当前位置:文档之家 › 中小企业网络管理:ACL访问控制列表

中小企业网络管理:ACL访问控制列表

  • 格式:doc
  • 大小:749.50 KB
  • 文档页数:17

下载文档原格式

  / 17

合集下载

访问控制列表ACL

访问控制列表ACL
5.创建ACL:设置ACL是需要给每一个协议的ACL指定一个特定的数字,以标识这个ACL,标准ACL:1~99 扩展ACL 100~199
以下命令:
router(config)#access-list+ACL编号+permit|deny+测试条件 // 创建ACL并向其中添加一条命令语句。
为了使用ACL的安全特性,我们最起码要在边界路由器上使用ACL。
当路游戏配置了ACL时,如果通过了验证,路由器就将其进行转发,如果没有通过验证路由器就将其丢弃
当创建了ACL后,可以将其绑定到路由器的入口或者出口,分别可以成为入栈ACL和出栈ACL
4.注意事项:
一 因为ACL包含了一条隐含语句:拒绝所有,因此使用ACL要小心,至少ACL中要有一条允许语句,否则所有数据都将被ACL拒绝。
二 为网络访问提供基本的安全层。ACL可以限定或减少路由更新的内容,这些限定,可以用于限制关于某个特定网络的信息传播到整个网络。假如不在路由器上配置ACL,所有流经路由器的数据包都允许进入网络的所有部分。
三 决定转发或阻止哪些类型的数据流。例如可以允许数据的email的数据流,而阻止telnet的数据流。
172.16.144.0
ip地址 172.16.10010000.0
翻转掩码 0.0.00001111.255
可用的网络 172.16.10010001.0 =172.16.145.0
8.标准ACL配置
例子:
er(config)#access-list 1 permit 191.5.34.0 0.0.0.255
router(config)#access-list 1 permit 128.88.0.0 0.0.0.255

访问控制列表ACL

访问控制列表ACL
Router(config)#interface fastthernet 0/0 Router(config-if)#ip access-group 101 out
扩展ACL应用2: 拒绝telnet流量通过E0
❖ 第一步,创建拒绝来自172.16.4.0、去往 172.16.3.0、telnet流量的ACL
Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 101 out
命名的访问控制列表2-1
❖ 标准ACL和扩展ACL中可以使用一个字母数字组 合的字符串(名字)代替来表示ACL的表号
❖ 命名IP访问列表允许从指定的访问列表删除单个 条目
拒绝 Icmp消息
允许 转发数据包
扩展访问控制列表4-4
端口号
20 21 23 25 42 53 69 80
关键字
FTP TELNET SMTP NAMESERVER DOMAIN TFTP WWW
描述
(文件传输协议)FTP(数据) (文件传输协议)FTP 终端连接 简单邮件传输协议 主机名字服务器 域名服务器(DNS) 普通文件传输协议(TFTP) 万维网
扩展访问控制列表的配置3-2
操作符及语法 eq portnumber gt portnumber lt portnumber neq portnumber
意义 等于端口号 portnumber 大于端口号portnumber 小于端口号portnumber 不等于端口号portnumber
扩展访问控制列表操作符的含义
Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group cisco out

访问控制列表(ACL)配置

访问控制列表(ACL)配置

ACL(访问控制列表)一、基本:1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL,后面的ACL表不再检查2)、如果所有的ACL都不匹配,禁止所有的操作(隐含)特例,创建一个空的ACL表,然后应用这个空的ACL表,产生禁止所有的操作。

3)、后添加的ACL表,放在尾部4)、ALC表放置的原则:如果是基本ACL表,尽量放在目的端,如果是扩展ACL表,尽量放在源端5)、语句的位置:一般具体ACL表放在模糊的ACL表前6)、3P原则:每一个协议每一个接口每一个方向只有一个ACL表。

(多个ACL表会引起干扰)7)、应用ACL的方向,入站和出站,应用在接口上三、基本ACL表(不具体)1、定义命令:access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令:ip access-group <</span>编号> in/out 查看命令:sh access-lists1)、编号:1-99和1300-19992)、可以控制一台计算机或控制一段网络3)、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤:1、定义ACL表2、应用ACL表五、路由器在默认的情况下,对所有数据都是开放,而防火墙在默认情况下,对所有数据都禁止。

六:判断是流入还是流出,看路由器的数据流向七:注意:如果在写禁止,小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络(禁止)Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机(允许)Access-list 1 permit 172.16.1.1004、控制一个网段(允许)Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置:1)、使能密码2)、登录密码控制telnet服务应用端口命令:access-class <</span>编号> in/out 实例:只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例:。

ACL在中小型企业网络中的应用

ACL在中小型企业网络中的应用

技术TechnologyACL在中小型企业网络中的应用于本成 陈彦 杨勇( 徐州工业职业技术学院,江苏 徐州 221000 )摘 要:关 键 词:现如今,各个企业为了方便业务开展和提高工作效率,都将网络应用引入企业的日常工作。

但员工使用网络的随意性,对网络的性能和安全造成巨大威胁。

为保障网络畅通,就要设法拒绝非法的外网访问,严格控制上网时间。

若通过网络安全设备来管理整个网络,就大大增加了企业的额外开销。

因此,对于这些问题,我们都可以通过网络控制来完成,利用ACL访问控制列表来进行企业网络安全的管理与维护。

网络安全;网络控制;ACLAbstract: Keywords: Abstract: In order to facilitate business development and improve efficiency, every enterprise introduces network application of daily work, but the employees use the net as one pleases, performance and safety of network were faced a great threat. For the smooth of network, and limit access to web sites and online time, also want to refuse illegal access, To manage the entire network by the network security equipment will greatly increase the enterprise overhead. Thus, for these problems can be accomplished through network control, using the ACL access control list to improve the enterprise network security management and maintenance.Network security; Network control; ACL随着网络应用在企业运营中的作用越来越重要,网络的应用为不同企业之间的合作,企业内部部门之间通信,以及资源的共享提供了途径;但同时网络互联也导致了企业的资料和各部门之间数据的保密性降低,影响了企业的信息安全。

acl访问控制列表规则

acl访问控制列表规则

acl访问控制列表规则ACL(Access Control List)访问控制列表是网络设备中一种非常重要的安全机制,用于控制网络流量的进出。

ACL规则是一组用于过滤网络流量的条件和动作。

本文将介绍ACL规则的概述、常见的ACL规则类型、ACL规则的格式以及编写ACL规则时需要考虑的一些关键因素。

ACL规则概述:ACL是一种在网络设备中实现流量过滤和网络访问控制的方法。

它根据预先定义的规则,对网络流量的源IP地址、目标IP地址、端口号等进行匹配,然后根据匹配结果决定是否允许流量通过。

通过配置ACL规则,网络管理员可以控制哪些流量可以进入网络,哪些流量可以离开网络,以增加网络的安全性和性能。

常见的ACL规则类型:1. 标准ACL规则:基于源IP地址来过滤流量,仅可以控制流量的进入。

2. 扩展ACL规则:可以基于源IP地址、目标IP地址、协议、端口号等多个条件来过滤流量,可以控制流量的进入和离开。

3. 命名ACL规则:可以给ACL规则设置名称,方便管理和维护。

ACL规则格式:ACL规则的格式通常包括以下几个部分:1. 序号:每条ACL规则都有一个唯一的序号,用于确定规则的优先级。

序号从1开始,按照递增的顺序执行规则。

2. 条件:ACL规则的条件部分描述了要匹配的流量的属性。

常见的条件包括源IP地址、目标IP地址、协议、端口号等。

3. 动作:ACL规则的动作部分描述了匹配条件后执行的操作。

常见的动作包括拒绝(Deny)和允许(Permit)。

编写ACL规则的关键因素:1. 流量方向:明确规定ACL规则是用于控制流量的进入还是离开。

2. 条件的选择:根据实际需求选择合适的条件,例如源IP地址、目标IP地址、协议、端口号等。

3. 规则的顺序:根据实际需求合理排序ACL规则,确保执行的顺序正确。

4. 规则的优先级:根据ACL规则的序号确定规则的优先级,越小的序号优先级越高。

5. 记录和审查:记录ACL规则的变更和审查规则的有效性是一个重要的管理步骤。

网络安全之——ACL(访问控制列表)

网络安全之——ACL(访问控制列表)

网络安全之——ACL(访问控制列表)网络安全之——ACL(访问控制列表)【实验目的】1、掌握基本ACL的原理及配置方法。

2、熟悉高级ACL的应用场合并灵活运用。

【实验环境】H3C三层交换机1台,PC 3台,标准网线3根。

【引入案例1】某公司建设了Intranet,划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门,各部门之间通过三层交换机(或路由器)互联,并接入互联网。

自从网络建成后麻烦不断,一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱,一会儿财务部抱怨研发部的人看了不该看的数据,一会儿领导抱怨员工上班时候整天偷偷泡网,等等。

有什么办法能够解决这些问题呢?【案例分析】网络应用与互联网的普及在大幅提高企业的生产经营效率的同时也带来了许多负面影响,例如,数据的安全性、员工经常利用互联网做些与工作不相干的事等等。

一方面,为了业务的发展,必须允许合法访问网络,另一方面,又必须确保企业数据和资源尽可能安全,控制非法访问,尽可能的降低网络所带来的负面影响,这就成了摆在网络管理员面前的一个重要课题。

网络安全采用的技术很多,通过ACL (Access Control List,访问控制列表)对数据包进行过滤,实现访问控制,是实现基本网络安全的手段之一。

【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法,是包过滤防火墙的一种重要实现方式。

ACL是在网络设备中定义的一个列表,由一系列的匹配规则(rule)组成,这些规则包含了数据包的一些特征,比如源地址、目的地址、协议类型以及端口号等信息,并预先设定了相应的策略——允许(permint)或禁止(Deny)数据包通过。

基于ACL的包过滤防火墙通常配置在路由器的端口上,并且具有方向性。

每个端口的出站方向(Outbound)和入站方向(Inbound)均可配置独立的ACL 进行包过滤。

出方向过滤基于ACL的包过滤当路由器收到一个数据包时,如果进入端口处没有启动ACL包过滤,则数据包直接提交路由器转发进程处理,如果进入端口处启动了ACL包过滤,则数据交给入站防火墙进行过滤,其工作流程如图所示。

ACL访问控制列表


或 HTTP。
ACL 工作原理

入站 ACL 传入数据包经过处理之后才会被路由到出站接口。 入站 ACL 非常高效,如果数据包被丢弃,则节省了执行路由查 找的开销。当测试表明应允许该数据包后,路由器才会处理路 由工作.
ACL 工作原理

出站 ACL 传入数据包路由到出站接口后, 由出站 ACL 进行处理.
编辑编号 ACLs

对 ACL 添加注释:
创见标准命名 ACLs
图中显示了创建标准命名 ACL 的步骤. Step 1.进入全局配置模式,使用 ip access-list 命令创建命名 ACL。ACL 名 称是字母数字,必须唯一而且不能以数字 开头. Step 2.在命名 ACL 配置模式下,使用 permit 或 deny 语句指定一个或多个条件, 以确定数据包应该转发还是丢弃. Step 3. 使用 end 命令返回特权执行模式.
主机. 您希望本地网络中的主机子网能够访问受防火墙保护的远程网络上的主机.
自反 ACLs

什么是自反ACLs?
此类 ACL 使路由器能动态管理会话流量.
路由器检查出站流量,当发现新的连接时,
便会在临时 ACL 中添加条目以允许应答流量 进入. 自反 ACL 仅包含临时条目.
自反 ACL 还可用于不含 ACK 或 RST 位的 UDP 和 ICMP. 自反 ACL 仅可在扩展命名 IP ACL 中定义.
源 IP 地址
目的 IP 地址 ICMP 消息类型

ACL 也可以提取上层信息并根据规则对其进行测试。 上层信息包括:
TCP/UDP 源端口
TCP/UDP 目的端口
数据包过滤

访问控制列表(ACL)的配置

访问控制列表(ACL)的配置
目录
• ACL的基本概念 • ACL的配置步骤 • ACL的常见应用场景 • ACL配置的注意事项 • ACL的发展趋势与未来展望 • 案例分析
01 ACL的基本概念
定义与作用
定义
访问控制列表(ACL)是一种安全机制 ,用于对网络设备的数据包进行过滤 ,以控制对网络资源的访问。
网络设备访问控制
路由器访问控制
通过ACL配置,可以限制对路由器特定端口的访问,保护路 由器免受非法访问和恶意攻击。
交换机端口访问控制
在交换机上配置ACL,可以限制特定MAC地址或IP地址的计算 机访问特定的端口,防止未经授权的设备接入网络。
服务器资源保护
文件服务器保护
通过ACL配置,可以限制用户对服务器上特定文件夹或文件的访问,确保敏感数据不被非法获取或篡 改。
规则的冗余与冲突
要点一
总结词
避免规则的冗余和冲突是ACL配置的重要考虑因素。
要点二
详细描述
在配置ACL时,需要避免规则的冗余和冲突。冗余的规则 会增加配置的复杂性和维护成本,而冲突的规则会导致数 据包的处理结果不确定。为了避免冗余和冲突,需要对每 一条规则进行仔细的审查和测试,确保其作用明确且不会 与其他规则产生冲突。同时,可以采用一些工具和技术来 检测和解决规则的冗余和冲突问题。
05 ACL的发展趋势与未来展 望
ACL技术的演进
传统ACL
基于端口和IP地址的访问控制,适用于简单的网络环 境。
扩展ACL
增加了协议和端口的匹配,能够实现更精细的访问控 制。
基于上下文的ACL
结合网络流量的上下文信息,实现更智能的访问控制。
ACL在云计算中的应用
01

网络访问控制列表

网络访问控制列表网络访问控制列表(Network Access Control List,简称ACL)是一种网络安全机制,用于限制网络设备上的访问控制。

通过ACL,网络管理员可以根据需要控制特定网络资源的访问权限,提高网络的安全性和可管理性。

本文将介绍ACL的概念、分类、配置和优化等方面内容,帮助读者更好地理解和应用ACL。

一、概述ACL是一组规则,用于过滤和控制网络设备上数据包的流动。

它基于源IP地址、目的IP地址、协议类型、端口号等信息匹配和处理数据包。

通过对数据包执行允许或拒绝的操作,ACL可以限制网络用户的访问权限,提高网络的安全性。

二、分类根据作用位置和功能,ACL可以分为三类:入站ACL、出站ACL 和虚拟专用网络(VPN)ACL。

1. 入站ACL入站ACL位于网络设备的入站接口上,检查从外部网络进入本地网络的数据包。

它用于限制外部网络对本地网络的访问权限。

入站ACL通常用于控制流量进入的方向和方式,保护本地网络资源不受未经授权的访问。

2. 出站ACL出站ACL位于网络设备的出站接口上,检查从本地网络出发进入外部网络的数据包。

它用于限制本地网络对外部网络的访问权限。

出站ACL通常用于控制流量离开本地网络的方向和方式,防止敏感信息泄露或遭受未经授权的访问。

3. VPN ACLVPN ACL用于控制虚拟专用网络中数据包的访问权限。

在VPN网络中,数据包在通过互联网传输时,需要经过加密和解密等操作。

VPN ACL通过限制哪些数据包可以进入VPN、哪些数据包可以离开VPN,帮助确保VPN网络的安全性和可控制性。

三、配置与应用与配置ACL相关的主要步骤包括:确定访问策略、创建ACL规则、应用ACL到接口。

以下是一种常见的ACL配置示例:```access-list 100 permit tcp any host 10.0.0.1 eq 80access-list 100 permit udp any host 10.0.0.2 eq 53access-list 100 deny ip any anyinterface GigabitEthernet0/0ip access-group 100 in```上述配置示例的含义是允许源任意IP地址的TCP流量访问目标为10.0.0.1的80端口,允许源任意IP地址的UDP流量访问目标为10.0.0.2的53端口,并拒绝其他所有IP流量。

中小型企业络安全解决方案【利用ACL服务保障中小型企业络安全】


数据包从 Fa0/1 转发到 Fa0/2 口,没有 Inbound 和 Outbound 的概念。 ACL 是应用在路由器的入口方向〔Inbound〕时,则先推断 ACL,然后再进
4. ACL 的工作流程
行路由选择。
ACL 可被应用在路由器的入口和出口方向上,并且一台路由器上可以
5.ACL 的使用位置
某一类的数据流。为了不让无用的流量占据网络带宽,一般我们将扩展 ACL 放在离源端比较近的地方。
6.结束语 总之,ACI 也是一把双刃剑,在实现对数据流更精确划分的同时,也 牺牲了设备的转发性能。好的服务质量与更高的转发性能,在硬件处理能 力肯定的状况下,就是此长彼消的。这也是在 IP 网络领域中运营商和设 备供应商不得不面对的事实。就需要 ISP 依据现网的业务需求做相应的权 衡了。 目前,在 IP 网络领域中,ACI 从技术更新到实现,还有很大的进展 空间:效率更好的硬件支持,更合理、快速的硬件管理机制,更切实的应 用场合。这些都将伴随 IP 网络进展的需求,摆在人们的面前。但是,更 合理的服务质量,更切实际的 ACL 应用,也将会在 IP 网络的服务质量和 网络安全领域展开全新的一页。
[摘 要] ACL 服务即访问操纵列表,访问操纵列表是路由交换设备的 规则的数据包,才同意通过该节点而转发到相应的输出接口,从而到达对
一组条件操纵指令列表,是实现包过滤技术的核心内容,它是一种数据流 数据的访问进行操纵。
分类和过滤技术,在网络安全中发挥着重要的作用是用来过滤与操纵进出
如图 1 所示,在路由器 R 部署 ACL 后,在来自Internet 中未授权的用户
的流量,有在线聊天的流量,有在线电影的流量,也有网络下载的流量, 以对入站接口、出站接口以及通过路由器中继的数据包进行安全检测。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

现在网络是越来越复杂,网络数据也呈现出多样化,作为网络管理员必须能够拒绝不良的访问,同时又要允许正常的访问。

当然现在有很多技术都可以实现,我们今天来看在企业网络管理中怎么利用Cisco路由ACL来实现访问控制。

路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,什么样的数据包不应该通过;这些规则就是通过ACL来定义的。

ACL全称是:AccessControlList,中文就是访问控制列表。

ACL是由permit或deny语句组成的一系统有顺序的规则组成,这些规则根据数据包的源地址、目标地址、端口号等来描述。

ACL通过这些规则对数据包进行分类,并将规则应用到路由器的某个接口上,这样路由器就可以根据这些规则来判断哪些数据包可以接收,哪些数据包需要拒绝。

从而实现网络的安全性,因此我们总结ACL主要目的很简单就是允许、拒绝数据包通过路由器;允许或拒绝Telnet会话的建立。

当然路由器上默认是没有ACL的也就是说默认情况下任何数据包都可以通过。

就像如果你们单位没有保安,那么任何人的出入都不会受到限制。

那么就会给单位的财产带来不安全的因素。

因此,可以在单位门口设置一个保安部,那么这个保安就会看如果是本单位的人进入,直接通过,如果不是就要盘问一番,如果是“良民”就大大的放行,如果是“日军”,就统统的“八个牙路”那么同理我们也可以在路由器的某个接口上设置这么一个保安,检查通过该接口上的每一个数据包,符合某个条件的通过,或者是符合某个条件的不允许通过。

从而实现对数据包过滤的作用。

我们所说的ACL分为两种:标准和扩展标准ACL,如下图所示:▲标准ACL大家从图中可以看出,标准ACL只检查数据包中的源地址,至于数据帧头是HDLC,数据报头是TCP,标准ACL统统不管,就认一个源IP头,也就是说标准ACL只会检查IP数据包的源地址,然后根据是否满足条件来决定是允许还是拒绝整个协议集。

扩展ACL,如下图所示:▲扩展ACL扩展ACL比标准ACL检查的东西要多,检查源地址、目的地址、协议以及相应端口;即扩展ACL可以结合这四个参数来决定是允许还是拒绝某个特殊的协议如TCP,UDP,ICMP等等。

所以扩展ACL的功能比标准ACL 的功能要强!那么如何定义标准或者是扩展ACL呢?ACL的定义可以分为两类:1使用数字号码范围来定义2使用名字来定义1.使用数字号码范围定义:标准ACL的范围是1-99,扩展范围1300-1999扩展ACL范围是100-1999,扩展范围2000-2699在此为什么使用扩展范围呢,主要是因为现在的网络规模和网络的复杂性都在增加,原来的号码范围可能已经不能满足需要,所以推出扩展范围。

2.使用名字来定义我们前面所介绍的标准ACL还是扩展ACL有一个使用起来很不方便的地方,就是如果在设置ACL的时候,如果发现中间有某个设置的不正确,希望删除某一条,是做不到的,那么就可以使用命名ACL,可以为每个ACL定义一个形象的名字。

好处是可以对ACL中的每一个具体的规则进行处理,但如果是使用数字的话,只能是删除全部规则,不能删除其中一个规则。

这样的话在大型网络中就不是很方便,而使用命名ACL可以解决这个问题:语法也很简单:(config)#ipaccess-listextended/standareddufei注意:标准和扩展都可以创建命名ACL然后在创建规则:如Permit10.10.10.100.0.0.0Perimit20.20.20.20.0.0.0.0Deny30.30.30.300.0.0.0那如果我们希望删除其中一个如第一个,则使用nopermit10.10.10.100.0.0.0即可,其他的仍然存在。

访问控制列表还涉及到一个进站和出站的问题,也就是数据包的流向是进方向还是出方向。

当然是进还是出要看具体情况,有的时候可以应用在任何一个上面。

有的时候就必须唯一确定。

我们看一下出站方向上的ACL应用,我们还是从一个图入手,如下图所示:▲ACL应用分析:1.数据包通过入站接口进入路由器,此时开始查找路由表中是否有匹配的路由条目,如果没有,则直接将其丢弃。

这一步和ACL还没有任何关系,只是没有相应路由,就无法转发数据包,所以在此也需要说明一点,ACL也必须在数据包能够被路由的基础之上才起作用。

2.如果路由表中有相应的路由条目才被路由到一个相应的接口上。

3.查看该接口是否有ACL的配置,如果没有则立即被转发,如果设置了ACL,则检查该数据包是否匹配ACL 规则。

如果匹配并规则中明确该数据包可以正常转发。

否则丢弃!注意:如果ACL测试规则中没有明确指定数据包通过,则说明此数据包没有与相关的规则匹配,那么还有一个隐含的规则就是denyall,这一点和微软的ISA是一样的,安装好防火墙就有一个默认规则拒绝一切,可以说是“六亲不认”!下面咱们就来细说一下ACL规则测试,如下图:▲ACL规则如图所示,在ACL中可以有多个规则。

如图:假设在ACL中有三个明确规则,则数据包进入后首先匹配第一个规则,如果数据包匹配该规则并设置为permit,则数据包被转发,如果数据包也匹配该规则,但却被设置为deny,则数据包直接被丢弃。

如果第一个规则不匹配则该数据包继续向前走,此时再检查是否匹配第二个规则,如果匹配并设置为permit,则该数据包被转发,如果匹配但被设置为deny则被丢弃。

如果第二个规则也不匹配则继续向前走,此时遇到第三个规则,同时还是检查是否匹配,如果匹配并设置为permit,同样也可以被转发,如果被设置为deny,则被丢弃。

如果第三个是规则是最后一个,该数据包都没有匹配,注意:1.规则最后千万不要忘记还有一个隐含规则:DenyALL!!!2.在此还需要注意,Cisco的ACL规则完全是按照规则编写的顺序进行的。

所以最精确的规则应当写在最上方,否则将被大范围的规则所覆盖而导致设置失效。

如拒绝一台主机访问外网,必须先写拒绝这一台,然后再写运行所有,那如果顺序错了,运行所有在上面,拒绝一台在下面,系统会检查一个数据包,发现任何一个数据包都可以通过,就直接转发了,下面的一条就不起作用了!3.必须先创建ACL,再应用到相应的接口上4.ACL不能过滤路由器自己产生的数据。

ACL理论东西没有太多,也很简单,下面咱们来看一下标准控制列表的配置过程,其实不论是标准还是扩展ACL的配置主要就是两个命令1设置访问控制列表Router(config)#access-listacl_numberpermit|deny{}2在接口上应用访问控制列表Ipaccess-groupacl_numberin|out这里可以是某个接口,也可以是VTY,Qos等应用中。

其中in代表是入站方向,out代表的是出站方向。

那么标准ACL就显得更简单了,如:Access-listacl_number{permit|deny}source[mask]其中acl_number指的是ACL编号范围:1-99或1300-1999Permit表示通过Deny表示拒绝Source代表的是源地址,可以是某一个主机或是一个网段Mask掩码,但需要注意的是ACL支持的是反掩码,所以在设置的时候一定要注意。

但我们有时候可能会在source前面加上host或是any,这又是什么用意呢?Host不是必须的,但是当匹配一个特定的主机地址时是非常有用的。

也就是使用host的时候是匹配的某一个具体的主机,是一个精确匹配,此时的反掩码则0.0.0.0如:1Access-list10permit10.10.10.00.0.0.255表示的是一个网段10.10.10.0,表示匹配该网段的所有数据报文。

2access-list10permit10.10.10.100.0.0.0表示匹配源地址是10.10.10.10这一个具体的主机,这个语句可以写成access-list10permithost10.10.10.10Any也不是必须的,但是如果是匹配所有报文时是非常有用的,表示匹配所有的地址,是0.0.0.0255.255.255.255的简写如:Access-list10permit0.0.0.0255.255.255.255表示所有数据包通过,此语句可以写成:Access-list10permitany下面结合几个小实例来看一下标准ACL的具体配置过程:我们所参考的拓扑图如下:▲实验拓扑图我们结合这个拓扑来做三个实验:实例1:我们只允许192.168.10.0与192.168.20.0两个网段可以通讯Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfacefa0/0Router(config-if)#ipaddress192.168.10.1255.255.255.0Router(config-if)#noshutdownRouter(config-if)#exitRouter(config)#interfacefa0/1Router(config-if)#ipaddress192.168.20.1255.255.255.0Router(config-if)#noshutdownRouter(config-if)#exitRouter(config)#interfacee1/0Router(config-if)#ipaddress192.168.30.1255.255.255.0Router(config-if)#noshutdown现在默认情况下,三个网段之间是可以进行正常通讯的,如图:▲配置前那么下面我们怎么做才能只让10.0和20.0通讯呢,具体配置如下:Router>enableRouter#conftRouter(config)#access-list1permit192.168.10.00.0.0.255 Router(config)#access-list2permit192.168.20.00.0.0.255 Router(config)#interfacefa0/0Router(config-if)#ipaccess-group2outRouter(config-if)#exitRouter(config)#interfacefa0/1Router(config-if)#ipaccess-group1outRouter(config-if)#exitRouter(config)#然后测试如下:▲配置后刚才我们是匹配的整个网段,下面咱们看如何匹配一个具体的主机:实例2:我们不允许192.168.10.10可以访问非192.168.20.0网段,也就是不允许192.168.10.10这一台机器访问192.168.30.0网段具体配置如下:Router>enableRouter#conftRouter(config)#access-list1deny192.168.10.100.0.0.0Router(config)#access-list1permitanyRouter(config)#interfacee0/2Router(config-if)#ipaccess-group1out此时再来测试:▲禁止某一主机大家可以看到和192.168.20.0网段通讯没有问题,但是和192.168.30.0网段就不行,这就是对某一台机器进行精确匹配,那么如果我们把192.168.10.10的IP改为192.168.10.100又如何呢?▲调整IP发现又可以通讯了,因为和我们所设置的规则不匹配了!同时我们也是通过几个实例来具体看一下扩展ACL的配置,关于标准ACL与扩展ACL的区别,我们在前面已经做了介绍,在此不再累述,下面看具体的匹配命令;1创建ACL:Access-listACL_numberpermit|denyprotocolsourewildcard[port]destinationwaildcard[port]大家一看就觉得比标准ACL要复杂点,这要可以指定源地址,目标地址,使用的协议以及使用的端口号等,当然还可以使用log来指定日志服务器,在此不作讲解!2在接口上应用ACLIpaccess-groupACL_numberin|out下面咱们还是通过具体的实例来掌握扩展ACL的应用实例3:我们拒绝192.168.20.0telnet到192.168.10.0上的任何一个主机上!▲拓扑图具体配置如下:Router>enableRouter#confterminalRouter(config)#access-list101denytcp192.168.20.00.0.0.255192.168.10.00.0.0.255eq23Router(config)#access-list101permitipanyany注意:默认有一个denyall接下来要应用以相应的接口上,例如出端口E0/0Router(config)#interfacee0/0Router(config-if)#ipaccess-group101out配置还是很简单的!只不过需要注意有的服务是有辅助端口的,所以一定要把辅助端口一起封!如,如果需要封FTP服务器,则需要使用两条语句:Router(config)#access-list100denytcp192.168.20.00.0.0.255192.168.10.00.0.0.255eq21 Router(config)#access-list100denytcp192.168.20.00.0.0.255192.168.10.00.0.0.255eq20 查看某上端口上应用的访问控制列表,我们可以使用命令:show ip interface接口,如图:▲查看接口还可以查看所有的访问控制列表:show access-lists▲查看ACL表反向ACL的用途反向访问控制列表属于ACL的一种高级应用。