高要网站建设公司,photoshop制作网站,上海公司网站,肇庆企业网站建设目录
ACL
ACL原理
ACL包过滤方式
ACL通用命令
查看ACL表命令
删除整张表命令
接口配置ACL
ACL分类
标准ACL
标准ACL的动作与条件
通配符掩码
扩展ACL
扩展ACL的动作与条件
命名ACL
前言
书写方式 ACL
含义#xff1a;访问控制列表#xff0c;其是一种包过滤…目录
ACL
ACL原理
ACL包过滤方式
ACL通用命令
查看ACL表命令
删除整张表命令
接口配置ACL
ACL分类
标准ACL
标准ACL的动作与条件
通配符掩码
扩展ACL
扩展ACL的动作与条件
命名ACL
前言
书写方式 ACL
含义访问控制列表其是一种包过滤技术主要实现了对访问资源的控制。
注意
ACL基于IP包头中的IP地址、四层TCP/IP头部的端口号这里路由器破例可以参与四层工作ACL在路由器上的接口处配置也可以在防火墙上配置在防火墙上配置的一般称为策略
ACL原理
ACL表必须应用到接口的进或出方向才能生效一个接口的一个方向进口/出口仅能应用一张ACL表进出方向的配置取决于流量控制的总方向ACL表是严格按照自上而下检查每一条策略所以要注意书写顺序每一条ACL条目由条件和动作组成当某流量没有满足某条件则继续检查下一条所有ACL策略的末端默认有一条隐藏的拒绝所有策略这个策略我们不用写。
ACL包过滤方式
当一个包来了之后该包的特征若和条件特征完全吻合那么就不会往后继续检查进而执行后面动作放行或阻止若有一丁点不吻合则该条策略不起作用进而检查下一条策略。
总结层层过滤层层放行。
ACL通用命令
查看ACL表命令 进入特权模式 show ip access-list [表号] 注意这里面可以看到表条目的编号该编号在命名ACL里面会有用。
删除整张表命令 进入全局模式 no access-list 表号 接口配置ACL 进入接口配置模式 在接口配置ACLip access-group 表号 in/out 将ACL从接口取出no ip access-group 表号 in/out 注意最后的in/out指明了该表应用在接口的进口还是出口方向上
ACL分类
前言
我们想要在路由器上过滤时首先我们要在路由器上创建一张ACL表当在路由器上创建一个标准ACL时必须要首先指定标准ACL表的名字表号ACL表主要有标准ACL和扩展ACL标准ACL的表号范围为1-99扩展ACL表号范围为100-199在一个路由器上表号不能相同在多个路由器上表号可以相同 进入全局配置模式 ACL语法access-list 表号 动作与条件 注意
上面着个语法适用于所有种类ACL不同ACL编写语法的不同也就是后面的动作与条件书写方式的不同若路由器没有ACL表则执行以上命令会创建一张表并为表增加该条目若有了该表则执行以上命令就会为该表添加一个表条目
标准ACL
前言标准ACL只能基于源IP对包进行过滤其表号范围为1-99.
标准ACL的动作与条件 语法动作 源IP/源网段范围 动作
允许permit否决deny
源IP/源网段范围
host IP地址仅对某一个主机的源IP进行匹配类似于——IP地址 0.0.0.0源IP/源网段 通配符掩码匹配某一网段的范围或IP地址的数据包any所有的范围的源IP进行匹配类似于——IP地址 255.255.255.255
通配符掩码
通配符掩码作用用来匹配网段或IP地址与0对应的需要严格匹配与1对应的忽略其主要用于控制该网段或IP地址包的过滤。
具体案例 源IP为10.1网段的包都进行阻止access-list 1 deny 10.1.3.1 0.0.255.255 源IP为10.1.3.1IP地址的包都进行放行 普通写法access-list 1 permit 10.1.3.1 0.0.0.0简化写法access-list 1 permit host 10.1.3.1 所有数据包都进行阻止 普通写法access-list 1 deny 10.1.3.1 255.255.255.255简化写法access-list 1 deny any 扩展ACL
前言扩展ACL可以基于源IP、目标IP、目标端口号、协议等来对包进行过滤其表号范围为100-199
扩展ACL的动作与条件 语法动作 协议 源IP/源网段范围 目标IP/目标网段范围 [逻辑符号 目标端口号] 动作
允许permit否决deny
IP/网段范围
host IP地址仅对某一个主机的IP进行匹配类似于——IP地址 0.0.0.0IP/网段 通配符掩码匹配某一网段的范围或IP地址的数据包any所有的范围的IP进行匹配类似于——IP地址 255.255.255.255
注意
协议类型tcp/udp/icmp/ip若后面加端口号则前面协议仅有2个选择——tcp/udp逻辑符号eq等于、gt大于lt小于主要用来匹配范围端口目标端口号可以不写但其他的条件必须写若只满足其中的一点条件那么不叫满足这个条件只有来的数据包所有特征和这里面的条目完全吻合才被称为满足条件才会执行相应的动作
具体案例 10.1.1.1访问20.1.1.3中80端口的tcp数据都放行 access-list 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80 放行所有ip数据包 access-list 100 permit ip any any 命名ACL
前言
一般情况下标准或扩展ACL一旦编写好那么就无法修改某一条也无法删除某一条甚至无法修改顺序只能一直在最后添加新的条目。在标准或扩展ACL中若想修改、插入、删除只能删除整张表之前我们通过表号对ACL进行命名但是当我们在一台设备上起的表非常多的时候我们不能很快的通过表号判断该表的作用这就用到了命名ACL
命名ACL作用可以对标准/扩展ACL进行自定义命名也可以通过命名ACL对标准/扩展ACL进行条目的增删改操作。
优点
ACL自定义命名更容易辨认也便于记忆可以任意修改某一条或删除某一条也可以往中间插入某一条
书写方式 进入全局配置模式 创建/进入一张ACL表ip access-list 表类型 ACL表名称 进入了扩展ACL配置模式 在扩展ACL配置模式下书写动作与条件 删除ACL条目no ACL条目编号 插入ACL条目ACL条目编号 动作与条件 表类型
standred标准ACLextended扩展ACL
ACL条目编号
前言下面的10、20、30就是ACL条目编号在其中可以插入个位级的条目编号 注意
在创建ACL表时表名称可以随意书写。在特定的表类型的情况下仅能书写特定的动作与条件命名ACL可以修改已经创建好ACL表的标准或扩展ACL只需要通过表号作为表名称进入该表即可命名ACL不属于ACL分类中的一种
