第八章:
一,ACL--访问控制列表
什么是ACL?
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
Permit-允许,匹配/deny---拒绝,不匹配
----------------------------------------------
一: 什么是ACL
1.ACL是思科IOS的工具,标识流量
2.ACL是一个清单包含允许和拒绝的的行为
3.基于IP包的信息ACL来标识流量
4.流量被标识后,不同的行为将被执行
5.可以在思科的路由器或交换机上配置ACL
二:ACL的操作
ACL执行步骤:
1.ACL是一系列允许和拒绝语句的集合
2.ACL按照自上而下的语句匹配
3.如果执行了允许或拒绝行为则不再往下匹配
4.在每一个ACL最后都有一条默认的拒绝所有的条目(deny ip any any)
1,通配符(反掩码)
回顾:子网掩码
192.168.1.0/24---255.255.255.0(点分十进制)
1--表示匹配
0--忽略
通配符:
1--忽略
0--匹配
实例说明通配符的使用方法:
172.30.16.0/24 ----172.30.31.0/24
掩码:255.255.255.0
通配符:0.0.?.255
172.30.16.0 0.0.15.255---一个条目匹配了上述16个条目!!
128 64 32 16 8 4 2 1
0 0 0 1 | 0 0 0 0=16
1 | 0 0 0 1=17
。。。。。。。。。。。。。
1 | 1 1 1 1=31
————————————————————
0 0 0 0 | 1 1 1 1=15
通配符的缩写:
1. 172.30.16.29 0.0.0.0匹配所有地址位
2. 简化通配符也可以使用关键字host (host 172.30.16.29)
3. 0.0.0.0 255.255.255.255 忽略所有地址位
4. 简化通配符也可以使用关键字 any
ACL的类型(一)
ACL的两个主要类型:
1.Standard ACL(标准)
-检查源IP地址
-允许或者拒绝所有的协议栈
2.Extended ACL(扩展)
-检查源目IP地址
-通常允许或拒绝不同的协议和应用
两种标识标准和扩展ACL的方法:
-序列号 ACLs
-命名 ACLs
怎么为配置好的access-list删除个别条目:
比如我们要删除permit 40.1.1.1 这个条目
不能直接配置: no access-list 1 这样出现的结果就是全部的条目都没有了
而是配置: ip access-list standard 1 然后配置 no permit 40.1.1.1 ,也可以这样插入一个条目。如果想出现在20条目的前面,前面就加上序号:
2,访问控制列表
ACL是思科IOS的工具,目的是标识流量(可以匹配网段/主机、路由条目)
ACL是一个清单包含允许(permit)和拒绝(deny)的行为
基于IP包的信息ACL来标识流量
流量被标识后,不同的行为将被执行
可以在思科的路由器或交换机上配置ACL
三种类型的ACL:
a,IPv4
b,IPv6
c,非IP流量
严重提醒:相同接口相同方向,只能调用一个相同类型的列表
3,ACL的操作(执行)过程
a,由上而下逐一匹配
b,一旦执行某一条目,将不再往下检查列表条目
c,严重提醒:任何一个ACL最后,都有一条隐含的拒绝(deny)所有的条目!!!
友情提醒:明细的条目尽力往上放(number靠前)(permit ip host 10.1.1.1 host 172.16.1.3)
粗犷的条目往下放(number靠后)(deny ip 10.1.1.0 0.0.0.255 any )
3,ACL 的表示方式
a,标准
奥义:标准的访问控制列表只检查(匹配)源!!!
b,扩展
奥义:扩展的访问控制列表可以检查(匹配)源目IP/端口,以及协议号!!!
数字来区分:
标准:1-99(1300-1999)
扩展:100-199(2000-2699)
4,访问控制列表的使用实例
拓扑
需求一:使用标准的ACL,限制R1访问R2
配置:
R2:
Access-list 1 deny host 10.1.1.1
或者
Access-list 1 deny 10.1.1.1 0.0.0.0
!
Interface fa0/0
ip access-group 1 in ---入向调用ACL
或者
Interface fa 1/0
ip access-group 1 out --出向调用ACL
需求二:使用扩展的ACL
a,禁止R1 ping R3 ,允许R1 telnet R3
b,禁止R1 telnet R4 ,允许R1 ping R4
拓扑:
配置:
R2:
ip access-list extended R1.traffic
permit tcp host 10.1.1.1 host 172.16.1.3 eq telnet
permit icmp host 10.1.1.1 host 172.16.1.4
deny ip any any log
!
Interface fa0/0
ip access-group R1.traffic in
讨论:
标准和扩展访问控制列表,使用的位置
a,标准
奥义:只匹配源
在离目的越近越好的位置调用!!!
b,扩展
奥义:匹配源目IP/端口和协议
在离源越近越好的位置调用!!
本文出自 “学海无涯” 博客,请务必保留此出处http://shixungan.blog.51cto.com/8883838/1826198
原文地址:http://shixungan.blog.51cto.com/8883838/1826198
