導圖
(1)拒絕、允許特定的資料流通過網路裝置,如防止攻擊、訪問控制、節省頻寬等;(2)對特定的資料流、報文、路由條目等進行匹配和標識,以用於其他目的路由過濾,如qos、route-map等。
access-list 1 permit any
access-list 1 permit 10.1.1.0 ///不跟掩碼,掩碼為0.0.0.0 反碼實際上的意思是:1表示不在意;0表示在意
access-list 1 deny any
10.1.1.0 0.0.0.254 ///抓取偶數結尾的10.1.1.0/24段中的位址
10.1.1.0 0.0.0.1 ///抓取奇數結尾的10.1.1.0/24段中的位址
(一般抓流量用):抓協議、源ip、源埠(隨機的,一般不抓)、目標埠(標準協議埠號)、目標ip
(2)擴充套件訪問控制列表:可以根據協議、源/目的ip位址、源/目的埠號進行包過濾。編號範圍:100~199。
access-list 100 permit tcp host 1.1.1.1 host 2.2.2.2 ///協議、源ip、源埠(eq等於、lt小於、neq不等於、range範圍)、源埠(隨機的,一般不抓)、目標埠(標準協議埠號)、目標ip
access-list 100 permit tcp host 1.1.1.1 host 2.2.2.2 time-range k ///不寫時間的acl是永久生效的,寫時間可以控制乙個時間按範圍 名字為k
periodic ///週期設定
periodic daily 23:00 to 23:59 ///每天能上網的時間是早八點到晚11點
periodic daily 00:00 to 07:59
access-list 100 permit ip 10.0.0.0 0。255.255.255 any
$ 100 deny ip 10.0.0.0 0.255.255.255.255 any time-range k
access-list 100 permit ip any any
absoulute start 8:00 1 jan 2019 ///時間段 無結束時間
absoulute start 8:00 1 jan 2019 end 。。。 /// 有結束時間
rst 重置釋放,
acl抓不到自己產生的流量
log
access-list 100 permit any any log-input ///開啟
int e0/0
ip access-group 100 in /// 調
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...
ACL訪問控制列表
技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...
訪問控制列表 ACL
訪問控制列表的條件引數都在ip包中,協議號和ip位址 源位址和目的位址 都在ip包頭部分,埠號在ip包的資料部分,也就是第四層頭部。訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些資料報可以接收 哪些資料報需要拒絕。訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網...