溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
(1)、ACL全稱訪問控制列表(Access Control List)。
(2)、基本原理:ACL使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息(如源地址、目的地址、協議口、端口號等),根據預先定義好的規則對包進行過濾,從而達到控制的目的。
(3)ACL目的:限制網絡流量、提高網絡性能;提供對通信流量的控制手段;提供網絡訪問的基本安全手段。
(4)、功能:網絡中的結點分為資源結點和用戶結點兩大類,其中資源結點提供服務或數據,而用戶結點訪問資源結點所提供的服務與數據。ACL的主要功能就是一方面保護資源結點,阻止非法用戶對資源結點的訪問;另一方面限制特定的用戶結點對資源結點的訪問權限
(5)、ACL的訪問順序
a、按照各語句在訪問列表的順序,順序查找,一旦找到了某一匹配條件,就結束匹配,不再檢查后面的語句。
b、如果所有語句都沒有匹配,在默認情況下,雖然看不到最后一行,但最后總是拒絕全部流量的。
| 端口 | 協議 | 說明 |
|---|---|---|
| 21 | FTP | FTP服務器所開放的控制端口 |
| 23 | TELNET | 用于遠程登錄,可以遠程控制管理目標計算器 |
| 25 | SMTP | SMTP服務器開放的端口,用于發送郵件 |
| 80 | HTTP | 超文本傳輸協議 |
| 110 | POP3 | 用于郵件的接收 |
| 69 | TFTP | 簡單文本傳輸協議 |
| 111 | RPC | 遠程過程調用 |
| 123 | NTP | 網絡時間協議 |
| 端口 | 協議 |
|---|---|
| 443 | HTTPS |
| 143 | IMAP |
| 20 | ssh |
| 3389 | 遠程桌面 |
| 67 | DHCP |
| 68 | DHCP |
(1)讀取第三層、第四層包頭信息
(2)根據預先定義好的規則對包進行過濾
(3)訪問控制列表利用(源地址、目的地址、源端口、目的端口)這4個元素定義的規則。
(1)出:已經過路由器的處理,正離開路由器接口的數據包
(2)入:已經達到路由器接口的數據包,將被路由器處理。
列表應用到接口的方向與數據方向有關。
(1)基于源IP地址過濾數據包
(2)標準訪問控制列表的訪問控制列表號是1~99
Router(config)#access-list access-list-number {permint(允許數據包通過) | deny(拒絕數據包通過)} source [source-wildcard]Router(config)# no access-list access-list-number允許192.168.1.0/24和主機192.168.2.2的流量通過
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 1 permit 192.168.2.2 0.0.0.0Router(config)#access-list 1 deny 0.0.0.0 255.255.255.255host :固定地址
any :所有地址
Router(config)# ip access-group access-list-number {in | out}Router(config)# no ip access-group access-list-number {in | out }(1)基于源IP地址、目標IP地址、指定協議、端口和標志來過濾數據包
(2)擴展訪問控制列表的訪問控制列表號是100~199
Router(config)#access-list access-list-number { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]Router(config)# no access-list access-list-numberRouter(config-if)# ip access-group access-list-number { in | out }Router(config-if)# no ip access-group access-list-number { in | out }Router(config-if)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config-if)# access-list 101 deny ip any anyRouer(config-if)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config-if)# access-list 101 permit ip any anyRouter(config-if)# access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
Router(config-if)# access-list 101 permit ip any any(1)命名訪問控制列表允許在標準和擴展訪問控制列表中使用名稱代替表號
Router(config-if)# ip access-list { standard(標準命名ACL) | extended(擴展命名ACL)} access-list-nameRouter(config-std-nacl)# [ Sequence-Number ] { permit | deny } source [source-wildcard ]只允許來自主機192.168.1.1/24的流量通過
Router(config)# ip access-list standard cisco
Router(config-stdnacl)# permit host 192.168.1.1
Router(config-stdnacl)# deny any更改ACL、又允許來自主機192.168.2.1/24的流量通過
Router(config)# ip access-list standard cisco
Router(config-stdnacl)# 15 permit host 192.168.1.1 //添加序列號為15的ACL語句Router(config-ext-nacl)# [ Sequence-Number ] { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]Router(config)# ip access-list extandard cisco
Router(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config-ext-nacl)#permit ip any anyRouter(config)# no ip access-list { standard | extended ] access-list-nameno Sequence-Number
no ACL 語句
Router(config)# ip access-list standard cisco
Router(config-stdnacl)# permit host 192.168.1.1
Router(config-stdnacl)# endRouter(config-stdnacl)# no 10
或
Router(config-stdnacl)# no permit host 192.168.1.1Router(config-if)# ip access-group access-list-name {in | out}Router(config-if)# no ip access-group access-list-name {in | out}免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
