(1)、ACL全称访问控制列表(Access Control List)。
(2)、基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息(如源地址、目的地址、协议口、端口号等),根据预先定义好的规则对包进行过滤,从而达到控制的目的。
(3)ACL目的:限制网络流量、提高网络性能;提供对通信流量的控制手段;提供网络访问的基本安全手段。
(4)、功能:网络中的结点分为资源结点和用户结点两大类,其中资源结点提供服务或数据,而用户结点访问资源结点所提供的服务与数据。ACL的主要功能就是一方面保护资源结点,阻止非法用户对资源结点的访问;另一方面限制特定的用户结点对资源结点的访问权限
(5)、ACL的访问顺序
a、按照各语句在访问列表的顺序,顺序查找,一旦找到了某一匹配条件,就结束匹配,不再检查后面的语句。
b、如果所有语句都没有匹配,在默认情况下,虽然看不到最后一行,但最后总是拒绝全部流量的。
| 端口 | 协议 | 说明 |
|---|---|---|
| 21 | FTP | FTP服务器所开放的控制端口 |
| 23 | TELNET | 用于远程登录,可以远程控制管理目标计算器 |
| 25 | SMTP | SMTP服务器开放的端口,用于发送邮件 |
| 80 | HTTP | 超文本传输协议 |
| 110 | POP3 | 用于邮件的接收 |
| 69 | TFTP | 简单文本传输协议 |
| 111 | RPC | 远程过程调用 |
| 123 | NTP | 网络时间协议 |
| 端口 | 协议 |
|---|---|
| 443 | HTTPS |
| 143 | IMAP |
| 20 | ssh |
| 3389 | 远程桌面 |
| 67 | DHCP |
| 68 | DHCP |
(1)读取第三层、第四层包头信息
(2)根据预先定义好的规则对包进行过滤
(3)访问控制列表利用(源地址、目的地址、源端口、目的端口)这4个元素定义的规则。
(1)出:已经过路由器的处理,正离开路由器接口的数据包
(2)入:已经达到路由器接口的数据包,将被路由器处理。
列表应用到接口的方向与数据方向有关。
(1)基于源IP地址过滤数据包
(2)标准访问控制列表的访问控制列表号是1~99
Router(config)#access-list access-list-number {permint(允许数据包通过) | deny(拒绝数据包通过)} source [source-wildcard]Router(config)# no access-list access-list-number允许192.168.1.0/24和主机192.168.2.2的流量通过
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 1 permit 192.168.2.2 0.0.0.0Router(config)#access-list 1 deny 0.0.0.0 255.255.255.255host :固定地址
any :所有地址
Router(config)# ip access-group access-list-number {in | out}Router(config)# no ip access-group access-list-number {in | out }(1)基于源IP地址、目标IP地址、指定协议、端口和标志来过滤数据包
(2)扩展访问控制列表的访问控制列表号是100~199
Router(config)#access-list access-list-number { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]Router(config)# no access-list access-list-numberRouter(config-if)# ip access-group access-list-number { in | out }Router(config-if)# no ip access-group access-list-number { in | out }Router(config-if)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config-if)# access-list 101 deny ip any anyRouer(config-if)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config-if)# access-list 101 permit ip any anyRouter(config-if)# access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
Router(config-if)# access-list 101 permit ip any any(1)命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号
Router(config-if)# ip access-list { standard(标准命名ACL) | extended(扩展命名ACL)} access-list-nameRouter(config-std-nacl)# [ Sequence-Number ] { permit | deny } source [source-wildcard ]只允许来自主机192.168.1.1/24的流量通过
Router(config)# ip access-list standard cisco
Router(config-stdnacl)# permit host 192.168.1.1
Router(config-stdnacl)# deny any更改ACL、又允许来自主机192.168.2.1/24的流量通过
Router(config)# ip access-list standard cisco
Router(config-stdnacl)# 15 permit host 192.168.1.1 //添加序列号为15的ACL语句Router(config-ext-nacl)# [ Sequence-Number ] { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]Router(config)# ip access-list extandard cisco
Router(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config-ext-nacl)#permit ip any anyRouter(config)# no ip access-list { standard | extended ] access-list-nameno Sequence-Number
no ACL 语句
Router(config)# ip access-list standard cisco
Router(config-stdnacl)# permit host 192.168.1.1
Router(config-stdnacl)# endRouter(config-stdnacl)# no 10
或
Router(config-stdnacl)# no permit host 192.168.1.1Router(config-if)# ip access-group access-list-name {in | out}Router(config-if)# no ip access-group access-list-name {in | out}免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
