路由交换基础(四)——ACL访问控制列表
2018-01-25 19:50
323 查看
一、ACL
1.作用
访问控制列表(Access Control List),是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定数据包等。如可以配置ACL禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。
2.工作原理
一个端口执行哪条ACL,需要按照列表中的条件语句执行顺序来判断,如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
数据包只有在跟第一个判断条件不匹配时,它才会被交给ACL中的下一个条件判断语句进行比较。如果所有的ACL语句都检测完毕仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。
3.分类
--标准ACL
标准访问控制列表基于源IP地址过滤数据包,仅仅关注源IP地址,ID范围是1~99;
--扩展ACL
扩展访问控制列表基于源IP地址、目的IP地址、指定协议及端口来过滤数据包,ID范围是100~199;
--命名ACL
命名访问控制列表可以为ACL起一个有意义的名字,通过名称就可以得知该ACL要实现什么功能。同时,因为使用的是名称而不是数字,也就没有了ACL数量上的限制。
4.ACL的使用
--创建格式
access-list {ID} permint | deny x.x.x.x y.y.y.y
说明:
ID范围1~99 或100~199
permit 表示允许, deny 表示拒绝
x.x.x.x 表示一个IP地址或一个网络范围
y.y.y.y 是通配符,其中0表示匹配的位,1表示不匹配的位。
--举个例子:
access-list 1 permit 192.168.1.0 0.0.0.255
首先分析ACL的类型,ID号是1,所以是标准ACL;
其次分析ACL的匹配条件,提取源IP地址中与通配符0所对应的位,与acl中的条件进行比对,如果相同,则表示匹配成功,执行动作permit或deny;如果不同则表示匹配失败,继续查找下一个匹配条件。
--调用ACL
调用acl时要注意确定在正确时设备上、在正确的端口上、在正确的方向上。
如:
interface f0/0
ip access-group 1 in
1.作用
访问控制列表(Access Control List),是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定数据包等。如可以配置ACL禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。
2.工作原理
一个端口执行哪条ACL,需要按照列表中的条件语句执行顺序来判断,如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
数据包只有在跟第一个判断条件不匹配时,它才会被交给ACL中的下一个条件判断语句进行比较。如果所有的ACL语句都检测完毕仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。
3.分类
--标准ACL
标准访问控制列表基于源IP地址过滤数据包,仅仅关注源IP地址,ID范围是1~99;
--扩展ACL
扩展访问控制列表基于源IP地址、目的IP地址、指定协议及端口来过滤数据包,ID范围是100~199;
--命名ACL
命名访问控制列表可以为ACL起一个有意义的名字,通过名称就可以得知该ACL要实现什么功能。同时,因为使用的是名称而不是数字,也就没有了ACL数量上的限制。
4.ACL的使用
--创建格式
access-list {ID} permint | deny x.x.x.x y.y.y.y
说明:
ID范围1~99 或100~199
permit 表示允许, deny 表示拒绝
x.x.x.x 表示一个IP地址或一个网络范围
y.y.y.y 是通配符,其中0表示匹配的位,1表示不匹配的位。
--举个例子:
access-list 1 permit 192.168.1.0 0.0.0.255
首先分析ACL的类型,ID号是1,所以是标准ACL;
其次分析ACL的匹配条件,提取源IP地址中与通配符0所对应的位,与acl中的条件进行比对,如果相同,则表示匹配成功,执行动作permit或deny;如果不同则表示匹配失败,继续查找下一个匹配条件。
--调用ACL
调用acl时要注意确定在正确时设备上、在正确的端口上、在正确的方向上。
如:
interface f0/0
ip access-group 1 in
注意: -任何一个ACL后面都有一个隐含的deny any; -当一个ACL中有多个条目时,对每个条件匹配时是按照序列号从小到大依次进行检查匹配的; -标准ACL应该调用在距离目标近的位置; -扩展ACL应该调用在距离源近的位置。 工作中常用命名的ACL 配置如下: --创建: #ip access-list standard notPing // notPing 是自己命名的 #10 deny 192.168.1.2 0 0 0 0 #20 permint any #exit --调用: #interface f0/0 ip access-group notPing 为了匹配更加精确的流量,我们使用扩展ACL 配置如下: --创建: #ip access-list extend notPing #10 deny icmp host 192.168.1.2 host 192.168.1.254 #20 permit ip any any --调用: #interface f0/0 #ip access-group notPing in --验证 #show ip access-list #show ip interface f0/0
相关文章推荐
- 路由交换基础
- 实训基地路由交换之基础篇
- 路由与交换 基础 4 Vlan 基础 1
- IP路由基础-路由交换原理9-【HCNA笔记】
- Cisco交换基础路由配置:交换机怎么设置实现三层交换功能
- 路由交换笔记(27)--ACL访问控制列表之练习
- 路由交换笔记(27)--ACL访问控制列表之练习
- 路由与交换 基础 5 Vlan 基础 2 单臂路由
- 路由交换基础(一)——VLAN、Trunk、以太网通道介绍及其配置
- 路由交换基础(三)——HSRP技术浅析
- 路由交换基础(二)——三层交换技术及动态路由
- IP,路由,交换基础培训记录
- 路由与交换 基础 7 汇总地址计算方法详解
- 企业中的路由和交换简介读书摘要2 探索企业网络基础架构
- 路由交换调试(CCNA)零基础到专家
- 路由交换调试(CCNA)零基础到专家 二
- 路由与交换 基础 3 交换机 基础 1
- NSD基础交换-交换机或路由设备的远程访问配置
- 路由与交换 基础 1:组播
- VRP命令行基础-路由交换原理8-【HCNA笔记】