溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
ACL(access control list):訪問控制列表(多用于路由、三層交換中建立包過濾防火墻)
1、標準型訪問控制列表
(1)只能基于源IP 地址過濾
(2)該種列表的訪問控制列表號為1~99
2、擴展訪問控制列表
(1)基于源IP、目的IP、指定協議、端口、標志過濾數據
(2)該種列表的訪問控制列表號為100~199
3、命名訪問控制列表——包含標準訪問和擴展訪問
(1)該種列表允許在標準和擴展列表中使用“名稱代替表號”
1、訪問控制列表基于三層(基于IP) 四層(基于端口、協議)進行過濾
2、應用防火墻,基于七層進行過濾
3、常用端口以及協議如下圖
4、訪問控制列表在接口應用的方向
出:已經過路由器的處理,正離開路由器接口的數據包
入:已達到路由器接口的數據包,將被路由器處理
1、ACL根據人為定義好的規則對數據包進行過濾
匹配流程圖:
匹配規則:自上而下所有,逐條匹配,默認隱含拒絕所有
1、標準訪問控制列表配置
(1)創建ACL
access - list access-list-number {permit | deny} source 【source-wildcard】access-list 1 deny any :拒絕所有
access-list-number :列表號(1—99)
source[source-wildcard]:源IP+子網掩碼反碼
關鍵字:host / any
(2)刪除ACL
no access - list access-list-number(3)將ACL應用于端口
ip access-group access-list-number { in | out }(4)取消ACL應用在端口
no ip access-group access-list-number { in | out }TIP : ACL的訪問控制列表in口大部分在離限制方近的一端
2、擴展訪問控制列表
(1)創建ACL
access - list access-list-number {permit | deny} protocol { source source-wildcard destination destination-wildcard } 【 operator operan】protocol:協議名稱(TCP、UDP、 ICMP........)
source-wildcard destination destination-wildcard:源IP、掩碼反碼和目標IP、掩碼反碼
operator operan:服務的端口或者名字(80/www服務)
(2)刪除ACL
no access - list access-list-numbe(3)將ACL應用于端口
ip access-group access-list-number { in | out }(4)在接口上取消ACL的應用
no ip access-group access-list-number { in | out }TIP:ip包含所有協議
any any:源IP 、目標IP
3、命名訪問控制列表
(1)創建ACL
ip access-list { standard | extended } access-list-nameaccess-list-name:列表名稱(自己取);
(2)配置標準命名ACL
[ Sequence-Number ] { permit | deny } source [ source-wildcard]Sequence-Number :列表中的序列號;決定ACL語句在列表當中的位置。
(3)配置擴展命名ACL
[ Sequence-Number ] { permit | deny } protocol source { source-wildcard destination destination-wildcard } 【 operator operan 】 (4)刪除組中單一ACL語句
——no Sequence-Number
——no ACL語句
(5)刪除整組ACL
no ip access-list { standard | extended } access-list-name(6)將ACL應用于接口
ip access-group access-list-name { in | out }(7) 取消接口上ACL的應用
ip access-group access-list-name { in | out (8)在ACL中添加特定序列號的語句
ip access-list { standard | extended } access-list-name
Sequence-Number +執行的操作命令拓展:
1、NAT地址轉換:一個私網轉換為一個公網地址
2、特殊形式
PAT:多個私網轉換為一個公網地址 (端口多路復用)
作用:緩解了可用IP地址資源的枯竭,提高了IP地址的利用率。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
