access control list
acl是一種包過濾技術。
acl基於ip包頭的ip位址、四層tcp/udp頭部的埠號、[5層資料]
基於三層和四層過濾
acl在路由器上配置,也可以在防火牆上配置(一般稱為策略)
acl主要分為2大類:
1)標準acl
2)擴充套件acl
標準acl:
錶號:1-99
特點:只能基於源ip對包進行過濾
命令:conf t
access-list 錶號 permit/deny 源ip或源網段 反子網掩碼
注釋:反子網掩碼:將正子網掩碼0和1倒置
255.0.0.0 -- 0.255.255.255
255.255.0.0 -- 0.0.255.255
255.255.255.0 -- 0.0.0.255
反子網掩碼作用:用來匹配條件,與0對應的需要嚴格匹配,與1對應的忽略!
例如: access-list 1 deny 10.0.0.0 0.255.255.255
解釋:該條目用來拒絕所有源ip為10開頭的!
access-list 1 deny 10.1.1.1 0.0.0.0
解釋:該條目用來拒絕所有源ip為10.1.1.1的主機
簡寫: access-list 1 deny host 10.1.1.1
access-list 1 deny 0.0.0.0 255.255.255.255
解釋:該條目用來拒絕所有所有人
簡寫: access-list 1 deny any
完整的案例:
conf t
acc 1 deny host 10.1.1.1
acc 1 deny 20.1.1.0 0.0.0.255
acc 1 permit any
檢視acl表:
show ip access-list [表id]
將acl應用到介面:
int f0/x
ip access-group 錶號 in/out
exit
sh run
7.擴充套件acl:
錶號:100-199
特點:可以基於源ip、目標ip、埠號、協議等對包進行過濾
命令:acc 100 permit/deny 協議 源ip或源網段 反子網掩碼 目標ip或源網段 反子網掩碼 [eq 埠號]
注釋:協議:tcp/udp/icmp/ip
案例:acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 permit icmp host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 permit ip any any
acl原理
1)acl表必須應用到介面的進或出方向才生效!
2)乙個介面的乙個方向只能應用一張表!
3)進還是出方向應用?取決於流量控制總方向
4)acl表是嚴格自上而下檢查每一條,所以要主要書寫順序
5)每一條是由條件和動作組成,當流量完全滿足條件當某流量沒有滿足某條件,則繼續檢查下一條
6)標準acl盡量寫在靠近目標的地方
7)wencoll小原理:
1)做流量控制,首先要先判斷acl寫的位置(那個路由器?那個介面的哪個方向?)
2)再考慮怎麼寫acl。
3)如何寫?
首先要判斷最終要允許所有還是拒絕所有
然後寫的時候要注意:將嚴格的控制寫在前面
8)一般情況下,標準或擴充套件acl一旦編寫號,無法修改某一條,也無法刪除某一條,也無法修改順序,也無法往中間插入新的條目,只能一直在最後新增新的條目
如想修改或插入或刪除,只能刪除整張表,重新寫!
conf t
no access-list 錶號
9.命名acl:
作用:可以對標準或擴充套件acl進行自定義命名
優點:自定義命名更容易辨認,也便於記憶!
可以任意修改某一條,或刪除某一條,也可以往中間插入某一條
命令:conf t
ip access-list standard/extended 自定義表名
開始從deny或permit編寫acl條目
exit
刪除某一條:
ip access-list standard/extended 自定義表名
no 條目id
exit
插入某一條:
ip access-list standard/extended 自定義表名
條目id 動作 條件
exit
注意:
1.三層交換機使用acl,首先起三層,然後int vlan x進入某個vlan,然後再進行ip access-group 錶號 in/out即可使用
2.acl一般只控制網路流量,對於應用層的程式控制較少
3.當拒絕的流量是小部分。允許的流量是大部分的時候,先寫拒絕的部分,然後最後在寫any permit
千鋒網安教程 自學day15 1 VTP
概念 虛擬區域網中繼協議 作用 從一點維護整個網路上vlan的新增 刪除和重新命名工作,也就是在一台交換機上配置的vlan,能讓其他裝置來進行同步,vtp只能在通過truck 主幹埠 來傳遞,他只是同步vlan的資訊,至於介面的劃分不關vtp管 協議要素 vtp域 vtp通告 vtp模式 vtp域 ...
千鋒網安教程 自學day02 IP位址詳解
區域網 構成 交換機,網線,pc 通訊規則 在同乙個區域網中,所有ip必須在同一網段才可以互相通訊 子網掩碼 子網掩碼如何確認網路位 與255對應的為網路位,與0對應的主機位 如 ip位址10.1.1.1 子網掩碼255.255.255.0 則 10.1.1屬於10網段,網路位為10.1.1 最後乙...
千鋒python教程 P26
賦值運算子 1.name admin 將admin的值賦值給變數 name name1 name print id name name print id name1 name1 id 表示記憶體位址 print name name1 name1 admin1 print id name1 name1...