一、acl
1.作用
訪問控制列表(access control list),是路由器和交換機介面的指令列表,用來控制埠進出的資料報。acl可以過濾網路中的流量,是控制訪問的一種網路技術手段。
配置acl後,可以限制網路流量,允許特定裝置訪問,指定**特定資料報等。如可以配置acl禁止區域網內的裝置訪問外部公共網路,或者只能使用ftp服務。acl既可以在路由器上配置,也可以在具有acl功能的業務軟體上進行配置。
2.工作原理
乙個埠執行哪條acl,需要按照列表中的條件語句執行順序來判斷,如果乙個資料報的報頭跟表中某個條件判斷語句相匹配,那麼後面的語句就將被忽略,不再進行檢查。
資料報只有在跟第乙個判斷條件不匹配時,它才會被交給acl中的下乙個條件判斷語句進行比較。如果所有的acl語句都檢測完畢仍沒有匹配的語句出口,則該資料報將視為被拒絕而被丟棄。
3.分類
--標準acl
標準訪問控制列表基於源ip位址過濾資料報,僅僅關注源ip位址,id範圍是1~99;
--擴充套件acl
擴充套件訪問控制列表基於源ip位址、目的ip位址、指定協議及埠來過濾資料報,id範圍是100~199;
--命名acl
命名訪問控制列表可以為acl起乙個有意義的名字,通過名稱就可以得知該acl要實現什麼功能。同時,因為使用的是名稱而不是數字,也就沒有了acl數量上的限制。
4.acl的使用
--建立格式
access-list permint | deny x.x.x.x y.y.y.y
說明:id範圍1~99 或100~199
permit 表示允許, deny 表示拒絕
x.x.x.x 表示乙個ip位址或乙個網路範圍
y.y.y.y 是萬用字元,其中0表示匹配的位,1表示不匹配的位。
--舉個例子:
access-list 1 permit 192.168.1.0 0.0.0.255
首先分析acl的型別,id號是1,所以是標準acl;
其次分析acl的匹配條件,提取源ip位址中與萬用字元0所對應的位,與acl中的條件進行比對,如果相同,則表示匹配成功,執行動作permit或deny;如果不同則表示匹配失敗,繼續查詢下乙個匹配條件。
--呼叫acl
呼叫acl時要注意確定在正確時裝置上、在正確的埠上、在正確的方向上。
如:inte***ce f0/0
ip access-group 1 in
注意:-任何乙個acl後面都有乙個隱含的deny any;
-當乙個acl中有多個條目時,對每個條件匹配時是按照序列號從小到大依次進行檢查匹配的;
-標準acl應該呼叫在距離目標近的位置;
-擴充套件acl應該呼叫在距離源近的位置。
工作中常用命名的acl
配置如下:
--建立:
#ip access-list standard notping // notping 是自己命名的
#10 deny 192.168.1.2 0 0 0 0
#20 permint any
#exit
--呼叫:
#inte***ce f0/0
ip access-group notping
為了匹配更加精確的流量,我們使用擴充套件acl
配置如下:
--建立:
#ip access-list extend notping
#10 deny icmp host 192.168.1.2 host 192.168.1.254
#20 permit ip any any
--呼叫:
#inte***ce f0/0
#ip access-group notping in
--驗證
#show ip access-list
#show ip inte***ce f0/0
路由器ACL(訪問控制列表)的型別及配置
acl是應用在路由器介面的指令列表,通過這些指令,來告訴路由器哪些資料報可以接收,哪些資料報需要拒絕,基本原理就是 acl使用包過濾技術,在路由器上讀取osi七層模型的第三層及第四層包頭中的資訊,如源位址 目的位址 源埠 目的埠等,根據預先定義好的規則,對包進行過濾,從而達到訪問控制的目的。acl有...
ACL 訪問控制列表 相關理論與基礎命令
三 acl相關命令 1 讀取第三層 第四層包頭資訊 2 根據預先定義好的規則對包頭進行過濾 1 出 已經經過路由器的處理,正離開路由器介面的資料報 2 入 已經到達路由器介面的資料報,將被路由器處理 1 用來對資料報做訪問控制 丟棄或者放行 2 結合其他協議,用來匹配範圍 當資料報從介面經過時,由於...
H3C交換機典型(ACL)訪問控制列表配置例項
一 組網需求 1 通過配置基本訪問控制列表,實現在每天8 00 18 00時間段內對源ip為10.1.1.2主機發出報文的過濾 www.jb51.net 2 要求配置高階訪問控制列表,禁止研發部門與技術支援部門之間互訪,並限制研發部門在上班時間8 00至18 00訪問工資查詢伺服器 3 通過二層訪問...