-list wolf permit 172.16.0.0/24 ge 25 le 27
ip prefix-list wolf permit 网络号/网络号位数 掩码大于等于25 掩码小于等于27
ip prefix-list wolf permit 172.16.0.0/24 le 25
ip prefix-list wolf permit 网络号/网络号位数和最小掩码 掩码小于等于 25
隐含命令:ip prefix-list wolf deny 0.0.0.0/0 le 32
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
ip prefix-list wolf permit 192.168.0.0/22 ge 24 le 24
ACL用来控制端口进出的数据包,ACL适用于所有的被路由协议如IP、IPX、AppleTalk等
安全过滤:保护数据流量的完整性
流量过滤:阻止不必要的数据包通过有限带宽的链路
隐藏拒绝所有,拒绝没授权的数据起到保护内网作用
ACL:是一个有序的规则的集合,通过匹配的信息进行分类
ACL顺序很重要,注意写入顺序
ACL分为很多类型:扩展、标准、IPX、XNS等
前期的标准ACL、扩展ACL,大型网络建议使用命名ACL
二层访问控制列表:基于vlan、MAC
标准ACL:直接比较源地址通配符,通配符相同的则按配置顺序;(参考建议:通配符为奇数或0)
扩展ACL:先比较源地址通配符,相同时再比较目的地址通配符,仍相同时则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序
对于操作输入错误试图删除一行,小心删除,不熟悉的建议粘贴到记事本上进行修改删除
功能层面的控制
1、控制层面:针对路由协议的控制(路由过滤、路由属性操作)
2、数据平面:针对于数据报文的控制(数据包过滤,数据报文字段
输入ACL需要注释一下,以便下次忘记
access-list 1 remark permit_R1_Telnet注明作用,由于时间问题,条目众多无法区分
access-list 2 permit 172.16.1.1 0.0.0.0=access-list 2 permit 172.16.1.1意思相同
access-list 3 permit 0.0.0.0 255.255.255.255=access-list 3 permit any意思相同
深度优先规则是把指定范围最小的语句排在最前面。通过比较通配符来实现
172.16.0.0 0.0.0.255通配符【匹配路由0表示严格匹配 1表示任意匹配】
访问控制会拒绝匹配的数据和路由,但是不会拒绝没有匹配的路由【deny any any 对其他路由不生效】
access-list 100 permit ip 172.16.1.1 0.0.0.0 10.1.1.1 0.0.0.0
access-list 100 permit ip host 172.16.1.1 host 10.1.1.1意思相同
access-list 101 permit ip0. 0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
access-list 101 permit ip any any意思相同
由于ACL在调用时,会多次检查读取数据包中的字段,有时会消耗大量的CPU
标准访问控制列表:一般应用在out出站接口,建议配置在离目标端最近的路由上
扩展访问控制列表:一般应用在in入站接口,配置在离源端最近的路由上
ip accounting access-violations在接口上应用,作用计费监视
ip access-list 1 permit 192.168.0.0 0.0.0.0 同时匹配/25-32
时间访问控制列表:时间访问控制列表只能和扩展的访问控制列表结合使用
自反访问控制列表:自反访问列表只能和命名的扩展访问列表结合使用
自反ACL:基于会话的过滤器,自动驻留的、暂时的
自反ACL:只可以内网访问外网,外网无法访问内网
自反ACL只可以在全局模式下使用,只能配置在命名ACL中
例1:
172.16.1.1/24
……
172.16.3.1/24
access-list 1 permit 172.16.1.1 0.0.3.0 0.0.3.255
0000 0000.0000 00001
0000 0001.0000 00001
0000 0010.0000 00001
0000 0011.0000 00001
---------------------------------------
0000 0011.0000 0000
access-list 99 permit 172.16.0.1 0.0.1.0=access-list 99 permit 172.16.1.1 0.0.1.0
例2:
192.168.4.8/32
……
192.168.7.8/32
access-list 1 permit 192.168.4.8 0.0.3.0
例3: 172.16.0.0/24 第三个位为奇数
例如:
172.16.1.0/24
172.16.3.0/24
172.16.xxxx xxx1.0 0.0.254.0
access-list 1 permit 172.16.1.0 0.0.254
172.16.0.0/24 第三个位为偶数
172.16.xxxx xxx0.0 0.0.254.0
access-list 1 permit 172.16.2.0 0.0.254
例4:
192.168.4.0/24
……
192.168.7.0/24
192.168.4.0/25
……
192.168.7.0/25
access-list permit 1 192.168.4.0 0.0.3.0
不能匹配掩码
例5:172.16.x.1/1-32 x=任意值
access-list 1 permit 172.16.0.1 0.0.255.0
ACL需要浪费CPU资源和带宽
地址前缀列表的作用类似于ACL,但比它更为灵活,且更易于为用户理解
主要应用:路由信息的过滤时,其匹配对象为路由信息的目的地址信息域
前缀列表:既能匹配前缀又能匹配掩码
ip prefix-list wolf permit 网络号/掩码
ip prefix-list wolf permit 172.16.0.0/24 ge 25 le 27
ip prefix-list wolf permit 网络号/网络号位数 掩码大于等于25 掩码小于等于27
ip prefix-list wolf permit 172.16.0.0/24 le 25
ip prefix-list wolf permit 网络号/网络号位数和最小掩码 掩码小于等于 25
隐含命令:ip prefix-list wolf deny 0.0.0.0/0 le 32
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
ip prefix-list wolf permit 192.168.0.0/22 ge 24 le 24
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- fastjson处理接口时的一个问题
- 局域网与广域网接口标准
- RJ-45接口信号定义
- DVI 视频接口图文解析
- 华为路由器密码恢复
- 华为交换机的后缀详解
- 如何设置域名接口
- 通过C#实现自动售货机接口
- C#中IEnumerable接口用法实例分析
- C#中实现判断某个类是否实现了某个接口
- C#隐式/显示实现接口方法详解
- C#实现两接口中同名方法实例分析
- 详解C#中的接口属性以及属性访问器的访问限制
- C#中的ICustomFormatter及IFormatProvider接口用法揭秘
- C#接口实现方法实例分析
- C#中38个常用运算符的优先级的划分和理解
- 基于C# 中可以new一个接口?的问题分析
- C#抽象类和接口的区别分析
- Ruby的运算符和语句优先级介绍
- 详细解读PHP中接口的应用