二、命令簡介
總結
訪問控制列表(acl)是一種基於包過濾的訪問控制技術,它可以根據設定的規則對資料報進行過濾,允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機,借助於訪問控制列表,可以有效地控制使用者對網路的訪問,從而最大程度地保障網路安全。
訪問控制列表(access control lists,acl)是應用在路由器介面的指令列表。這些指令列表通過讀取第三層和第四層的包頭資訊,加上預先定義好的規則,對資料報進行過濾。
入口入口指的是已經到達路由器介面的資料報,即將被路由器處理。
出口出口指的是已經經過路由器處理,正準備離開路由器的資料報。
當acl處理資料報時,一旦資料報與某條acl語句匹配,則會跳過列表中剩餘的其他語句,根據該條匹配的語句內容決定允許或者拒絕該資料報。如果資料報內容與acl語句不匹配,那麼將依次使用acl列表中的下一條語句測試資料報。該匹配過程會一直繼續,直到抵達列表末尾。最後一條隱含的語句適用於不滿足之前任何條件的所有資料報。這條最後的測試條件與這些資料報匹配,通常會隱含拒絕一切資料報的指令。此時路由器不會讓這些資料進入或送出介面,而是直接丟棄。最後這條語句通常稱為隱式的「deny any」語句。由於該語句的存在,所以在acl中應該至少包含一條permit語句,否則,預設情況下,acl將阻止所有流量。
簡潔的講就是:當資料報經過介面時,因為介面開啟了acl,此時路由器對資料報文進行檢查,然後根據預定的規則,做出相應的處理。
基礎acl(示例):
[huawei]acl number 2000 #進入acl2000列表
[huawei-acl-basic-
2000
]rule 5 deny source 192.168
.1.0
0.0.0
.255 #permit代表允許,source代表**,之後跟上反掩碼
[huawei-acl-basic-
2000
]rule deny source any #拒絕所有訪問,any代表所有
[huawei-acl-basic-
2000
]int g0/0/
1 #進入g0/0/
1介面[huawei-gigabitethernet0/0/
1]ip add 192.168
.2.254
24 #介面配置ip位址
[huawei-gigabitethernet0/0/
1]traffic-filter outbound acl 2000 #介面出方向呼叫acl2000(outbound為出方向,inbound為入方向)
高階acl(示例):
[huawei]acl number 3000 #進入acl3000列表
[huawei-acl-basic-
3000
]rule deny icmp source 192.168
.1.0
0.0.0
.255 destination 192.168
.3.10
#拒絕192.168
.1.0 網段ping 192.168
.3.1
[huawei-acl-basic-
3000
]rule permit tcp source 192.168
.1.3
0 destination 192.168
.3.10 destination-port eq 80 #destination代表目的位址,destination-port 代表目的埠號
[huawei-acl-basic-
3000
]rule deny tcp source any destination 192.168
.3.10 destination-port eq 80
[huawei-acl-basic-
3000
]rule deny tcp source 192.168
.10.0
0.0.0
.255 destination 12.0
.0.2
0 destination-port eq 21
#拒絕源位址192.168
.10.0 網段訪問ftp伺服器12.0
.0.2
[huawei-acl-basic-
3000
]int g0/0/
0 #進入g0/0/
0介面[huawei-gigabitethernet0/0/
0]ip add 192.168
.2.254
24 #介面配置ip位址
[huawei-gigabitethernet0/0/
0]traffic-filter inbound acl 3000 #介面出方向呼叫acl300
訪問控制列表具有許多作用,如限制網路流量、提高網路效能;通訊流量的控制,例如acl可以限定或簡化路由更新資訊的長度,從而限制通過路由器某一網段的通訊流量;提供網路安全訪問的基本手段;在路由器埠處決定哪種型別的通訊流量被**或被阻塞。
訪問控制列表從概念上來講並不複雜,複雜的是對它的配置和使用,許多初學者往往在使用訪問控制列表時出現錯誤。
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...
ACL訪問控制列表
技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...
訪問控制列表 ACL
訪問控制列表的條件引數都在ip包中,協議號和ip位址 源位址和目的位址 都在ip包頭部分,埠號在ip包的資料部分,也就是第四層頭部。訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些資料報可以接收 哪些資料報需要拒絕。訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網...