当前位置:文档之家 › 访问控制列表ACL

访问控制列表ACL

  • 格式:doc
  • 大小:287.00 KB
  • 文档页数:13

下载文档原格式

  / 17
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

访问控制列表ACL

一:访问控制列表概述

〃访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。

〃工作原理:它读取第三及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。

〃实际应用:阻止某个网段访问服务器。

阻止A网段访问B网段,但B网段可以访问A网段。

禁止某些端口进入网络,可达到安全性。

二:标准ACL

〃标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段,则该网段下所有主机以及所有协议都被禁止。如禁止了A网段,则A网段下所有的主机都不能访问服务器,而B网段下的主机却可以。

用1----99之间数字作为表号

一般用于局域网,所以最好把标准ACL应用在离目的地址最近的地方。

〃标准ACL的配置:

router(config)#access-list表号 deny(禁止)网段/IP地址反掩码

********禁止某各网段或某个IP

router(config)#access-list表号 permit(允许) any

注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。

router(config)#interface 接口 ******进入想要应用此ACL的接口(因为访问控制列表只能应用在接口模式下)

router(config-if)#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN

其中router(config)#access-list 10 deny 192.168.0.1

0.0.0.0 =

router(config)#access-list 10 deny host 192.168.0.1

router(config)#access-list 10 deny 0.0.0.0

255.255.255.255 =

router(config)#access-list 10 deny any

router#show access-lists ******查看访问控制列表。

〃标准访问控制列表的工作原理。

(每当数据进入路由器的每口接口下,都会进行以下进程。)

注:当配置访问控制列表时,顺序很重要。要确保按照从具体到普遍的次序来排列条目。

如:想要拒绝一个具体的主机地址并且允许其他主机,那么要确保有关这个具体主机的条目最新出现。

例:

图1

拓扑结构如图1所示,要求主机3能够和主机2、主机4相互访问,但不能和主机1相互访问。

路由器1:

Router>EN

Router#

Router#conf

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#interface f0/0

Router(config-if)#no shutdown

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Router(config-if)#ip address 192.168.2.1 255.255.255.0

Router(config-if)#exit

Router(config)#interface serial 1/0

Router(config-if)#no shutdown

%LINK-5-CHANGED: Interface Serial1/0, changed state to down

Router(config-if)#clock rate 9600

Router(config-if)#ip address 192.168.1.1 255.255.255.0

Router(config-if)#exit

Router(config)#router rip

Router(config-router)#v 2

Router(config-router)#network 192.168.1.0

Router(config-router)#network 192.168.2.0

Router(config-router)#no auto-summary

Router(config-router)#exit

Router(config)#hostname R1

R1(config)#exit

%SYS-5-CONFIG_I: Configured from console by console

R1#wr

R1#write

Building configuration...

[OK]

R1#

路由器2:

Router>EN

Router#conf

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#interface f0/0

Router(config-if)#no shutdown

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Router(config-if)#ip address 192.168.3.1 255.255.255.0

Router(config-if)#exit

Router(config)#interface serial 1/0

Router(config-if)#no shutdown

相关主题