應用
1.優先順序判斷
2.按需撥號
3.路由表過濾
型別1.標準訪問列表
只檢查分組的源位址資訊(從哪來的)
允許活拒絕整個協議棧
2.擴充套件訪問列表
同時檢查員和目的位址資訊
可針對三層四層資訊進行控制,常用
標準 1-99, 延伸的標準列表1300-1999
擴充套件 100-199, 延伸的擴充套件列表2000-2999
自主命名
1-99, 1300-1999 只針對源位址資訊來決定是否過濾
100-199, 2000-2999 根據源和目的ip,埠,協議型別 綜合決定
過濾流程:
從第一條開始判斷是否匹配
如果沒有任何一條匹配,仍然deny
配置全域性模式下建立acl
除非必要,不使用延伸的列表,盡量使用1-99 100-199
每個介面,每個協議,每個方向只能有乙個訪問列表
把最嚴格的條目解除安裝最上面
acl預設deny all
acl對映到介面之前,要先做好acl,否則就全部拒絕
不要配置針對路由器本身流量的acl,只針對穿越路由器或者到達路由器的流量做acl
命令標準
access-list 1 permit 172.16.0.0 0.0.255.255
inte***ce fastethernet 0/0
ip access-group 1 out
inte***ce fastethernet 0/1
ip access-group 1 out
拒絕通過
access-list 1 deny 172.16.4.13 0.0.0.0 (可替換成host 172.16.4.13)(換成網路號,就可以拒絕特定子網)
access-list 1 permit 0.0.0.0 255.255.255.255(可換成any)
對映到想拒絕的埠
擴充套件access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
access-list 編號 deny/permit 源位址 目的位址 eq 埠號
對映到介面
拒絕來自某個源的通訊
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
name(命令)
ip access-list standard/extended 名字
permit/deny 和之前的語法相同
對映到埠
介面模式下
ip acccess-group name in/out
對本地流量進行控制
vtyaccess-list 12 permit 172.16.1.0 0.0.0.255
ling vty 0 4
access-class 12 in
只允許172.16.1.0的主機連線路由器的vty通道
檢查訪問列表
sh access-list 編號
sh 協議 access-list 編號
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...
ACL訪問控制列表
技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...
訪問控制列表 ACL
訪問控制列表的條件引數都在ip包中,協議號和ip位址 源位址和目的位址 都在ip包頭部分,埠號在ip包的資料部分,也就是第四層頭部。訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些資料報可以接收 哪些資料報需要拒絕。訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網...