当前位置:文档之家 › 第五讲访问控制列表的功能与基本配置

第五讲访问控制列表的功能与基本配置

  • 格式:ppt
  • 大小:649.00 KB
  • 文档页数:50

下载文档原格式

  / 50

合集下载

如何设置局域网的访问控制列表

如何设置局域网的访问控制列表

如何设置局域网的访问控制列表局域网(Local Area Network,LAN)是一个相对独立的网络环境,通常是在企业、学校或家庭中使用的。

为了保护局域网的安全性,访问控制列表(Access Control List,ACL)是一项非常重要的设置。

通过ACL,我们可以限制局域网中设备的访问权限,确保只有授权的设备可以进入网络。

本文将详细介绍如何设置局域网的访问控制列表,以帮助您增强网络的安全性。

一、了解访问控制列表的概念与作用访问控制列表是一种网络安全技术,用于控制网络资源访问的权限。

它可以根据特定的规则来限制或允许设备、用户或者应用程序对网络资源的访问。

访问控制列表的作用主要体现在以下两个方面:1.1 设备过滤:ACL可以根据设备的MAC地址、IP地址或其他特征信息,对设备的访问进行过滤,只允许特定的设备进入局域网。

1.2 服务控制:ACL可以根据设备或用户对特定服务(如Web访问、邮件服务等)的访问策略进行控制,确保只有授权的设备或用户能够使用。

二、设置局域网的访问控制列表要设置局域网的访问控制列表,我们可以采取以下步骤:2.1 确定访问控制策略:在设置ACL之前,需要明确访问控制的策略,即要允许哪些设备或用户进入网络,要限制哪些设备或用户的访问。

根据实际需求,可以制定具体的策略,例如只允许特定的MAC地址进入局域网。

2.2 配置ACL规则:根据策略进行ACL规则的配置。

ACL规则通常包括源地址、目标地址和许可或拒绝的动作。

2.3 应用ACL规则:将配置好的ACL规则应用到局域网的相关设备上,以生效。

2.4 监测和更新ACL:定期监测ACL的效果,对ACL规则进行必要的更新和优化,以保持网络的安全性。

三、常见的访问控制列表配置场景以下是几种常见的访问控制列表配置场景:3.1 基于MAC地址的ACL:通过指定允许或拒绝特定MAC地址的方式进行访问控制,适用于对设备进行细粒度控制的场景。

3.2 基于IP地址的ACL:通过指定允许或拒绝特定IP地址的方式进行访问控制,适用于对特定IP地址进行控制的场景。

标准IP访问控制列表的配置及应用

标准IP访问控制列表的配置及应用

标准IP访问控制列表的配置及应用一、拓扑结构图;二、访问控制列表的概念;1.访问控制列表(Access Control List,ACL)是应用在路由器(或三层交换机)端口上的控制列表。

ACL可以允许(permit)或拒绝(deny)进入或离开路由器的数据包(分组),通过设置可以允许或拒绝网络用户使用路由器的某些端口,对网络系统起到安全保护作用。

访问控制列表(ACL)实际上是一系列允许和拒绝匹配准则的集合。

2.IP访问控制列表可以分为两大类:标准IP访问控制列表,只对数据包的源IP地址进行检查。

其列表号为1~99或者1300~1999。

扩展IP访问控制列表,对数据包的源和目标IP地址、源和目标端口号等进行检查,可以允许或拒绝部分协议。

其列表号为100~199或2000~2699。

3.访问控制列表对每个数据包都以自上向下的顺序进行匹配。

如果数据包满足第一个匹配条件,那么路由器就按照该条语句所规定的动作决定是拒绝还是允许;如果数据包不满足第一个匹配条件,则继续检测列表的下一条语句,以此类推。

数据包在访问控制列表中一旦出现了匹配,那么相应的操作就会被执行,并且对此数据包的检测到此为止。

后面的语句不可能推翻前面的语句,因此访问控制列表的过滤规则的放置顺序是很讲究的,不同的放置顺序会带来不同的效果。

三、技术原理;假设某公司的经理部,销售部和财务部分别属于不同的网段,出于安全考虑,公司要求经理部的网络可以访问财务部,而销售部无法访问财务部的网络,其他网络之间都可以实现互访。

访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中,即为距离被保护网络最接近的路由器上。

配置标准IP访问控制列表:1.定义标准IP访问控制列表;Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。

访问控制列表原理及配置技巧(acl)

访问控制列表原理及配置技巧(acl)

1、访问控制列表的作用。

作用就是过滤实现安全性具网络可有管理性一、过滤,经过路由器的数据包二、控制增长的网络IP数据2、访问控制列表的分类及其特性。

一、标准列表只基于ip协议来工作,只能针对数据包种的源地址来做审核,由于无法确定具体的目的,所以在使用的过程中,应靠近目的地址,接口应为距目的地址最近的接口,方向为out。

访问控制别表具有方向性,是以路由器做参照物,来定义out或者inout:是在路由器处理完以后,才匹配的条目in:一进入路由器就匹配,匹配后在路由。

编号范围为:1-99二、扩展列表可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作,在工作的过程中常用在距源或组源最近的路由器上,接口为距源最近的接口,方向为in,可以审核三层和四层的信息。

编号范围:100-199如何判断应使用哪种类型的访问控制列表标准:针对目的,允许或拒绝特定的源时,使用标准的(当目的唯一,具有多个源访问时。

)扩展:针对源地址,允许或拒绝源去往特定的目的。

或者在涉及四层信息的审核时通常都会采用扩展列表。

(当源确定下来,具有单个源可有多个目的地址时。

)编号的作用:a,标识表的类型b,列表的名字1.访问列表最后一条都隐含拒绝所有,使用拒绝列表时,必须有条允许语句。

2.访问列表按顺序自上而下逐条匹配,当匹配后立即执行,不会继续匹配。

3.具有严格限制的条目应该放在列表前。

4.删除列表不能有选择删除,若no access-list X 的一个条目,则这个列表被删除。

5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核.6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上.7.当列表过滤掉一个数据包时,会返回给源一个不可达的icmp包,然后丢掉或过滤掉包8.访问列表在应用中,标准的应靠近目的,而扩展则靠近源或组源。

9.当路由器调用了一个没有条目的列表,则执行列表隐含条目,deny any (拒绝所有)10.在某个接口,某个方向上只能调用一个列表。

路由器使用技巧控制访问列表

路由器使用技巧控制访问列表

路由器使用技巧控制访问列表在如今数字化时代,互联网已经成为人们生活中不可或缺的一部分。

然而,随着互联网的普及和应用的广泛,保障网络安全变得尤为重要。

为了管理和控制网络的访问权限以及保护个人隐私,使用路由器成为了一种常见的解决方案。

本文将介绍一些路由器使用技巧,以帮助您更好地控制访问列表。

一、了解访问列表的基本概念访问列表(Access Control List,ACL)是一种管理网络流量的工具,通过规定允许或禁止某个特定IP地址或IP地址段进行网络访问。

在路由器上配置访问列表后,您可以控制设备对特定网站、应用或服务的访问权限,从而保护自己的网络安全和隐私。

二、设置访问控制策略1. 确定访问控制需求:首先,您需要明确自己的访问控制需求。

比如,您想要禁止某个特定IP地址的设备访问互联网,或者您只想允许特定IP地址范围的设备访问您的局域网。

明确需求后,可以更方便地配置访问控制列表。

2. 登录路由器管理界面:打开您的计算机浏览器,输入路由器的默认网关IP地址,并使用正确的用户名和密码登录路由器的管理界面。

3. 导航到访问控制设置:在管理界面中,找到“访问控制”或类似选项。

具体名称和位置可能因路由器品牌和型号而异,但通常会在安全设置或高级设置类别下。

4. 配置访问控制列表:根据您的需求,在访问控制设置页面中创建新的访问控制表项。

您可以设置允许或禁止特定的IP地址、IP地址段、端口号或MAC地址进行网络访问。

5. 保存并应用设置:在完成访问控制列表的配置后,记得点击保存或应用按钮,以使设置生效。

三、优化访问列表控制1. 定期更新访问列表:网络环境时刻在变化,新的威胁和安全漏洞也会不断出现。

因此,及时更新访问列表是保护网络安全的重要一环。

您可以根据实际需求,定期检查和修改访问控制列表,确保其与最新的网络威胁相适应。

2. 使用黑名单和白名单:黑名单和白名单是访问列表中常用的概念。

黑名单(Blacklist)是指禁止访问的清单,您可以将您不希望访问您网络的IP地址或特定应用添加到黑名单中。

网络安全实验6:访问控制列表

网络安全实验6:访问控制列表

访问控制列表(ACL)基本的配置以及详细讲解2009-09-22 00:02:26标签:控制列表配置职场休闲【网络环境】网络时代的高速发展,对网络的安全性也越来越高。

西安凌云高科技有限公司因为网络建设的扩展,因此便引入了访问控制列表(ACL)来进行控制,作为网络管理员我们应该怎么来具体的实施来满足公司的需求呢?【网络目的】明白ACL访问控制列表的原理、以及正确的配置;按照网络拓扑图的要求来正确的连接设备。

创建访问控制列表来满足我们所定义的需求;【网络拓扑】【实验步骤】第一步:配置Router1的端口IP地址:(注意:在配置之前我们先要明白ACL访问控制列表的工作原理;ACL访问控制列表的原理是它是以包过滤技术,在路由器上读取OSI7层模型的第三层和第四层包头中的信息,根据自己预先定义好的规则,对包进行过滤,从而来达到访问控制的目的。

我们在配置IP地址的时候肯定会不明白为什么所配置的I P地址不在一个网段?但是又怎么样才能让它们互相通信?根据拓扑图:我们所看到的E0/1和E0/2和E0/0它们分别互连着交换机、PC 机而我们这样做的原因就是为了ACL访问控制列表对流量的归类,AC L通过在接口路由器上接口出控制数据包是转发还是丢弃,来过滤通信流量。

路由器根据ACL访问控制列表中的条件来检测通过路由器的数据包是,从而来决定该数据包是转发还是丢弃!!!)第二步:配置Router2的端口IP地址:(注意:ACL访问控制列表分为最基本的两种,它们是标准访问控制列表和扩展访问控制列表:标准访问控制列表和扩展访问控制列表有什么区别呢?标准的访问控制列表检查被路由器的源地址。

结果是基于源网络/子网/主机的IP地址,来决定该数据包是转发还是拒绝该数据包;它所使用1~99之间的数字作为表号。

扩展访问控制列表是对数据包的源地址和目的地址均进行检查,它也可以检查特定的协议、端口号以及其他的修改参数。

它所使用的是100~199之间的数字作为表号;我们在这里只对标准访问控制列表和扩展访问控制列表进行说明;还有一些例如:基于时间的访问控制列表基于动态访问控制列表等一些新的类型、ACL的定义的是基于协议的。

项目五、访问控制列表

项目五、访问控制列表
明确需要控制的访问对象、配置访问控制列表,指 定允许或拒绝的访问规则。
2. 选择合适的控制方式
根据需求选择合适的控制方式,如IP地址、 端口、协议或用户角色。
4. 测试与验证
测试配置是否正确,确保访问控制列表按预 期工作。
配置示例
```
零信任网络架构
零信任网络架构强调对任何用户和设备的不信任,需要持续验证和授权。这种架构有助于降低内 部攻击风险,提高网络整体安全性。
应用拓展
物联网安全
金融行业应用
医疗保健行业应用
随着物联网设备的普及,访问 控制列表在物联网安全领域的 应用逐渐增多。通过为物联网 设备实施适当的访问控制策略 ,可以有效保护数据和设备安 全。
性能影响
虽然访问控制列表本身对网络性能的影响较小, 但是在大型网络中,过多的规则可能会导致路由 器的处理性能下降。
维护困难
随着网络的变化和安全需求的调整,访问控制列 表的规则可能需要经常修改和维护,增加了管理 员的工作量。
适用场景
安全需求较高的场景
对于对安全性要求较高的场景,如政府机构、金融行业等,访问控 制列表是一个很好的选择。
access-list 10 permit 192.168.1.0 0.0.0.255
配置示例
access-list 10 deny any interface GigabitEthernet0/0 ip access-group 10 in
配置示例
01
```
02
```
access-list 20 permit tcp any port 22
项目五:访问控制列表
目录
CONTENTS
• 访问控制列表简介 • 访问控制列表的配置 • 访问控制列表的优缺点 • 访问控制列表的安全性 • 访问控制列表的发展趋势

访问控制列表(ACL)配置

ACL(访问控制列表)一、基本:1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL,后面的ACL表不再检查2)、如果所有的ACL都不匹配,禁止所有的操作(隐含)特例,创建一个空的ACL表,然后应用这个空的ACL表,产生禁止所有的操作。

3)、后添加的ACL表,放在尾部4)、ALC表放置的原则:如果是基本ACL表,尽量放在目的端,如果是扩展ACL表,尽量放在源端5)、语句的位置:一般具体ACL表放在模糊的ACL表前6)、3P原则:每一个协议每一个接口每一个方向只有一个ACL表。

(多个ACL表会引起干扰)7)、应用ACL的方向,入站和出站,应用在接口上三、基本ACL表(不具体)1、定义命令:access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令:ip access-group <</span>编号> in/out 查看命令:sh access-lists1)、编号:1-99和1300-19992)、可以控制一台计算机或控制一段网络3)、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤:1、定义ACL表2、应用ACL表五、路由器在默认的情况下,对所有数据都是开放,而防火墙在默认情况下,对所有数据都禁止。

六:判断是流入还是流出,看路由器的数据流向七:注意:如果在写禁止,小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络(禁止)Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机(允许)Access-list 1 permit 172.16.1.1004、控制一个网段(允许)Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置:1)、使能密码2)、登录密码控制telnet服务应用端口命令:access-class <</span>编号> in/out 实例:只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例:。

访问控制列表(ACL)总结配置与应用

………… interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 101 in duplex auto speed auto
三、 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、 命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
R3#sh access-lists
Standard IP access list 1 10 deny 192.168.1.2 20 permit any
Extended IP access list sl_def_acl 10 deny tcp any any eq telnet log 20 deny tcp any any eq www log 30 deny tcp any any eq 22 log 40 permit ip any any log
允许还是拒绝; 如果不匹配第一条规则,则依次往下检查直到有一条匹配; 如果最后没有一条匹配规则,则路由器根据默认的规则丢弃数据包;
1
到达访问控制组接口的数据包
匹配
Y
第一条 Y
拒拒绝绝 拒拒绝绝 Y
N
匹配 下一条
Y
允允许许 允允许许
拒拒绝绝 Y
丢丢弃弃
N
允允许许
匹配 Y 下一条
N
隐含的
拒绝
拒拒绝绝
standard:标准 ACL; extended:扩展 ACL; access-list-name:ACL 名称,可以使用一个由字母、数字组合的字符串。

华为设备访问控制列表ACL的原理与配置


如何使用访问控制列表
防火墙配置常见步骤: 启用防火墙 定义访问控制列表 将访问控制列表应用到接口上
Internet
公司总部网络
启用防火墙
将访问控制列表应用到接口上
firewall { enable | disable }
1
firewall default { permit|deny }
2
display firewall
Internet
公司总部
内部网络
未授权用户
办事处
访问控制列表可以用于防火墙;
访问控制列表可以用于Qos(Quality of Service),对数据流量进行控制;
在DCC中,访问控制列表还可用来规定触发拨号的条件;
访问控制列表还可以用于地址转换;
在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。
3
防火墙的属性配置命令
在接口上应用访问控制列表
将访问控制列表应用到接口上 指明在接口上是OUT还是IN方向 在接口视图下配置: firewall packet-filter acl-number [inbound | outbound]
Ethernet0
访问控制列表101 作用在Ethernet0接口 在out方向有效
扩展访问控制列表操作符的含义
操作符及语法
意义
equal portnumber
等于端口号 portnumber
greater-than portnumber
大于端口号portnumber
less-than portnumber
小于端口号portnumber
not-equal portnumber
不等于端口号portnumber

访问控制列表(ACL)的配置

Router( config ) # access-list 10 permit 0.0.0.0 255.255.255.255 等同于: Router ( config ) # access-list 10 permit any host表示一台主机,例如: Router ( config ) # access-list 10 permit 172. 16. 30.22 0.0.0.0 等同于: Router ( config ) # access-list 10 permit host 172. 16. 30.22 另外,可以通过在access-list命令前加no的形式,来删除一个已经建立的 标准ACL,使用语法格式如下: Router ( config ) # no access-list access-list-number 例如: Router ( config ) # no access-list 10
(2)限制网络流量,提高
(4)提供网络访问的基本安全级别。
1.1.2 ACL的工作原理
一、工作原理 当一个数据包进入路由器的某一个接口时,路由 器首先检查该数据包是否可路由或可桥接。然后路由 器检查是否在入站接口上应用了ACL。如果有ACL,就 将该数据包与ACL中的条件语句相比较。如果数据包被 允许通过,就继续检查路由器选择表条目以决定转发 到的目的接口。ACL不过滤由路由器本身发出的数据包, 只过滤经过路由器的数据包。下一步,路由器检查目 的接口是否应用了ACL。如果没有应用,数据包就被直 接送到目的接口输出。
2、验证标准ACL
②show ip interface命令 该命令用于查看ACL作用在IP接口上的信息,并指出ACL是 否正确设置。 RTB# show ip interface Serial 0/0/0 is up,line protocol is up Internet address is 12.12.12.12/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

访问控制列表(Access Control List,ACL) 是路由器接 口的指令列表,用来控制端口进出的数据包。
ACL的作用
• ACL可以限制网络流量、提高网络性能。例如,ACL 可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,ACL可以限 定或简化路由更新信息的长度,从而限制通过路由器某一 网段的通信流量。 ACL是提供网络安全访问的基本手段。如图所示, ACL允许主机A访问人力资源网络,而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被 转发或被阻塞。例如,用户可以允许E-mail通信流量被路 由,拒绝所有的Telnet通信流量。
验证访问控制列表的命令
• 1、show access-list
• 2、show access-list number 显示特定列表 • 3、show ip access-list 只显示路由器上配 置的IP访问控制列表 • 4、show ip interface (显示哪些接口配置了 访问控制列表) • 5、show running-config (显示访问列表和 哪些接口设置了访问列表)
正确放置ACL的位置
• 根据减少不必要通信流量的通行准则,网管员应该尽可 能地把ACL放置在靠近被拒绝的通信流量的来源处,即 RouterA上。如果网管员使用标准ACL来进行网络流量限制, 因为标准ACL只能检查源IP地址,所以实际执行情况为:凡 是检查到源IP地址和网络1匹配的数据包将会被丢掉,即网 络1到网络2、网络3和网络4的访问都将被禁止。由此可见, 这个ACL控制方法不能达到网管员的目的。同理,将ACL放 在RouterB和RouterC上也存在同样的问题。只有将ACL放 在连接目标网络的RouterD上(E0接口),网络才能准确实 现网管员的目标。由此可以得出一个结论: 标准ACL要尽量 靠近目的端。
用不同的ACL号来区分
• 在路由器配置中,标准ACL和扩展ACL 的区别是由ACL的表号来体现的,上表指出 了每种协议所允许的合法表号的取值范围。
正确放置ACL的位置
• 访问控制列表配置好之后要与路由器具体的 按口关联,否则不会产生作用。 • ACL通过过滤数据包并且丢弃不希望抵达目 的地的数据包来控制通信流量。然而,网络能否 有效地减少不必要的通信流量,这还要取决于网 络管理员把ACL放置在哪个地方。 假设在图3所示的一个运行TCP/IP协议的网 络环境中,网络只想拒绝从RouterA的T0接口连 接的网络到RouterD的E1接口连接的网络的访问, 即禁止从网络1到网络2的访问。
ACL的分类
• • 目前有两种主要的ACL:标准ACL和扩展ACL。 这两种ACL的区别是,标准ACL只检查数据 包的源地址; 扩展ACL既检查数据包的源地址,也 检查数据包的目的地址,同时还可以检查数据包 的特定协议类型、端口号等。
不用ACL的使用范围
• 网络管理员可以使用标准ACL阻止来自某一 网络的所有通信流量,或者允许来自某一特定网 络的所有通信流量,或者拒绝某一协议簇(比如 IP)的所有通信流量。 扩展ACL比标准ACL提供了更广泛的控制范 围。例如,网络管理员如果希望做到“允许外来 的Web通信流量通过,拒绝外来的FTP和Telnet 等通信流量”,那么,他可以使用扩展ACL来达 到目的,标准ACL不能控制这么精确。
• router(config-if)#end • router#show run
配置时注意事项
• 在路由器中,如果使用ACL的表号进行配置, 则列表不能插入或删除行。如果列表要插入或删 除一行,必须先去掉所有ACL,然后重新配置。 • 这里需要特别注意的是,在ACL的配置中,如 果删掉一条表项,其结果是删掉全部ACL,所以 在配置时一定要小心。 • 在Cisco IOS11.2以后的版本中,网络可以使 用名字命名的ACL表。这种方式可以删除某一行 ACL,但是仍不能插入一行或重新排序 。
扩展ACL实例
目的:禁止市场部访问财务部的HTTP服务器
扩展ACL实例
• • • • router(config)#access-list 101 deny router(config)#access-list 1 permit any any router(config)#int fa0/0 (进入到接口) router(config-if)#ip access-group 1 out(应用)
第五讲
第五讲访问控制列表的功能与基 本配置
主讲内容
• 一、什么是访问控制列表,访问控制 列表的作用
• 二、标准访问控制列表的配置
• 三、扩展访问控制列表的配置
Hale Waihona Puke Egaccess-list 1 deny 172.16.40.0 0.0.0.255 access-list 1 permit any !
ACL的配置
• 第二步:在接口配置模式下,使用access-group命令ACL应 用到某一接口上: Router (config-if)# {protocol} access-group access-listnumber {in | out } 其中,in和out参数可以控制接口中不同方向的数据包, 如果不配置该参数,缺省为out。 ACL在一个接口可以进行双向控制,即配置两条命令, 一条为in,一条为out,两条命令执行的ACL表号可以相同, 也可以不同。但是,在一个接口的一个方向上,只能有一个 ACL控制。 值得注意的是,在进行ACL配置时,网管员一定要先在 全局状态配置ACL表,再在具体接口上进行配置,否则会造 成网络的安全隐患。
标准ACL实例
目的:阻止销售部访问财务部
标准ACL实例
• router(config)#access-list 1 deny 172.16.40.0 0.0.0.255 • router(config)#access-list 1 permit any • router(config)#int fa0/0 (进入到接口) • router(config-if)#ip access-group 1 out(应用)
ACL的配置
ACL的配置分为两个步骤: 第一步:在全局配置模式下,使用下列命 令创建ACL: • Router (config)# access-list access-listnumber {permit | deny } {test-conditions} 其中,access-list-number为ACL的表号。 人们使用较频繁的表号是标准的IP ACL(1— 99)和扩展的IP ACL(100-199)。
• router(config-if)#end • router#show run
show run显示信息
• • • • • • • • • • • • • • • • • interface FastEthernet0/0 ip address 172.16.50.1 255.255.255.0 ip access-group 1 out duplex auto speed auto interface FastEthernet0/1 ip address 172.16.40.1 255.255.255.0 duplex auto speed auto ! interface Ethernet0/0/0 ip address 172.16.60.1 255.255.255.0 duplex auto speed auto ! access-list 1 deny 172.16.40.0 0.0.0.255 access-list 1 permit any
正确放置ACL的位置
• 网管员如果使用扩展ACL来进行上述控制, 则完全可以把ACL放在RouterA上,因为扩展ACL 能控制源地址(网络1),也能控制目的地址(网 络2),这样从网络1到网络2访问的数据包在 RouterA上就被丢弃,不会传到RouterB、 RouterC和RouterD上,从而减少不必要的网络流 量。因此,我们可以得出另一个结论:扩展ACL 要尽量靠近源端
ACL的执行过程
• ACL的执行过程 一个端口执行哪条ACL,这需要按照列表中的条件语句执行 顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相 匹配,那么后面的语句就将被忽略,不再进行检查。 ACL具体的执行流程见图2。 在图2中,数据包只有在跟第一个判断条件不匹配时,它才 被交给ACL中的下一个条件判断语句进行比较。如果匹配(假设 为允许发送),则不管是第一条还是最后一条语句,数据都会立 即发送到目的接口。如果所有的ACL判断语句都检测完毕,仍没 有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。 这里要注意,ACL不能对本路由器产生的数据包进行控制。