訪問控制列表(一)
結構:一.訪問控制列表概述:
訪問控制列表(acl)
1.讀取第三層、第四層包頭資訊
2.根據預先定義好的規則對包進行過濾
二.訪問控制類表的工作原理
訪問控制列表在介面應用的方向:
出:已經過路由器的處理,正離開路由器介面的資料報
入:已達到路由器介面的資料報,將被路由器處理
列表應用到介面方向與資料方向有關
訪問控制列表的處理過程:
acl規則:匹配為自上而下逐條匹配,預設隱含的拒絕是拒絕所有(any)
白名單:
允許 1.2允許 1.3拒絕所有(不寫)
黑名單:
拒絕 1.2拒絕 1.3允許所有(必須寫)
三.acl訪問控制列表的型別:
標準訪問控制列表:
1.基於ip位址過濾資料報2.標準訪問控制列表的訪問控制列表號是1~99
擴充套件訪問控制列表:
1.基於源ip、目標ip位址、指定協議、埠和標誌來過濾資料報2.擴充套件訪問控制列表的訪問控制列表號是100~199
命名訪問控制列表(包含標準和擴充套件):
1.命名訪問控制列表允許在標準和擴充套件訪問控制列表中使用名稱待敵錶號
可靈活調整策略
四.標準訪問控制列表的配置
建立acl:
router(config)#access-list accsee-list-number
source [ source-wildcard ]可對源ip進行控制
刪除acl:router(config)#no access-list access-list-number應用例項:router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
router(config)# access-list 1 permit 192.168.2.2 0.0.0.0
允許192.168.1.0/24和主機192.168.2.2的流量通過
隱含的拒絕語句:router(config)# access-list 1 deny 0.0.0.0 255.255.255.255關鍵字:
host/any
demo1:標準acl的配置例項
交換機:
sw#conf t
sw(config)#no ip routing
sw(config)#int f1/0
sw(config-if)#speed 100
sw(config-if)#dup full
路由器:
r1#conf t
r1(config)#int f0/0
r1(config-if)#ip add 192.168.10.1 255.255.255.0
r1(config-if)#no shut
r1(config-if)#int f0/1
r1(config-if)#ip add 192.168.20.1 255.255.255.0
r1(config-if)#no shut
客戶機配置ip位址:
pc1> ip 192.168.10.2 192.168.10.1
checking for duplicate address...
pc1 : 192.168.10.2 255.255.255.0 gateway 192.168.10.1
pc2> ip 192.168.10.3 192.168.10.1
checking for duplicate address...
pc1 : 192.168.10.3 255.255.255.0 gateway 192.168.10.1
pc3>
pc3> ip 192.168.20.2 192.168.20.1
checking for duplicate address...
pc1 : 192.168.20.2 255.255.255.0 gateway 192.168.20.1
驗證互通:
pc1> ping 192.168.20.2
192.168.20.2 icmp_seq=1 timeout
84 bytes from 192.168.20.2 icmp_seq=2 ttl=63 time=15.676 ms
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=17.680 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=21.956 ms
84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=12.700 ms
pc2> ping 192.168.20.2
192.168.20.2 icmp_seq=1 timeout
192.168.20.2 icmp_seq=2 timeout
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=17.735 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=14.069 ms
84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=14.960 ms
//此時全網段互通
全域性模式下在r1上定義規則r1(config-if)#access-list 1 deny host 192.168.10.2
r1(config)#do show access-list
r1(config)#access-list 1 permit any
r1(config)#int f0/0
r1(config-if)#ip access-group 1 in
pc1pingpc3顯示管理員拒絕:pc1> ping 192.168.20.2
*192.168.10.1 icmp_seq=1 ttl=255 time=20.233 ms (icmp type:3, code:13, communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=4.913 ms (icmp type:3, code:13, communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=12.927 ms (icmp type:3, code:13, communication administratively prohibited)
*192.168.10.1 icmp_seq=4 ttl=255 time=12.965 ms (icmp type:3, code:13, communication administratively prohibited)
*192.168.10.1 icmp_seq=5 ttl=255 time=13.958 ms (icmp type:3, code:13, communication administratively prohibited)
pc1pingpc2可以連通:pc1>ping 192.168.10.3
84 bytes from 192.168.10.3 icmp_seq=1 ttl=64 time=0.000 ms
84 bytes from 192.168.10.3 icmp_seq=2 ttl=64 time=0.975 ms
84 bytes from 192.168.10.3 icmp_seq=3 ttl=64 time=0.997 ms
84 bytes from 192.168.10.3 icmp_seq=4 ttl=64 time=0.000 ms
84 bytes from 192.168.10.3 icmp_seq=5 ttl=64 time=1.731 ms
標準ACL 擴充套件ACL和命名ACL的配置詳解
訪問控制列表 acl 是應用在路由器介面的指令列表 即規則 這些指令列表用來告訴路由器,那些資料報可以接受,那些資料報需要拒絕。訪問控制列表 acl 的工作原理 acl使用包過濾技術,在路由器上讀取osi七層模型的第3層和第4層包頭中的資訊。如源位址,目標位址,源埠,目標埠等,根據預先定義好的規則,...
標準ACL 擴充套件ACL和命名ACL的配置詳解
訪問控制列表 acl 是應用在路由器介面的指令列表 即規則 這些指令列表用來告訴路由器,那些資料報可以接受,那些資料報需要拒絕。訪問控制列表 acl 的工作原理 acl使用包過濾技術,在路由器上讀取osi七層模型的第3層和第4層包頭中的資訊。如源位址,目標位址,源埠,目標埠等,根據預先定義好的規則,...
命名式ACL配置例項
命名式acl配置例項 稍微大一些的企業在網路管理中就要經常用到命名式的acl配置。由於企業部門的分化,不同的部門需要不同acl規則。其實配置 非常簡單,首先命名乙個 然後進入將你所需要的 配置逐一加入,最後將配置好的 組放在你想要應用的埠之中就可以了。下面展示乙個配置例項 建立訪問控制組 ip ac...