Cisco访问控制列表
- 格式:doc
- 大小:150.00 KB
- 文档页数:10
浅谈Cisco 访问控制列表配置及应用
什么是ACL?
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层(会话层和传输层)包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器、防火墙上支持,现在已经扩展到三层交换机、二层交换机了。
一般是应用在路由器、三层交换机接口或vlan接口上。这些规则用来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝。
原理:
ACL使用包过滤技术检查包头实现过滤。
作用:
1、可以限制网络流量、提高网络性能;
2、提供对通信流量的控制手段,提供网络安全访问的基本手段;
3、可以在路由器端口处决定哪种类型的通信流量被转发或被阻止。
基本分类:
标准访问控制列表
扩展访问控制列表
基于名称的访问控制列表
反向访问控制列表
基于时间的访问控制列表
1、标准访问控制列表:只检查数据包的源地址。
2、扩展访问控制列表:对数据包的源地址与目标地址均进行检查。也能检查特定的协议、端口号以及其他参数。
3、基于时间的访问控制列表:我们通过这个时间段和扩展ACL的规则结合就可以指定出针对自己公司特定时间段开放网络或禁用网络。也可以定义工作日和周末
3、我们比较常用的是给予名称的访问控制列表,可根据部门或者vlanID建立访问控制列表,比较灵活,后期维护方便查找使用
工作原理:
ACL是一组规则的集合,它应用在路由器的某个接口上。对路由器而言,访问控制列表有两个方向:出站和入站。
如果对接口应用了访问控制列表,那么路由器将对数据包进行顺序检查,采取优先匹配规则(即如果一条规则匹配则下面规则不在检查)
标准访问列表:
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。
标准访问控制列表的格式:
标准访问控制列表是最简单的ACL。
它的具体格式如下:access-list ACL号permit|deny host ip地址
例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。
当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255
通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。
小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host 命令。
标准访问控制列表实例一:
网络环境介绍:
我们采用如图所示的网络结构。路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。
实例1:禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。172.16.4.13可以正常访问172.16.3.0/24。
路由器配置命令
access-list 1 permit host 172.16.4.13 设置ACL,容许172.16.4.13的数据包通过。
access-list 1 deny any设置ACL,阻止其他一切IP地址进行通讯传输。
int e 1进入E1端口。
ip access-group 1 in将ACL 1宣告。
经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。
小提示:由于CISCO默认添加了DENY ANY的语句在每个ACL中,所以上面的access-list 1 deny any这句命令可以省略。另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告,宣告结果和上面最后两句命令效果一样。
标准访问控制列表实例二:
配置任务:禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问,而172.16.4.0/24中的其他计算机可以正常访问。
路由器配置命令:
access-list 1 deny host 172.16.4.13设置ACL,禁止172.16.4.13的数据包通过access-list 1 permit any设置ACL,容许其他地址的计算机进行通讯
int e 1进入E1端口
ip access-group 1 in将ACL1宣告,同理可以进入E0端口后使用ip access-group 1 out来完成宣告。
配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯,传输数据包。
总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。
扩展访问控制列表:
上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号为100到199。
扩展访问控制列表的格式:
扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下:access-list ACL号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]
例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。
小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列