admin 管理员组文章数量: 1086019
目录
一、访问控制列表
1.1 概念
1.2 工作原理
1.3 工作过程
1.4 访问控制列表分类(思科设备)
1.5 配置标准访问控制列表
1.5.1配置方法一
1.5.2 配置方式二
1.5.3 应用到接口
1.5.4 查看效果
一、访问控制列表
标准的访问控制列表ACL
- ACL的基本概念
主要是基于主机,通过IP设备进行标识·
1.1 概念
什么是访问控制列表
一种基于包过滤的访问控制技术、拆的是网络层IP地址,广泛应用于路由器和三层交换机中,有效的控制用户(主机)的访问,基于数据包的五元组进行过滤(源ip、目标ip、源端口、目的端口、协议)
读取三层和四层的流量,三层(网络层)主要读取源ip和目的IP,四层(传输层)主要读取源端口,目的端口
1.2 工作原理
路由器处理数据流量走向问题(确定路由器的入口或出口)
建议是将标准ACL一般配置在靠近源IP的位置,即入口,减少路由器路由的工作量
1.3 工作过程
数据包到达路由器后,查看访问控制列表,匹配规则,有没有源ip是xxx去往xx,如果有匹配,看是允许还是拒绝,如果没有匹配默认拒绝。有一条默认的ACL deny any any
1.4 访问控制列表分类(思科设备)
标准:基于源ip地址进行控制,表号1~99
扩展:基于源ip、目的ip、指定协议、端口号、标志位进行过滤。表号:100~199
命名:没有表号,使用名字作为表号,直接使用standard标识标准ACL、和extended标识扩展ACL
1.5 配置标准访问控制列表
搭建如下拓扑,完成ip地址的分配和设置,配置前确保所有主机能够互通
思路:在路由器上配置:拒绝PC2允许PC1,然后应用到接口,配置要注意先拒绝再配置允许的主机,因为ACL是从上往下匹配的。
1.5.1配置方法一
最常用的方式是写host
Router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
Router(config)#access-list 11 deny ? //此处11是ACL的表号
A.B.C.D Address to match
any Any source host
host A single host address
Router(config)#access-list 11 deny host 192.168.10.10
Router(config)#access-list 11 permit host 192.168.10.20
Router(config)#access-list 11 permit any //允许所有其他主机网段 标识主机要用32位子网
192.168.10.0 192.168.10.10
255.255.255.0 255.255.255.255
1.5.2 配置方式二
ACL配置采用反码
Router(config)#access-list 11 deny 192.168.10.10 0.0.0.0
Router(config)#access-list 11 permit 192.168.10.20 0.0.0.01.5.3 应用到接口
Router(config)#int g0/0
Router(config-if)#ip access-group ?
<1-199> IP access list (standard or extended)
WORD Access-list name
Router(config-if)#ip access-group 11 in
In 表示入口,g0/0对于PC2和PC1来讲是入口方向
总结:
access-list 表号 deny/permit host ip
access-list 表号 deny/permit ip 反掩码
int 接口
ip access-group 表号 in/out
in表示此接口为入口,一般配置在in
1.5.4 查看效果
版权声明:本文标题:交换机和路由器技术-30-标准ACL 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1738320664a1963123.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论