CISCO ACL配置详解
思科网络配置-ACL
思科⽹络配置-ACL1、标准ACL Router(config)# access-list access-list-number {permit | deny | remark} source [mask] Router(config-if)# ip access-group access-list-number {in | out} *表号------- 1 to 99 *缺省的通配符掩码 0.0.0.0 *no access-list access-list-number 移除整个ACL *remark 给访问列表添加功能注释 *mask 反掩码2.扩展ACL 扩展访问控制列表是⼀种⾼级的ACL,配置命令的具体格式如下: access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝] 例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务(WWW)TCP连接的数据包丢弃。
⼩提⽰:同样在扩展访问控制列表中也可以定义过滤某个⽹段,当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。
表号 100 to 199 3.命名访问控制列表 命名访问控制列表格式: ip access-list {standard/extended} <access-list-name>(可有字母,数字组合的字符串) 例如:ip access-list standard softer //建⽴⼀个名为softer的标准访问控制列表。
1. router(config)#ip access-list standard +⾃定义名2. router(config-std-nac1)#11 permit host +ip //默认情况下第⼀条为10,第⼆条为20.如果不指定序列号,则新添加的ACL被添加到列表的末尾3. router(config-std-nac1)#deny any4. router(config)#ip access-list standard benet5. router(config-std-nasl)#no 116. 使⽤show access-lists可查看配置的acl信息ACL的过滤流程: 1、按顺序的⽐较:先⽐较第⼀⾏,如果不匹配,再⽐较第⼆⾏,依次类推直到最后⼀⾏ 2、从第⼀⾏起,直到找到⼀个符合条件的⾏,符合以后就不再继续⽐较下去 3、默认在每个ACL中的最后⼀⾏为隐含的拒绝,最后要加pemint any,使其他的⽹络可通。
思科ACL访问控制列表常规配置操作详解
思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。
分享给⼤家供⼤家参考,具体如下:⼀、ACL概述ACL (Access Control List,访问控制列表)是⼀系列运⽤到路由器接⼝的指令列表。
这些指令告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据⼀定的规则进⾏,如源地址、⽬标地址、端⼝号等。
ACL使得⽤户能够管理数据流,检测特定的数据包。
路由器将根据ACL中指定的条件,对经过路由器端⼝的数据包进⾏检査。
ACL可以基于所有的Routed Protocols (被路由协议,如IP、IPX等)对经过路由器的数据包进⾏过滤。
ACL在路由器的端⼝过滤数据流,决定是否转发或者阻⽌数据包。
ACL应该根据路由器的端⼝所允许的每个协议来制定,如果需要控制流经某个端⼝的所有数据流,就需要为该端⼝允许的每⼀个协议分别创建ACL。
例如,如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流,那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。
针对IP协议,在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊(inbound)端⼝的数据流,另⼀个⽤于过滤流出(outboimd)端⼝的数据流。
顺序执⾏:—个ACL列表中可以包含多个ACL指令,ACL指令的放置顺序很重要。
当路由器在决定是否转发或者阻⽌数据包的时候,Cisco的IOS软件,按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。
当检测到某个指令条件满⾜的时候,就执⾏该指令规定的动作,并且不会再检测后⾯的指令条件。
ACL作⽤: * 限制⽹络流量,提⾼⽹络性能。
* 提供数据流控制。
* 为⽹络访问提供基本的安全层。
⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数,只针对源地址进⾏过滤。
2. 扩展ACL: access-list-number编号100~199之间的整数,可以同时使⽤源地址和⽬标地址作为过滤条件,还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。
Cisco路由器配置ACL详解之基于时间的访问控制列表
Cisco路由器配置ACL详解之基于时间的访问控制列表
基于时间的访问控制列表:
上⾯我们介绍了标准ACL与扩展ACL,实际上我们数量掌握了这两种访问控制列表就可以应付⼤部分过滤⽹络数据包的要求了。
不过实际⼯作中总会有⼈提出这样或那样的苛刻要求,这时我们还需要掌握⼀些关于ACL的⾼级技巧。
基于时间的访问控制列表就属于⾼级技巧之⼀。
⼀、基于时间的访问控制列表⽤途:
可能公司会遇到这样的情况,要求上班时间不能上QQ,下班可以上或者平时不能访问某⽹站只有到了周末可以。
对于这种情况仅仅通过发布通知规定是不能彻底杜绝员⼯⾮法使⽤的问题的,这时基于时间的访问控制列表应运⽽⽣。
⼆、基于时间的访问控制列表的格式:
基于时间的访问控制列表由两部分组成,第⼀部分是定义时间段,第⼆部分是⽤扩展访问控制列表定义规则。
这⾥我们主要讲解下定义时间段,具体格式如下:
time-range时间段名称
absolute start [⼩时:分钟] [⽇⽉年] [end] [⼩时:分钟] [⽇⽉年]
例如:time-range softer
absolute start 0:00 1 may 2005 end 12:00 1 june 2005
意思是定义了⼀个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5⽉1⽇零点,结束时间为2005年6⽉1⽇中午12点。
我们通过这个时间段和扩展ACL的规则结合就可以指定出针对⾃⼰公司时间段开放的基于时间的访问控制列表了。
当然我们也可以定义⼯作⽇和周末,具体要使⽤periodic命令。
我们将在下⾯的配置实例中为⼤家详细介绍。
配置命名ACL(cisco)
配置命名ACL名字(Named)访问控制列表允许IP标准的(或者扩展的)访问列表使用字母-数字串(名字)表示,而不是使用上面所述的代码表示。
对于使用数字表示的IP访问控制列表条件语句,网络管理员若想要单独把其中某个语句删除是不可能的,他只能把整个IP访问列表删除,然后再重写,很不灵活。
而使用命名的IP访问列表可以从一个特定的访问列表中去删除单个的条件语句。
另外,使用命名的访问控制列表直观,管理员可以把访问控制列表的功能作为该列表的名字,这样不需要逐个条件语句分析就知道该访问控制列表的作用。
在使用代码配置访问控制列表时,被选择的代码有两层含义:它代表着访问控制列表的类型(标准访问列表或扩展访问列表)和针对的协议(检查IP协议数据还是其他协议数据)。
使用命名的访问列表时,也应声明是针对哪一种协议的访问控制列表及其类型。
不能在多个访问列表中使用相同的名字,不同类型的访问列表也不能使用相同的名字。
例如,某个标准访问列表被命名为“Market”,而某个扩展访问列表也被命名为Market,这是非法的。
注意:访问控制列表中的名字是大小写敏感的,例如,Market与market是不同的名字;此外,访问列表的名字不能以数字开头,例如,3abc是非法的名字。
在IOS11.2版之前不支持命名的访问控制列表。
命名访问控制列表的语法如下:(1)定义命名ACLRouter(config)#ip access-list {standard | extended} name×name:为ACL命的名字;进入命名的访问控制列表配置模式后:Router(config-{std | ext}-nac)#{test conditions}(2) 与接口关联Router(config-if)#ip access-group name {in | out}例如:Router(config)#ip access-list standard exampleRouter(config-std-nac)#permit 100.100.1.2 0.0.0.0Router(config-std-nac)#deny 11.10.0.0. 0.0.255.255Router(config-std-nac)#permit anyRouter(config)#interface s0Router(config-if)#ip access-group example in如果要删除某条件语句,例如,删除最后一条,可这样:Router(config-std-nac)#no permit any。
路由器配置ACL详解
cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。
今天我们就为大家简单介绍访问控制列表在CISCO路由交换设备上的配置方法与命令。
什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL 中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL 语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
思科路由器acl详解
cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。
今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。
什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL 中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL 语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
详解cisco访问控制列表ACL
详解cisco访问控制列表ACL一:访问控制列表概述〃访问控制列表(ACL)是应用在路由器接口的指令列表。
这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。
〃工作原理:它读取第三及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等。
根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。
〃实际应用:阻止某个网段访问服务器。
阻止A网段访问B网段,但B网段可以访问A网段。
禁止某些端口进入网络,可达到安全性。
二:标准ACL〃标准访问控制列表只检查被路由器路由的数据包的源地址。
若使用标准访问控制列表禁用某网段,则该网段下所有主机以及所有协议都被禁止。
如禁止了A网段,则A网段下所有的主机都不能访问服务器,而B网段下的主机却可以。
用1----99之间数字作为表号一般用于局域网,所以最好把标准ACL应用在离目的地址最近的地方。
〃标准ACL的配置:router(config)#access-list表号 deny(禁止)网段/IP地址反掩码********禁止某各网段或某个IProuter(config)#access-list表号 permit(允许) any注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。
router(config)#interface 接口 ******进入想要应用此ACL的接口(因为访问控制列表只能应用在接口模式下)router(config-if)#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN其中router(config)#access-list 10 deny 192.168.0.10.0.0.0 =router(config)#access-list 10 deny host 192.168.0.1router(config)#access-list 10 deny 0.0.0.0255.255.255.255 =router(config)#access-list 10 deny anyrouter#show access-lists ******查看访问控制列表。
cisco路由器配置ACL详解
cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。
今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。
什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
基于Cisco的动态ACL、自反ACL配置(优.选)
动态ACL---lock and key主机C1关联到物理机的回环网卡。
其他网卡禁用,避免ping外网时IP地址或网关相互冲突!步骤:1.设置连通性:在R2上配置缺省路由,检查全网连通性,C1能ping通R1、R2;2.在R1上配置动态ACL:username xu secret xupa55access-list 101 permit tcp any host 192.168.1.1 eq telnetaccess-list 101 dynamic testlist timeout 15 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 line vty 0 4login localautocommand access-enable host timeout 53.验证配置结果C1在telnet到R1之前,C1不能ping通R1、R2;在C1在telnet到R1,通过验证后,telnet连接断开,ACL自动添加一条新的规则。
此时,再次尝试C1应该能ping通R1、R2;(证明通过验证后能访问内网了。
)反复对比R1#show access-lists 101这条命令的执行结果,查看变化。
R1#show access-lists 101Extended IP access list 10110 permit tcp any host 192.168.1.1 eq telnet (93 matches)20 Dynamic testlist permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255permit ip 192.168.1.200 0.0.0.255 10.0.0.0 0.0.0.255自反ACL主机C1关联到物理机的回环网卡。
其他网卡禁用,避免ping外网时IP地址或网关相互冲突!步骤:1.设置连通性:在R2上配置缺省路由,检查全网连通性,C1能ping通R1、R2;2.在R2上配置web服务:username xua privilege 15 secret xuapa55ip http serverip http authentication local3.在R1上配置自反ACL:interface FastEthernet0/1ip address 10.0.0.2 255.255.255.0ip access-group external_ACL inip access-group internal_ACL out!ip access-list extended external_ACLevaluate web-only-reflect-ACLdeny ip any anyip access-list extended internal_ACLpermit tcp any any eq www reflect web-only-reflect-ACLdeny ip any any4.验证结果(内部主机ping不通外部web服务器,但是可以用浏览器发起访问;外部ping不通内部,不允许外部发起的访问)R1#sh access-lists internal_ACLExtended IP access list internal_ACL10 permit tcp any any eq www reflect web-only-reflect-ACL20 deny ip any any (3 matches)R1#sh access-lists external_ACLExtended IP access list external_ACL10 evaluate web-only-reflect-ACL20 deny ip any anyR1#sh access-lists internal_ACLExtended IP access list internal_ACL10 permit tcp any any eq www reflect web-only-reflect-ACL20 deny ip any any (6 matches)R1#sh access-lists external_ACLExtended IP access list external_ACL10 evaluate web-only-reflect-ACL20 deny ip any anyR1#sh access-lists external_ACLExtended IP access list external_ACL10 evaluate web-only-reflect-ACL20 deny ip any any (12 matches)R1#sh access-lists internal_ACLExtended IP access list internal_ACL10 permit tcp any any eq www reflect web-only-reflect-ACL (41 matches)20 deny ip any any (6 matches)R1#sh access-lists external_ACLExtended IP access list external_ACL10 evaluate web-only-reflect-ACL20 deny ip any any (12 matches)最新文件---------------- 仅供参考--------------------已改成word文本--------------------- 方便更改。
思科CISCO Acl访问控制详解
访问控制列表ACLACL简介ACL(Access Control List)是一个常用的用于流量匹配的工具,ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配,然后对匹配的数据执行相应的策略(转发、丢弃、NAT 转换、限速)1.对访问网络的流量进行过滤,实现网络的安全访问;2. 网络地址转换(NAT);3. QOS服务质量;4. 策略路由。
策略:要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。
一、标准ACL:匹配条件较少,只能通过源IP地址和时间段进行流量匹配,在一些需要进行简单匹配的环境中使用。
R(config)# access-list 编号策略源地址编号:标准ACL范围1--- 99策略:permit允许 | deny 拒绝源地址:要严格检查的地址( IP+通配符掩码)通配符掩码--- 是用来限定特定的地址范围(反掩码)用0 表示严格匹配用1 表示不检查例:主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机 ---- host 172.16.1.1 任意 ---- any练习:192.168.1.64/28子网掩码:255.255.255.240子网号: 192.168.1.64/28 (剩余4个主机位,网络号是16的倍数)广播地址: 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将ACL与接口关联:R(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略:要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务部。
cisco访问控制列表acl所有配置命令详解
cisco访问控制列表acl所有配置命令详解Cisco 路由ACL(访问控制列表)的配置标准ACL Router(config)#access-list 1-99 permit/deny 192.168.1.1(源IP)0.0.0.255(反码)Router(config)#interface f0/0 Router(config-if)#ip access-group 1-99 out/in 扩展ACL Router(config)#access-list 100-199 permit/deny tcp (协议类型)192.168.1.1(源IP) 0.标准ACLRouter(config)#access-list 1-99 permit/deny 192.168.1.1(源IP) 0.0.0.255(反码)Router(config)#interface f0/0Router(config-if)#ip access-group 1-99 out/in扩展ACLRouter(config)#access-list 100-199 permit/deny tcp(协议类型) 192.168.1.1(源IP) 0.0.0.255(源IP反码) 172.16.0.1(目标IP) 0.0.255.255(目标IP反码) eq ftp/23 端口号Router(config)#interface f0/0Router(config-if)#ip access-group 100-199 out/in基于时间的ACL设定路由器的时间:#clock set {hh:mm:ss} {data} {month} {year}Router(config)#time-range wangxin (定义时间名称)以下有两种:1.absouluterRouter(config-time-range)#absouluter指定绝对时间范围start hh:mm end hh:mm Day(日) MONTH(月份) YEAR(年份)end hh:mm end hh:mm Day(日) MONTH(月份) YEAR(年份)如果省略start及其后面的时间,则表示与之相联系的permit或deny语句立即生效,并一直作用到end处的时间为止。
cisco路由器配置ACL详解
cisco路由器配置ACL详解ACL(Access Control List)是一种在Cisco路由器上配置的安全控制功能,用于控制网络流量的进出。
通过使用ACL,管理员可以根据特定的源地质、目标地质、端口号等条件来限制网络流量的传输。
本文将详细介绍如何在Cisco路由器上配置ACL。
第一章:ACL概述1.1 什么是ACL1.2 ACL的作用和用途1.3 ACL的优点和限制第二章:ACL配置方法2.1 基于标准访问列表(Standard Access List)的配置步骤2.2 基于扩展访问列表(Extended Access List)的配置步骤2.3 应用ACL到接口的配置步骤第三章:标准访问列表(Standard Access List)3.1 标准访问列表的介绍3.2 标准访问列表的配置示例3.3 标准访问列表的注意事项第四章:扩展访问列表(Extended Access List) 4.1 扩展访问列表的介绍4.2 扩展访问列表的配置示例4.3 扩展访问列表的注意事项第五章:应用ACL到接口5.1 应用ACL到入站(Inbound)接口的配置步骤 5.2 应用ACL到出站(Outbound)接口的配置步骤 5.3 应用ACL到VLAN接口的配置步骤第六章:法律名词及注释6.1 法律名词1的定义及注释6.2 法律名词2的定义及注释6.3 法律名词3的定义及注释附件:1、示例配置文件12、示例配置文件2请注意:文档中描述的配置选项和命令可能因不同的cisco路由器型号和软件版本而有所不同,具体的配置步骤应根据您的路由器型号和软件版本进行调整。
本文档涉及附件:(请根据实际情况列出涉及的附件)本文所涉及的法律名词及注释:(请根据实际情况列出相关法律名词及其注释)。
CiscoPacketTracer实验4:CISCOACL简单配置
CiscoPacketTracer实验4:CISCOACL简单配置实验4:CISCO ACL 简单配置一、实验目的1、了解ACL 配置方法;2、练习在已有网络上配置ACL 协议二、实验环境packet tracer 5.0三、ACL 介绍ACL(Access Control List,访问控制列表),简单说就是包过滤,根据数据包的报头中的ip 地址、协议端口号等信息进行过滤。
利用ACL 可以实现安全控制。
编号:1-99 or 1300-1999(standard IP),100-199 or 2000-2699(Extended IP)。
ACL并不复杂,但在实际应用中的,要想恰当地应用ACL,必需要制定合理的策略。
四、实验步骤:一、配置实例拓扑图配置DNS SERVER:配置HTTP SERVER:二、配置三个路由器:以Router0 为例,其它两个路由器相似:Router>Router>enable /进入特权配置模式Router#config t /进入全局配置模式Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname yangyu-R0 /修改路由器名称yangyu-R0(config)#enable password yangyu /设置特权密码yangyu-R0(config)#LINE VTY 0 4yangyu-R0(config-line)#password yangyu /设置登陆密码yangyu-R0(config-line)#loginyangyu-R0(config-line)#endyangyu-R0#config tEnter configuration commands, one per line. End with CNTL/Z. yangyu-R0(config)#int fa 0/0 /配置FA0/0 端口yangyu-R0(config-if)#ip add 192.168.2.1 255.255.255.0yangyu-R0(config-if)#no shut /启用该端口yangyu-R0(config-if)#int s 1/0 /配置serial1/0 端口yangyu-R0(config-if)#ip add 172.17.1.1 255.255.255.0yangyu-R0(config-if)# clock rate 64000 /配置串行链路时钟yangyu-R0(config-if)#no shutyangyu-R0(config-if)#exityangyu-R0(config)#interface Serial1/1yangyu-R0(config-if)#ip address 172.16.1.1 255.255.255.0 yangyu-R0(config-if)#clock rate 64000yangyu-R0(config-if)#no shutdownyangyu-R0(config-if)#exyangyu-R0(config)#router eigrp 24 /启用EIGRP 协议,区域号为24 yangyu-R0(config-router)#network 192.168.2.0 /发布邻接网络yangyu-R0(config-router)#network 172.16.0.0yangyu-R0(config-router)#network 172.17.0.0yangyu-R0(config-router)#auto-summary /启用自动汇总yangyu-R0(config-router)#exR1,R2 的配置信息:R1:yangyu-R1#show ruyangyu-R1#show running-configBuilding configuration...Current configuration : 738 bytes!version 12.4no service password-encryption!hostname yangyu-R1!!enable password yangyu!!!!ip ssh version 1!!interface FastEthernet0/0ip address 192.168.3.1 255.255.255.0duplex autospeed auto!interface FastEthernet0/1no ip addressduplex autospeed autoshutdown!interface Serial1/0ip address 172.17.1.2 255.255.255.0 !interface Serial1/1ip address 172.18.1.1 255.255.255.0 clock rate 64000 !interface Serial1/2no ip addressshutdown!interface Serial1/3no ip addressshutdown!interface Vlan1no ip addressshutdown!router eigrp 24network 192.168.3.0network 172.17.0.0network 172.18.0.0auto-summary!ip classless!!!!!line con 0line vty 0 4password yangyulogin!!EndR2:yangyu-R2#show runn Building configuration... Current configuration : 720 bytes !version 12.4no service password-encryption !hostname yangyu-R2!!enable password yangyu!!!!ip ssh version 1!!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0 duplex auto speed auto!interface FastEthernet0/1no ip addressduplex autospeed autoshutdown!interface Serial1/0ip address 172.18.1.2 255.255.255.0 !interface Serial1/1ip address 172.16.1.2 255.255.255.0 !interface Serial1/2no ip addressshutdown!interface Serial1/3no ip addressshutdown!interface Vlan1no ip addressshutdown!router eigrp 24network 192.168.1.0network 172.16.0.0network 172.18.0.0auto-summary!ip classless!!!!!line con 0line vty 0 4password yangyulogin!!end三、配置简单的ACL1、配置ACL 限制远程登录(telnet)到路由器的主机yangyu-R0#config tEnter configuration commands, one per line. End with CNTL/Z.yangyu-R0(config)#access-list 1 permit host 192.168.2.2 /路由器yangyu-R0只允许192.168.2.2 远程登录(telnet)yangyu-R0(config)#line vty 0 4yangyu-R0(config-line)#access-class 1 inyangyu-R0(config-line)#其它两个路由器也可依照上文配置。
cisco路由器配置ACL详解
cisco路由器配置ACL详解什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部AC L的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化AC L知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在A C L中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
分类:标准访问控制列表扩展访问控制列表基于名称的访问控制列表反向访问控制列表基于时间的访问控制列表标准访问列表:访问控制列表A C L分很多种,不同场合应用不同种类的AC L。
Cisco VLAN ACL配置及详解
Cisco VLAN ACL配置及详解1.什么是ACL?ACL全称访问控制列表(Access Control List),主要通过配置一组规则进行过滤路由器或交换机接口进出的数据包,是控制访问的一种网络技术手段,ACL适用于所有的被路由支持的协议,如IP、tcp、udp、ftp、www等。
2.什么是反掩码?反掩码就是通配符掩码,通过标记0和1告诉设备应该匹配到哪位。
在反掩码中,相应位为1的地址在比较中忽略,为0的必须被检查。
IP地址与反掩码都是32位的数由于跟子网掩码刚好相反,所以也叫反掩码。
路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围,它与子网掩码不同。
它不像子网掩码告诉路由器IP地址是属于哪个子网(网段),通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。
例如:255.255.255.0 反掩码(wildcard-mask)就是0.0.0.255255.255.255.248 反掩码(wildcard-mask)就是0.0.0.73.ACL工作原理:ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。
如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。
对于路由器接口而言,ACL是有两个方向:注意:如果发现没有匹配的ACL规则,默认会丢弃该数据包,思科ACL规则默认会有一条隐藏的deny any any规则,而华三ACL规则默认是permit any any规则。
入站----如果是入站访问列表,则当路由器接收到数据包时,Cisco IOS 软件将检查访问列表中的条件语句,看是否有匹配。
如果数据包被允许,则软件将继续处理该数据包。
如果数据包被拒绝,则软件会丢弃该数据包。
出站----如果是出站访问列表,则当软件到接收数据包并将群其路由至出站接口后,软件将检查访问列表中的条件语句,看是否有匹配。
cisco ACL配置详解
cisco ACL配置详解ACL(Access Control List,访问控制列表)技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。
如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。
A公司的某位可怜的网管目前就面临了一堆这样的问题。
A公司建设了一个企业网,并通过一台路由器接入到互联网。
在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。
分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。
每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。
该网络的拓朴如下图所示:自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。
这些抱怨都找这位可怜的网管,搞得他头都大了。
那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。
那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢?ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。
只不过支持的特性不是那么完善而已。
cisco路由器配置ACL详解
cisco路由器配置ACL详解Cisco 路由器配置 ACL 详解在网络世界中,Cisco 路由器就像是交通警察,而访问控制列表(ACL)则是它手中的规则手册,用于决定哪些流量可以通过,哪些需要被阻止。
理解和正确配置 ACL 对于网络管理员来说至关重要,它不仅可以保障网络的安全,还能优化网络性能。
接下来,让我们深入了解一下 Cisco 路由器配置 ACL 的方方面面。
首先,我们要明白 ACL 到底是什么。
简单来说,ACL 是一系列规则的集合,这些规则基于数据包的源地址、目的地址、源端口、目的端口以及协议类型等信息来决定是否允许数据包通过路由器。
Cisco 路由器支持多种类型的 ACL,常见的有标准 ACL 和扩展ACL。
标准 ACL 基于源 IP 地址进行过滤,它的编号范围是 1 99 和1300 1999。
扩展 ACL 则更加精细,可以基于源地址、目的地址、源端口、目的端口以及协议类型进行过滤,其编号范围是 100 199 和2000 2699。
在配置 ACL 之前,我们需要明确配置的目的。
是要阻止特定网络的访问?还是限制某些端口的使用?或者是只允许特定主机的流量通过?明确了目标,才能制定出有效的规则。
当我们开始配置 ACL 时,第一步是创建 ACL。
以配置标准 ACL 为例,我们可以使用以下命令:```Router(config)accesslist 10 deny 19216810 000255```上述命令中,“accesslist 10”表示创建编号为 10 的 ACL,“deny”表示拒绝,“19216810 000255”是要拒绝的源地址范围,表示 19216810 到1921681255 这个网段的流量。
如果要允许某个网段的流量通过,可以使用“permit”命令,例如:```Router(config)accesslist 10 permit 19216820 000255```创建好 ACL 后,还需要将其应用到接口上才能生效。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CISCO ACL配置详解什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表的原理对路由器接口来说有两个方向出:已经经路由器的处理,正离开路由器接口的数据包入:已经到达路由器接口的数据包,将被路由器处理。
匹配顺序为:"自上而下,依次匹配".默认为拒绝访问控制列表的类型标准访问控制列表:一般应用在out出站接口。
建议配置在离目标端最近的路由上扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号访问控制列表使用原则1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
一、标准访问列表访问控制列表ACL分很多种,不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL.它的具体格式:access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]access-list-number 为1-99 或者1300-1999之间的数字,这个是访问列表号。
例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。
当然我们也可以用网段来表示,对某个网段进行过滤。
命令如下:access-list 10 deny 192.168.1.0 0.0.0.255通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。
为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0.小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。
标准访问列表配置实例:R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255R1(config)#access-list 10 permit anyR1(config)#int fa0/0.1R1(config-subif)#ip access-group 10 out上面配置的含义是阻止来自网段192.168.2.0的机器从int fa0/0.1端口出去,访问列表在配置好之后,要把它在端口上应用,否则配置了还是无效的。
注意事项:1、标准访问列表,一般来说配置尽量靠近目的端。
2、配置的第二条命令中的any相当于0.0.0.0 255.255.255.2553、一定要加pemint any,使其他的网络可通。
4、访问列表是从上到下一条一条进行匹配的,所以在设置访问列表的时候要注意顺序。
如果从第一条匹配到最后一条还是不知道要怎么做,路由器就会丢弃这个数据包,也就是为什么上面的例子中上一定要加permit any.5、如果只阻止一个主机,那可以用host 192.168.1.12 或者192.168.1.12 0.0.0.0,这两种配置是等价的。
删除已建立的标准ACLR1(config)#no access-list +access-list number对标准的ACL来说,不能删除单个acl语句,只能删除整个ACL总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。
应用比较广泛,经常在要求控制级别较低的情况下使用。
如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。
二、扩展访问控制列表上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL.那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。
这时候就需要使用扩展访问控制列表了。
使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。
扩展访问控制列表使用的ACL号为100到199.扩展访问控制列表的格式:access-list access-list number {permit/deny} protocol +源地址+反码+目标地址+反码+operator operan(It小于,gt大于,eq等于,neq不等于。
具体可?)+端口号1、扩展访问控制列表号的范围是100-199或者2000-2699.2、因为默认情况下,每个访问控制列表的末尾隐含deny all,所以在每个扩展访问控制列表里面必须有:access-list 110 permit ip any any .3、不同的服务要使用不同的协议,比如TFTP使用的是UDP协议。
4、更多注意事项可以参考上面标准访问控制列表部分例如:access-list 101 deny tcp any host 192.168.1.1 eq www //将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。
小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。
扩展访问控制列表配置实例:R2(config)#access-list 110 deny tcp any host 192.168.1.12 eq wwwR2(config)#access-list 110 deny tcp any host 192.168.1.12 eq ftpR2(config)#int fa0/0R2(config-if)#ip access-group 110 out上面配置的含义是拒绝访问192.168.1.12的www和ftp服务实例二:路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24.在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13.要求:禁止172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可以访问172.16.4.13上的WWW服务,而其他服务不能访问。
路由器配置命令:access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www //设置ACL101,容许源地址为任意IP,目的地址为172.16.4.13主机的80端口即WWW服务。
由于CISCO默认添加DENY ANY 的命令,所以ACL只写此一句即可。
进入相应端口ip access-group 101 out //将ACL101应用到端口设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了,就算是服务器172.16.4.13开启了FTP服务也无法访问,惟独可以访问的就是172.16.4.13的WWW服务了。
删除已建立的扩展标准ACL删除和标准一样,不能单条删除,只能删除整个acl总结:扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP.不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL 会消耗大量的路由器CPU资源。
所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。
三、命名访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。
也就是说修改一条或删除一条都会影响到整个ACL列表。
这一个缺点影响了我们的工作,为我们带来了繁重的负担。
不过我们可以用基于名称的访问控制列表来解决这个问题。
命名访问控制列表格式:ip access-list {standard/extended} access-list-name(可有字母,数字组合的字符串)例如:ip access-list standard softer //建立一个名为softer的标准访问控制列表。
命名访问控制列表使用方法:router(config)#ip access-list standard +自定义名router(config-std-nac1)#11 permit host +ip //默认情况下第一条为10,第二条为20.如果不指定序列号,则新添加的ACL被添加到列表的末尾router(config-std-nac1)#deny any对于命名ACL来说,可以向之前的acl中插入acl,删除也可以删除单条acl,如:router(config)#ip access-list standard benetrouter(config-std-nasl)#no 11使用show access-lists可查看配置的acl信息总结:如果设置ACL的规则比较多的话,应该使用基于名称的访问控制列表进行管理,这样可以减轻很多后期维护的工作,方便我们随时进行调整ACL规则。
四、反向访问控制列表反向访问控制列表属于ACL的一种高级应用。
他可以有效的防范病毒。