下载文档原格式
标准IP访问控制列表的配置及应用一、拓扑结构图;二、访问控制列表的概念;1.访问控制列表(Access Control List,ACL)是应用在路由器(或三层交换机)端口上的控制列表。
ACL可以允许(permit)或拒绝(deny)进入或离开路由器的数据包(分组),通过设置可以允许或拒绝网络用户使用路由器的某些端口,对网络系统起到安全保护作用。
访问控制列表(ACL)实际上是一系列允许和拒绝匹配准则的集合。
2.IP访问控制列表可以分为两大类:标准IP访问控制列表,只对数据包的源IP地址进行检查。
其列表号为1~99或者1300~1999。
扩展IP访问控制列表,对数据包的源和目标IP地址、源和目标端口号等进行检查,可以允许或拒绝部分协议。
其列表号为100~199或2000~2699。
3.访问控制列表对每个数据包都以自上向下的顺序进行匹配。
如果数据包满足第一个匹配条件,那么路由器就按照该条语句所规定的动作决定是拒绝还是允许;如果数据包不满足第一个匹配条件,则继续检测列表的下一条语句,以此类推。
数据包在访问控制列表中一旦出现了匹配,那么相应的操作就会被执行,并且对此数据包的检测到此为止。
后面的语句不可能推翻前面的语句,因此访问控制列表的过滤规则的放置顺序是很讲究的,不同的放置顺序会带来不同的效果。
三、技术原理;假设某公司的经理部,销售部和财务部分别属于不同的网段,出于安全考虑,公司要求经理部的网络可以访问财务部,而销售部无法访问财务部的网络,其他网络之间都可以实现互访。
访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中,即为距离被保护网络最接近的路由器上。
配置标准IP访问控制列表:1.定义标准IP访问控制列表;Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。
简述ACL的作用及应用ACL全称为Access Control List(访问控制列表),是一种用于控制网络设备的访问权限的技术。
ACL常常用于路由器、防火墙和其他网络设备上,通过配置ACL可以对网络流量进行过滤和控制,从而实现对网络资源的保护和管理。
ACL的作用主要包括以下几个方面:1. 控制网络访问权限:ACL可以根据预先设置的规则对网络流量进行过滤,从而限制特定的用户或主机对网络资源的访问。
比如可以设置ACL规则禁止某些特定的IP地址访问内部网络,或者限制某些用户只能访问特定的网络服务。
2. 提高网络安全性:通过ACL可以控制网络中的数据流动,从而减少网络攻击和恶意行为带来的风险。
ACL可以在网络边界处对流量进行过滤,防止未经授权的用户或主机进入内部网络,同时也可以限制内部网络用户对外部网络资源的访问,避免泄露敏感信息。
3. 优化网络性能:ACL可以对网络流量进行控制和限制,从而避免网络拥堵和带宽浪费的问题。
通过ACL可以限制某些不必要的流量进入网络,或者优化网络流量的分发,从而提高网络的整体性能和稳定性。
4. 达成合规要求:部分行业(如金融、医疗等)需要严格遵守相关的合规要求,ACL可以帮助网络管理员实施相关的网络访问控制策略,保证网络安全和合规性。
在实际应用中,ACL主要用于网络设备的配置和管理,常见的应用场景包括:1. 防火墙配置:防火墙是网络安全的重要组成部分,ACL可以用于配置防火墙的访问控制策略,限制网络上的数据流动。
例如,可以通过ACL阻止恶意流量的进入,或者限制内部网络用户对外部网络资源的访问。
2. 路由器配置:路由器是网络中的重要设备,ACL可以用于配置路由器的访问控制策略,限制特定的IP地址或网络对路由器的访问权限。
这样可以提高网络的安全性和稳定性,避免未经授权的访问对网络造成影响。
3. 交换机配置:ACL也可以用于配置交换机的访问控制策略,限制网络中不同子网之间的访问权限。
访问控制列表-细说ACL那些事儿(ACL应用篇)铛铛铛铛铛,小伙伴们,小编又跟大家见面了!今天小编继续给大家说说ACL那些事儿,但不再是说ACL的基本概念,也不再说抽象的ACL理论。
这一期,小编将给大家呈现丰富多彩的ACL应用,为大家讲解各个业务模块应用ACL时的处理机制差异、应用方式差异,并且带领大家一起动手配置真实的ACL应用案例。
1ACL应用范围通过前两期的ACL理论学习,大家知道ACL并不能单独完成控制网络访问行为或者限制网络流量的效果,而是需要应用到具体的业务模块才能实现上述功能。
那么ACL到底可以应用在哪些业务中呢?小编总结了一下,ACL应用的业务模块非常多,但主要分为以下四类:2ACL业务模块的处理机制各类ACL应用的业务模块对命中/未命中ACL的处理机制是各不相同的。
例如,在流策略中应用ACL时,如果ACL中存在规则但报文未匹配上,该报文仍可以正常通过;但在Telnet中应用ACL,这种情况下,该报文就无法正常通过了。
再如,在黑名单中应用ACL时,无论ACL规则配置成permit还是deny,只要报文命中了规则,该报文都会被系统丢弃,其他模块却不存在这种情况。
所以,大家在配置ACL规则并应用到业务模块中时,一定要格外小心。
为了方便大家查阅,小编特地将常用ACL业务模块的处理机制进行了整理。
3ACL应用方式每个业务模块的ACL应用方式,风格也是各不相同。
为此,小编同样进行了一番整理,供大家参考查阅。
好啦,有了小编整理的这两张表做参考,配置ACL应用案例就可以轻松搞定啦!下面就跟随小编一起,动手试试吧~4ACL应用案例案例1:使用ACL限制Telnet访问权限为了保障远程维护网络设备的安全性,现要求只有管理员(源地址是10.1.1.1/32)才能telnet要实现这个需求,一定是在Telnet模块中应用ACL。
那么该如何配置ACL规则呢?大家是不是认为应该先配置一条permit规则允许10.1.1.1/32登录,然后再配置多条deny规则拒绝其他地址登录呢?其实大可不必。
ACL的基本原理功能与局限性ACL,即访问控制列表(Access Control List),是一种用于控制用户或主机对网络资源的访问权限的机制。
ACL的基本原理是根据事先设定的规则列表来判断并允许或拒绝一些用户或主机对资源的访问。
ACL通常是应用于路由器、防火墙和操作系统等网络设备和系统中。
ACL的功能主要包括以下几点:1.访问控制:ACL可以根据指定的规则,对用户或主机的访问进行限制,以保护网络资源的安全性。
可以通过ACL来限制一些用户或主机对一些资源的读写、执行等操作。
2.提高网络性能:ACL可以根据事先设定的规则过滤掉不符合要求的数据包,从而减少网络流量,提高网络的传输效率。
3.简化管理:ACL可以通过集中管理的方式,对用户或主机的访问权限进行统一配置和管理,从而减少了管理员的工作量和管理成本。
4.支持网络流量控制:ACL可以根据指定的规则,对网络流量进行控制,限制一些特定用户或主机的带宽使用,避免网络拥堵和资源浪费。
然而,ACL也存在一定的局限性:1.限制细粒度:ACL通常是基于IP地址、端口、协议等简单条件来进行判断的,局限于传统的四层网络模型,缺乏对应用层和用户身份识别的支持,因此无法实现更细粒度的访问控制。
2.管理复杂性:随着网络规模的扩大和复杂性的增加,ACL的配置和管理会变得非常繁琐和复杂,容易出现配置错误和安全漏洞的问题。
3.无法预测未知攻击:ACL通常是基于已知的攻击方式和威胁进行配置和管理的,对于未知的新型攻击和漏洞,ACL很难提供有效的保护,需要不断升级和更新规则。
综上所述,ACL是一种基于规则列表的访问控制机制,通过控制用户或主机对网络资源的访问权限,提高网络安全性和性能,简化管理,支持流量控制。
然而,ACL也存在限制,如限制细粒度、管理复杂性和无法预测未知攻击等问题。
因此,在实际应用中,需要综合考虑ACL的优缺点,结合其他安全机制来提供全面的网络安全保护。
【实训项目】访问控制列表ACL综合运用(一)【实训目的】掌握路由器访问控制列表的配置方法能够熟练的运用静态路由协议【实训内容】终端PC1不能访问路由器RB终端PC2可以访问路由器RB【实训设备】两台AR1200、两台PC、一台S3700【实训学时】2学时【实训步骤】一、按照拓扑图连接设备按照拓扑图连结设备,启动所有的设备二、三层交换机的配置<Huawei>undo terminal monitorInfo: Current terminal monitor is off.<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]interface Vlanif 1[Huawei-Vlanif1]ip address 192.168.1.254 24[Huawei-Vlanif1]undo shutdownInfo: Interface Vlanif1 is not shutdown.[Huawei-Vlanif1]quit[Huawei]vlan 2 //创建VLAN 2[Huawei-vlan2]quit[Huawei]interface Ethernet 0/0/22 //加入端口[Huawei-Ethernet0/0/22]port link-type access //设置端口模式[Huawei-Ethernet0/0/22]port default vlan 2 //将端口划分至VLAN [Huawei-Ethernet0/0/22]quit[Huawei]interface Vlanif 2 //进入虚拟接口[Huawei-Vlanif2]ip address 192.168.2.2 24 //配置IP地址[Huawei-Vlanif2]undo shutdown //开启虚拟接口Info: Interface Vlanif2 is not shutdown.[Huawei-Vlanif2]quit[Huawei]ip route-static 192.168.3.0 255.255.255.0 192.168.2.1三、路由器RA的配置<Huawei>undo terminal monitorInfo: Current terminal monitor is off.<Huawei>system-viewEnter system view, return user view with Ctrl+Z. [Huawei]sysname RA[RA]interface GigabitEthernet 0/0/0[RA-GigabitEthernet0/0/0]IP address 192.168.2.1 24[RA-GigabitEthernet0/0/0]undo shutdownInfo: Interface GigabitEthernet0/0/0 is not shutdown.[RA-GigabitEthernet0/0/0]quit[RA]interface GigabitEthernet 0/0/1[RA-GigabitEthernet0/0/1]IP address 192.168.3.1 24[RA-GigabitEthernet0/0/1]undo shutdownInfo: Interface GigabitEthernet0/0/1 is not shutdown.[RA-GigabitEthernet0/0/1]quit[RA]ip route-static 192.168.1.0 255.255.255.0 192.168.2.2 [RA]四、路由器RB的配置<Huawei>undo terminal monitorInfo: Current terminal monitor is off.<Huawei>system-viewEnter system view, return user view with Ctrl+Z. [Huawei]sysname RB[RB]interface GigabitEthernet 0/0/0[RB-GigabitEthernet0/0/0]IP address 192.168.3.2 24[RB-GigabitEthernet0/0/0]UNDO shutdownInfo: Interface GigabitEthernet0/0/0 is not shutdown.[RB-GigabitEthernet0/0/0]quit[RB]IP route-static 192.168.1.0 255.255.255.0 192.168.3.1 [RB]IP route-static 192.168.2.0 255.255.255.0 192.168.3.1 [RB]五、测试畅通性使用终端PC1、PC2去ping路由器RB,发现可以ping通六、在路由器RA上定义基本访问控制列表[RA]acl 2000[RA-acl-basic-2000]rule 1 deny source 192.168.1.1 0 //不允许PC1访问[RA-acl-basic-2000]rule 2 permit source 192.168.1.2 0 //允许PC2访问[RA-acl-basic-2000]rule permit //放行其他流量[RA-acl-basic-2000]display this //查看ACL配置结果[RA-acl-basic-2000]quit[RA]interface GigabitEthernet 0/0/1 //加入端口[RA-GigabitEthernet0/0/1]traffic-filter outbound acl 2000//将ACL应用在端口的出接口上[RA-GigabitEthernet0/0/1]quit[RA]七、测试结果使用终端PC1、PC2去ping路由器RB,发现PC2可以ping通,但是PC1已经无法ping通。
访问控制列表实验报告《访问控制列表实验报告》摘要:本实验旨在通过实际操作,了解和掌握访问控制列表(ACL)的基本概念和应用。
通过对ACL的配置和管理,实现对网络资源的访问控制和权限管理。
本文将详细介绍实验的目的、实验环境、实验步骤和实验结果,并对实验过程中遇到的问题和解决方案进行总结和分析。
1. 实验目的访问控制列表(ACL)是一种用于控制网络资源访问权限的重要机制,通过ACL可以对网络流量进行过滤和控制,保护网络安全。
本实验旨在通过实际操作,掌握ACL的基本概念和配置方法,实现对网络资源的访问控制和权限管理。
2. 实验环境本次实验使用了一台路由器和多台计算机组成的局域网,通过路由器进行网络流量的控制和管理。
实验中使用了Cisco路由器,并配置了基本的网络环境和访问控制列表。
3. 实验步骤(1)配置路由器基本网络环境,包括IP地址、子网掩码等;(2)创建访问控制列表,并定义访问控制规则;(3)将访问控制列表应用到路由器的接口上,实现对网络流量的控制和管理;(4)测试ACL的效果,验证ACL对网络流量的过滤和控制。
4. 实验结果通过实验操作,成功创建了访问控制列表,并将其应用到路由器的接口上。
在测试过程中,发现ACL可以有效地对网络流量进行过滤和控制,实现了对特定IP地址或端口的访问限制。
5. 问题与解决在实验过程中,遇到了一些配置和测试中的问题,如ACL规则的定义和应用不当导致网络流量无法正常通过等。
通过查阅资料和与实验指导老师讨论,最终找到了解决方案,并成功完成了实验目标。
6. 总结与展望本次实验通过实际操作,加深了对访问控制列表的理解和应用,掌握了ACL的配置和管理技术。
ACL作为网络安全的重要手段,对于保护网络资源和数据具有重要意义。
未来,可以进一步学习和探索ACL在实际网络环境中的应用,提高网络安全性和管理效率。
通过本次实验,对访问控制列表有了更深入的了解,掌握了其基本配置和应用方法,为今后的网络管理和安全工作奠定了基础。
访问控制列表(acl)实验报告访问控制列表(Access Control Lists,简称ACL)是一种用于控制网络资源访问权限的技术。
通过ACL,网络管理员可以根据需要限制或允许特定用户或用户组对网络资源的访问。
本文将介绍ACL的基本概念、实验过程以及实验结果。
一、ACL的基本概念ACL是一种应用于路由器或交换机等网络设备上的访问控制机制。
它通过在设备上设置规则,控制网络流量的进出。
ACL的规则由访问控制表(Access Control Table)组成,每个规则由一个或多个条件和一个动作组成。
条件可以是源IP地址、目的IP地址、协议类型、端口号等,动作可以是允许通过、阻止或丢弃数据包。
二、实验过程1. 实验环境准备为了进行ACL实验,我们需要准备一台路由器或交换机,并连接一些主机和服务器。
在实验开始之前,需要确保所有设备的网络连接正常,并且已经了解每个设备的IP地址和子网掩码。
2. 创建ACL规则在路由器或交换机上,我们可以通过命令行界面(CLI)或图形用户界面(GUI)来创建ACL规则。
这里以CLI为例,假设我们要限制某个子网内的主机访问外部网络。
首先,我们需要创建一个ACL,并定义允许或阻止的动作。
例如,我们可以创建一个允许外部网络访问的ACL规则,命名为“ACL-OUT”。
然后,我们可以添加条件,比如源IP地址为内部子网的地址范围,目的IP地址为任意外部地址,协议类型为TCP或UDP,端口号为80(HTTP)或443(HTTPS)。
3. 应用ACL规则创建ACL规则后,我们需要将其应用到适当的接口或端口上。
这样,所有经过该接口或端口的数据包都会受到ACL规则的限制。
在路由器或交换机上,我们可以使用“应用ACL”命令将ACL规则应用到指定的接口或端口上。
例如,我们可以将“ACL-OUT”规则应用到连接外部网络的接口上,从而限制内部子网的主机访问外部网络。
4. 测试ACL规则在应用ACL规则后,我们可以进行一些测试来验证ACL的有效性。
访问控制列表的应用与配置一、访问控制列表(ACL)的概述:访问控制列表又称ACL(access control list),它可以对网络中的一些访问进行有效的限制,同时又能提高网络的安全性。
其实现的原理就是读取数据包头中的信息如协议类型、源地址、目的地址、源端口、目的端口等,根据预先定义好的规则来判断是对数据包放行还是过滤,从而达到访问控制的目的。
二、访问控制列表(ACL)应用的场合:ACL典型的应用场合:下图中公司内部有众多的部门,财务部的信息是属于比较敏感的,在同一个局域网中为了不让其它的部门能够访问到财务部,可以在交换机上配置访问控制列表来实现拒绝其它部门的访问。
三、访问控制列表(ACL)的的分类:标准访问控制列表ACL扩展访问控制列表说明:1:标准访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的数据包采取拒绝或允许两个操作。
编号范围是从1到99的访问控制列表属于标准访问控制列表。
2:扩展访问控制列表匹配项包括协议类型、源地址、目的地址、源端口、目的端口等,采取对数据包拒绝或允许两个操作。
编号范围是从100到199的访问控制列表属于扩展访问控制列表。
ACL的实验环境搭建与配置一、实验拓扑图:二、实验要求:1:PC1 IP地址限制在192.168.1.~255。
2:PC2 IP地址限制在192.168.2.~255。
3:PC3 IP地址不做限制可以telnetPC2,但不能telnetPC1。
三、配置思路:实验要求的1,2使用标准访问控制列表,而要求3使用扩展访问列表。
四、IP地址规划:终端IP地址子网掩码PC1 192.168.1.1 255.255.0.0PC2 192.168.2.2 255.255.0.0PC3 192.168.3.3 255.255.0.0五、实验配置:(1),创建列表1:限制PI的IP地址范围,并进入到端口应用为入站.DCS-3926S(Config)#access-list 1 permit 192.168.1.0 0.0.0.255 .....//只允许这个地址范围段通过DCS-3926S(Config)#access-list 1 deny any-source.......................//其它的全部被拒绝DCS-3926S(Config)#interface ethenet 0/0/1...............................//进入端口1DCS-3926S(Config-ethernet0/0/1)#ip access-group 1 in...............//在1端口上应用为入站(2),创建列表2:限制P2的IP地址范围。
访问控制列表应用标准访问控制列表的格式访问控制列表ACL分很多种,不同场合应用不同种类的ACL。
其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。
标准访问控制列表是最简单的ACL。
它的具体格式如下:access-list ACL号 permit|deny host ip地址例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。
当然我们也可以用网段来表示,对某个网段进行过滤。
命令如下:access-list 10 deny 192.168.1.0 0.0.0.255通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。
为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO 规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。
小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。
我们采用如图所示的网络结构。
路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。
在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。
实例1:禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。
172.16.4.13可以正常访问172.16.3.0/24。
路由器配置命令access-list 1 permit host 172.16.4.13 设置ACL,容许172.16.4.13的数据包通过。
access-list 1 deny any 设置ACL,阻止其他一切IP地址进行通讯传输。
int e 1 进入E1端口。
ip access-group 1 in 将ACL 1宣告。
经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。
来自其他IP地址的数据包都无法通过E1传输。
小提示:由于CISCO默认添加了DENY ANY的语句在每个ACL中,所以上面的access-list 1 deny any这句命令可以省略。
另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告,宣告结果和上面最后两句命令效果一样。
配置任务:禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问,而172.16.4.0/24中的其他计算机可以正常访问。
路由器配置命令:access-list 1 deny host 172.16.4.13 设置ACL,禁止172.16.4.13的数据包通过access-list 1 permit any 设置ACL,容许其他地址的计算机进行通讯int e 1 进入E1端口ip access-group 1 in 将ACL1宣告,同理可以进入E0端口后使用ip access-group 1 out来完成宣告。
配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯,传输数据包。
总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。
应用比较广泛,经常在要求控制级别较低的情况下使用。
如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。
扩展访问控制列表:上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。
那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。
这时候就需要使用扩展访问控制列表了。
使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,ftp等)。
扩展访问控制列表使用的ACL号为100到199。
扩展访问控制列表的格式刚刚我们提到了标准访问控制列表,他是基于IP地址进行过滤的,是最简单的ACL。
那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。
这时候就需要使用扩展访问控制列表了。
使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,ftp等)。
扩展访问控制列表使用的ACL号为100到199。
扩展访问控制列表的格式:扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下:access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]例如:access-list 101 deny tcp any host 192.168.1.1 eq www 这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP 连接的数据包丢弃。
小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。
扩展访问控制列表实例我们采用如图所示的网络结构。
路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。
在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。
配置任务:禁止172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可以访问172.16.4.13上的WWW服务,而其他服务不能访问。
路由器配置命令:access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置ACL101,容许源地址为任意IP,目的地址为172.16.4.13主机的80端口即WWW服务。
由于CISCO默认添加DENY ANY的命令,所以ACL只写此一句即可。
int e 0 进入E1端口ip access-group 101 out 将ACL101宣告出去设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了,就算是服务器172.16.4.13开启了ftp服务也无法访问,惟独可以访问的就是172.16.4.13的WWW服务了。
而172.16.4.0的计算机访问172.16.3.0的计算机没有任何问题。
扩展ACL有一个最大的好处就是可以保护服务器,例如很多服务器为了更好的提供服务都是暴露在公网上的,这时为了保证服务正常提供所有端口都对外界开放,很容易招来黑客和病毒的攻击,通过扩展ACL 可以将除了服务端口以外的其他端口都封锁掉,降低了被攻击的机率。
如本例就是仅仅将80端口对外界开放。
总结:扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP。
不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器CPU资源。
所以当使用中低档路由器时应尽量减少扩展ACL 的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。
基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。
也就是说修改一条或删除一条都会影响到整个ACL列表。
这一个缺点影响了我们的工作,为我们带来了繁重的负担。
不过我们可以用基于名称的访问控制列表来解决这个问题。
不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。
也就是说修改一条或删除一条都会影响到整个ACL列表。
这一个缺点影响了我们的工作,为我们带来了繁重的负担。
不过我们可以用基于名称的访问控制列表来解决这个问题。
一、基于名称的访问控制列表的格式:ip access-list [standard|extended] [ACL名称]例如:ip access-list standard softer就建立了一个名为softer 的标准访问控制列表。
二、基于名称的访问控制列表的使用方法:当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。
例如我们添加三条ACL规则permit 1.1.1.1 0.0.0.0permit 2.2.2.2 0.0.0.0permit 3.3.3.3 0.0.0.0如果我们发现第二条命令应该是2.2.2.1而不是2.2.2.2,如果使用不是基于名称的访问控制列表的话,使用no permit 2.2.2.2 0.0.0.0后整个ACL信息都会被删除掉。
正是因为使用了基于名称的访问控制列表,我们使用no permit 2.2.2.2 0.0.0.0后第一条和第三条指令依然存在。
总结:如果设置ACL的规则比较多的话,应该使用基于名称的访问控制列表进行管理,这样可以减轻很多后期维护的工作,方便我们随时进行调整ACL规则。
反向访问控制列表:我们使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面,那就是防范病毒,我们可以将平时常见病毒传播使用的端口进行过滤,将使用这些端口的数据包丢弃。
这样就可以有效的防范病毒的攻击。
不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效,毕竟未知病毒使用的端口是我们无法估计的,而且随着防范病毒数量的增多会造成访问控制列表规则过多,在一定程度上影响了网络访问的速度。
这时我们可以使用反向控制列表来解决以上的问题。
我们使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面,那就是防范病毒,我们可以将平时常见病毒传播使用的端口进行过滤,将使用这些端口的数据包丢弃。
这样就可以有效的防范病毒的攻击。
不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效,毕竟未知病毒使用的端口是我们无法估计的,而且随着防范病毒数量的增多会造成访问控制列表规则过多,在一定程度上影响了网络访问的速度。
这时我们可以使用反向控制列表来解决以上的问题。
一、反向访问控制列表的用途反向访问控制列表属于ACL的一种高级应用。
他可以有效的防范病毒。
通过配置反向ACL可以保证AB两个网段的计算机互相PING,A可以PING通B而B不能PING通A。
说得通俗些的话就是传输数据可以分为两个过程,首先是源主机向目的主机发送连接请求和数据,然后是目的主机在双方建立好连接后发送数据给源主机。
