Cisco访问控制列表
思科ACL访问控制列表常规配置操作详解
思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。
分享给⼤家供⼤家参考,具体如下:⼀、ACL概述ACL (Access Control List,访问控制列表)是⼀系列运⽤到路由器接⼝的指令列表。
这些指令告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据⼀定的规则进⾏,如源地址、⽬标地址、端⼝号等。
ACL使得⽤户能够管理数据流,检测特定的数据包。
路由器将根据ACL中指定的条件,对经过路由器端⼝的数据包进⾏检査。
ACL可以基于所有的Routed Protocols (被路由协议,如IP、IPX等)对经过路由器的数据包进⾏过滤。
ACL在路由器的端⼝过滤数据流,决定是否转发或者阻⽌数据包。
ACL应该根据路由器的端⼝所允许的每个协议来制定,如果需要控制流经某个端⼝的所有数据流,就需要为该端⼝允许的每⼀个协议分别创建ACL。
例如,如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流,那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。
针对IP协议,在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊(inbound)端⼝的数据流,另⼀个⽤于过滤流出(outboimd)端⼝的数据流。
顺序执⾏:—个ACL列表中可以包含多个ACL指令,ACL指令的放置顺序很重要。
当路由器在决定是否转发或者阻⽌数据包的时候,Cisco的IOS软件,按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。
当检测到某个指令条件满⾜的时候,就执⾏该指令规定的动作,并且不会再检测后⾯的指令条件。
ACL作⽤: * 限制⽹络流量,提⾼⽹络性能。
* 提供数据流控制。
* 为⽹络访问提供基本的安全层。
⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数,只针对源地址进⾏过滤。
2. 扩展ACL: access-list-number编号100~199之间的整数,可以同时使⽤源地址和⽬标地址作为过滤条件,还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。
Cisco路由器配置ACL详解之基于时间的访问控制列表
Cisco路由器配置ACL详解之基于时间的访问控制列表
基于时间的访问控制列表:
上⾯我们介绍了标准ACL与扩展ACL,实际上我们数量掌握了这两种访问控制列表就可以应付⼤部分过滤⽹络数据包的要求了。
不过实际⼯作中总会有⼈提出这样或那样的苛刻要求,这时我们还需要掌握⼀些关于ACL的⾼级技巧。
基于时间的访问控制列表就属于⾼级技巧之⼀。
⼀、基于时间的访问控制列表⽤途:
可能公司会遇到这样的情况,要求上班时间不能上QQ,下班可以上或者平时不能访问某⽹站只有到了周末可以。
对于这种情况仅仅通过发布通知规定是不能彻底杜绝员⼯⾮法使⽤的问题的,这时基于时间的访问控制列表应运⽽⽣。
⼆、基于时间的访问控制列表的格式:
基于时间的访问控制列表由两部分组成,第⼀部分是定义时间段,第⼆部分是⽤扩展访问控制列表定义规则。
这⾥我们主要讲解下定义时间段,具体格式如下:
time-range时间段名称
absolute start [⼩时:分钟] [⽇⽉年] [end] [⼩时:分钟] [⽇⽉年]
例如:time-range softer
absolute start 0:00 1 may 2005 end 12:00 1 june 2005
意思是定义了⼀个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5⽉1⽇零点,结束时间为2005年6⽉1⽇中午12点。
我们通过这个时间段和扩展ACL的规则结合就可以指定出针对⾃⼰公司时间段开放的基于时间的访问控制列表了。
当然我们也可以定义⼯作⽇和周末,具体要使⽤periodic命令。
我们将在下⾯的配置实例中为⼤家详细介绍。
cisco路由器配置12标准访问控制列表
access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]
后面的in|out用于控制列表生效的方向(过滤),access-list-number:标识要调用的控制列表的标识号。
access-class access-list-number {in|out}
解答:限制acl内为vty连接设定限制进出方向(和上一条指令类似,这条指令用来对vty虚拟远程登录接口接口进行调用控制列表,同理使用这条指令前需要先进入虚拟接口进程才行)
destination:目的地址ip
destination-wildcard:目的地址通配符
established:(eq|gt|lt)
log:目标端口(established log在一起表示一个端口范围)
一般使用方法例:
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
如果没有配置,序列号自动从10以10为单位递增
“no”命令删除特定的访问列表
ip access-group name {in|out}
解答:在某端口上应用访问列表(命名的)(此条命令应该在进入某端口后使用)
show access-lists {access-list number|name}
Cisco路由器配置ACL详解之扩展访问控制列表
Cisco路由器配置ACL详解之扩展访问控制列表Cisco路由器配置ACL详解之扩展访问控制列表扩展访问控制列表:上⾯我们提到的标准访问控制列表是基于IP地址进⾏过滤的,是最简单的ACL。
那么如果我们希望将过滤细到端⼝怎么办呢?或者希望对数据包的⽬的地址进⾏过滤。
这时候就需要使⽤扩展访问控制列表了。
使⽤扩展IP访问列表可以有效的容许⽤户访问物理LAN⽽并不容许他使⽤某个特定服务(例如WWW,FTP等)。
扩展访问控制列表使⽤的ACL号为100到199。
扩展访问控制列表的格式:扩展访问控制列表是⼀种⾼级的ACL,配置命令的具体格式如下:access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝]例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务(WWW)TCP连接的数据包丢弃。
⼩提⽰:⼩提⽰:同样在扩展访问控制列表中也可以定义过滤某个⽹段,当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。
⽹络环境介绍:我们采⽤如图所⽰的⽹络结构。
路由器连接了⼆个⽹段,分别为172.16.4.0/24,172.16.3.0/24。
在172.16.4.0/24⽹段中有⼀台服务器提供WWW服务,IP地址为172.16.4.13。
配置任务:禁⽌172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可配置任务:以访问172.16.4.13上的WWW服务,⽽其他服务不能访问。
路由器配置命令:access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置ACL101,容许源地址为任意IP,⽬的地址为172.16.4.13主机的80端⼝即WWW服务。
Cisco访问控制列表
cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。
今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。
什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
访问控制列表
访问控制列表1、访问控制列表的概念访问控制列表(Access Control List,ACL) 是路由器接口的指令列表,用来控制端口进出的数据包。
访问列表(access-list)就是一系列允许和拒绝条件的集合,通过访问列表可以过滤发进和发出的信息包的请求,实现对路由器和网络的安全控制。
路由器一个一个地检测包与访问列表的条件,在满足第一个匹配条件后,就可以决定路由器接收或拒收该包。
2、ACL的作用1)ACL可以限制网络流量、提高网络性能。
2)ACL提供对通信流量的控制手段。
3)ACL是提供网络安全访问的基本手段。
4)ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
3、ACL的分类ACL包括两种类型:1)标准访问列表:只检查包的源地址。
2)扩展访问列表:既检查包的源地址,也检查包的目的地址,也可以检查特殊的协议类型、端口以及其他参数,具有更大的自由度。
4、ACL的执行过程一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。
如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。
如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。
如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。
5、ACL的取值范围在路由器配置中,标准ACL和扩展ACL的区别是由ACL的表号来体现的,下表指出了每种协议所允许的合法表号的取值范围。
6、正确放置ACLACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。
然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方。
1)标准ACL要尽量靠近目的端。
2)扩展ACL要尽量靠近源端。
7、ACL的配置ACL的配置分为两个步骤:1)第一步:在全局配置模式下,使用下列命令创建ACL:Router (config)# access-list access-list-number {permit | deny } {test-conditions}其中,access-list-number为ACL的表号。
cisco访问控制列表及动态访问控制列表
访问控制列表及动态访问控制列表杨振启(曲阜师范大学日照校区网络中心山东日照 276825)摘要:本文主要介绍访问控制列表及动态访问控制列表的概念、工作原理、及具体应用,并分析了它们的优缺点。
关键词:路由器控制列表动态访问控制列表一访问控制列表1、概述:路由器是网络互联的主要设备,也是网络的前沿关口,如果路由器自身的安全都没有保障,那么整个网络便没有安全可言,因此,在网络管理上必须对路由器进行合理规划、配置,采取必要的安全保护措施,通常可以利用路由器访问控制列表功能,实现对网络的安全保护。
访问表(Access List)是一个有序的语句集。
它是基于将规则与报文进行匹配,用来允许或拒绝报文流的排序表。
用来允许或拒绝报文的标准是基于报文自身包含的信息,通常这些信息只限于第三层和第四层报文头中的包含的信息。
当报文到达路由器的接口时,路由器对报文进行检查,如果报文匹配,则执行该语句中的动作;如果报文不匹配,则检查访问表中的下一个语句,直到最后一条结束时仍没有匹配语句,则报文按缺省规则被拒绝。
整个过程如图1所示:图 12、举例:我们用一个例子具体说明访问控制列表的应用。
某单位用C类地址200.200.200.0/24 构造局域网,网络拓扑见图2。
整个网络采用TCP/IP协议。
用Cisco2621路由器经电信2M线线路与Internet互连,电信提供地址段100.100.100.0/28用于路由。
局域网中IP地址为200.200.200.11、219.218.28.12、219.218.28.13的服务器对内、对外提供Web,Ftp,E-mail服务,现对Cisco2621的广域网接口S0/0施行访问控制以保证局域网安全,路由器参考配置文件如下:interface FastEthernet0/0ip address 200.200.200.1 255.255.255.0duplex autospeed auto!interface Serial0/0ip address 100.100.100.1 255.255.255.240ip access-group 100 inclockrate 64000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!interface Serial0/1no ip addressshutdown!ip classlessip route 0.0.0.0 0.0.0.0 100.100.100.2no ip http server!access-list 100 permit tcp any gt 1023 host 200.200.200.11 eq www (允许用户访问WEB服务器)access-list 100 permit tcp any gt 1023 host 200.200.200.12 eq smtp (允许用户访问EMAIL 服务器)access-list 100 permit tcp any gt 1023 host 200.200.200.12 eq pop3 (允许用户访问EMAIL 服务器)access-list 100 permit tcp any gt 1023 host 200.200.200.13 eq ftp (允许用户访问FTP服务器)access-list 100 permit tcp any gt 1023 host 200.200.200.13 eq ftp-data (允许用户访问FTP服务器)access-list 100 permit tcp any 219.218.28.0 0.0.0.255 established (允许外部响应数据包返回)access-list 100 deny tcp any any eq telnet (禁止外部TELNET内网)access-list 100 deny icmp any any echo (禁止外部PING内网)access-list 100 deny icmp any any traceroute (禁止外部TRACEROUTE内网)access-list 100 deny ip 10.0.0.0 0.0.0.255 any (禁止非法地址访问内网)access-list 100 deny ip 172.16.0.0 0.15.255.255 any (禁止非法地址访问内网)access-list 100 deny ip 192.168.0.0 0.0.255.255 any (禁止非法地址访问内网)!voice-port 1/0/0!voice-port 1/0/1!voice-port 1/1/0!voice-port 1/1/1!dial-peer cor custom!!!!line con 0exec-timeout 0transport input noneline aux 0line vty 0 4!no scheduler allocateend图2二动态访问控制列表1、概述:局域网仅供内部使用时,如果没有与外部Internet相连的接口,这自然是非常安全的,但在特殊情况(如人员出差在外)希望访问内部网络资源时,便会非常困难。
思科CISCO Acl访问控制详解
访问控制列表ACLACL简介ACL(Access Control List)是一个常用的用于流量匹配的工具,ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配,然后对匹配的数据执行相应的策略(转发、丢弃、NAT 转换、限速)1.对访问网络的流量进行过滤,实现网络的安全访问;2. 网络地址转换(NAT);3. QOS服务质量;4. 策略路由。
策略:要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。
一、标准ACL:匹配条件较少,只能通过源IP地址和时间段进行流量匹配,在一些需要进行简单匹配的环境中使用。
R(config)# access-list 编号策略源地址编号:标准ACL范围1--- 99策略:permit允许 | deny 拒绝源地址:要严格检查的地址( IP+通配符掩码)通配符掩码--- 是用来限定特定的地址范围(反掩码)用0 表示严格匹配用1 表示不检查例:主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机 ---- host 172.16.1.1 任意 ---- any练习:192.168.1.64/28子网掩码:255.255.255.240子网号: 192.168.1.64/28 (剩余4个主机位,网络号是16的倍数)广播地址: 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将ACL与接口关联:R(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略:要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务部。
cisco访问控制列表acl所有配置命令详解
cisco访问控制列表acl所有配置命令详解Cisco 路由ACL(访问控制列表)的配置标准ACL Router(config)#access-list 1-99 permit/deny 192.168.1.1(源IP)0.0.0.255(反码)Router(config)#interface f0/0 Router(config-if)#ip access-group 1-99 out/in 扩展ACL Router(config)#access-list 100-199 permit/deny tcp (协议类型)192.168.1.1(源IP) 0.标准ACLRouter(config)#access-list 1-99 permit/deny 192.168.1.1(源IP) 0.0.0.255(反码)Router(config)#interface f0/0Router(config-if)#ip access-group 1-99 out/in扩展ACLRouter(config)#access-list 100-199 permit/deny tcp(协议类型) 192.168.1.1(源IP) 0.0.0.255(源IP反码) 172.16.0.1(目标IP) 0.0.255.255(目标IP反码) eq ftp/23 端口号Router(config)#interface f0/0Router(config-if)#ip access-group 100-199 out/in基于时间的ACL设定路由器的时间:#clock set {hh:mm:ss} {data} {month} {year}Router(config)#time-range wangxin (定义时间名称)以下有两种:1.absouluterRouter(config-time-range)#absouluter指定绝对时间范围start hh:mm end hh:mm Day(日) MONTH(月份) YEAR(年份)end hh:mm end hh:mm Day(日) MONTH(月份) YEAR(年份)如果省略start及其后面的时间,则表示与之相联系的permit或deny语句立即生效,并一直作用到end处的时间为止。
Cisco access-list 访问控制列表配置全解
ACL(Access Control List,访问控制列表)技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。
如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。
A公司的某位可怜的网管目前就面临了一堆这样的问题。
A公司建设了一个企业网,并通过一台路由器接入到互联网。
在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。
分别是网络设备与网管 (VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部 (VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。
每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。
自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。
这些抱怨都找这位可怜的网管,搞得他头都大了。
那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。
那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢?ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。
只不过支持的特性不是那么完善而已。
在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。
cisco路由器相关的配置命令的用法和解释——访问控制列表(access-list)
cisco路由器相关的配置命令的用法和解释—访问控制列表(access-list)对于许多网管员来说,配置路由器的访问控制列表是一件经常性的工作,可以说,路由器的访问控制列表是网络安全保障的第一道关卡。
访问列表提供了一种机制,它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。
这种机制允许用户使用访问表来管理信息流,以制定公司内部网络的相关策略。
这些策略可以描述安全功能,并且反映流量的优先级别。
例如,某个组织可能希望允许或拒绝Internet对内部Web服务器的访问,或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。
这些情形,以及其他的一些功能都可以通过访问表来达到目的。
访问列表的种类划分目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。
基本访问表控制基于网络地址的信息流,且只允许过滤源地址。
扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据。
表1列出了路由器所支持的不同访问表的号码范围。
由于篇幅所限,本文只对标准访问列表和扩展访问列表进行讨论。
标准IP访问表标准IP访问表的基本格式为:access-list [listnumber][permit|deny][host/any][sourceaddress][wildcard-mask][log] 下面对标准IP访问表基本格式中的各项参数进行解释:1.list number---表号范围标准IP访问表的表号标识是从1到99。
2.permit/deny----允许或拒绝关键字permit和deny用来表示满足访问表项的报文是允许通过接口,还是要过滤掉。
permit表示允许报文通过接口,而deny表示匹配标准IP访问表源地址的报文要被丢弃掉。
3.source address----源地址对于标准的IP访问表,源地址是主机或一组主机的点分十进制表示,如:198.78.46.8。
访问控制列表(ACL)
• interface ethernet 1 :作用到E1口。
• ip access-group 1 out:ip access-group 1 与access-list
1 配对使用。 “out”表示为输出时测试。
© 1999, Cisco Systems, Inc.
ICND—10-7
目的端口号。
© 1999, Cisco Systems, Inc.
ICND—10-14
ACL表的号码
ACL表类型
IP Standard Extended Named
号码范围
1-99 100-199, 1300-1999, 2000-2699 Name (Cisco IOS 11.2 以上)
© 1999, Cisco Systems, Inc.
ICND—10-9
两种类型的ACL表
E0 进入的分组
ACL表处理 源地址 允许?
输出分组 S0
(1) 标准型(粗粒度的安全检查)
– 在过滤时只检查IP数据包的源地址。
– 基本上允许或拒绝整个协议组(比如 TCP/IP或IPX/SPX)。
© 1999, Cisco Systems, Inc.
ICND—10-10
标准型 IP ACL表的号码
ACL表类型
IP Standard
号码范围
1- 99
标准型 IP ACL表 (号码为1 到 99) 测试 的是源地址。
© 1999, Cisco Systems, Inc.
允许
ICND—10-17
4. 使用通配符检测IP地址
128 64 32 16
000 0 001 1 000 0 111 1 111 1
CCNA考点精析——访问控制列表
访问控制列表使⽤⽬的: 1、限制络流量、提⾼络性能。
例如队列技术,不仅限制了络流量,⽽且减少了拥塞 2、提供对通信流量的控制⼿段。
例如可以⽤其控制通过某台路由器的某个络的流量 3、提供了络访问的⼀种基本安全⼿段。
例如在公司中,允许财务部的员⼯计算机可以访问财务服务器⽽拒绝其他部门访问财务服务器 4、在路由器接⼝上,决定某些流量允许或拒绝被转发。
例如,可以允许FTP的通信流量,⽽拒绝TELNET的通信流量。
⼯作原理: ACL中规定了两种操作,所有的应⽤都是围绕这两种操作来完成的:允许、拒绝 注意:ACL是CISCO IOS中的⼀段程序,对于管理员输⼊的指令,有其⾃⼰的执⾏顺序,它执⾏指令的顺序是从上⾄下,⼀⾏⾏的执⾏,寻找匹配,⼀旦匹配则停⽌继续查找,如果到末尾还未找到匹配项,则执⾏⼀段隐含代码——丢弃DENY.所以在写ACL时,⼀定要注意先后顺序。
例如:要拒绝来⾃172.16.1.0/24的流量,把ACL写成如下形式 允许172.16.0.0/18 拒绝172.16.1.0/24 允许192.168.1.1/24 拒绝172.16.3.0/24 那么结果将于预期背道⽽驰,把表⼀和表⼆调换过来之后,再看⼀下有没有问题: 拒绝172.16.1.0/24 允许172.16.0.0/18 允许192.168.1.1/24 拒绝172.16.3.0/24 发现172.16.3.0/24和刚才的情况⼀样,这个表项并未起到作⽤,因为执⾏到表⼆就发现匹配,于是路由器将会允许,和我们的需求完全相反,那么还需要把表项四的位置移到前⾯ 最后变成这样: 拒绝172.16.1.0/24 拒绝172.16.3.0/24 允许172.16.0.0/18 允许192.168.1.1/24 可以发现,在ACL的配置中的⼀个规律:越精确的表项越靠前,⽽越笼统的表项越靠后放置 ACL是⼀组判断语句的集合,它主要⽤于对如下数据进⾏控制: 1、⼊站数据; 2、出站数据; 3、被路由器中继的数据 ⼯作过程 1、⽆论在路由器上有⽆ACL,接到数据包的处理⽅法都是⼀样的:当数据进⼊某个⼊站⼝时,路由器⾸先对其进⾏检查,看其是否可路由,如果不可路由那么就丢弃,反之通过查路由选择表发现该路由的详细信息——包括AD,METRIC……及对应的出接⼝; 2、这时,我们假定该数据是可路由的,并且已经顺利完成了第⼀步,找出了要将其送出站的接⼝,此时路由器检查该出站⼝有没有被编⼊ACL,如果没有ACL 的话,则直接从该⼝送出。
CISCO ACL 思科 访问控制列表
Standard ACL Syntax: legacy: numbered access-list access-list # <policy> <source> [ log ]
permit 192.168.10.1 deny 192.168.10.0 0.0.0.255 IOS version 11.2 and later: named access-list permit 10.0.0.0 0.255.255.255 ip access-list standard <name> deny any <policy> <source> [ log ] Access-list MUST be applied 1. Standard ACL 1 is restricting Syntax: (config)# interface s0/0 traffic from the Internet to W1. (config-if)# ip access-group 1 [ in | out ] Standard ACL #: 1-99 OR 1300-1999 Where should it be applied? Notes: What direction? policy: perrmit OR deny 1. Order matters. Rules are scanned until the first match; then the rest of the rules are ignored. Source Address (also destination in extended acl): 2. Extended ACL 100 is restricting What happens if an ACL starts with permit any? any - any IP address traffic from both W1 & W2 to the 2. Standard ACL should be placed close to [host] address - single IP Internet? destination. Why? <subnet> <wildcard> - all IPs in subnet Where should it be applied? 3. Extended ACL should be placed close to What direction? log optional and slows performance destination. Why? useful for debugging and rare events 4. Direction is with respect to the router.
Cisco access-list 访问控制列表配置全解
ACL(Access Control List,访问控制列表)
技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。
让我们先把刚才配置的ACL都取掉(具体配置略,不然后读者会以为我在骗稿费了。),再在每台网络设备上均进行如下配置:
access-list 1 permit host 10.1.6.66
line vty 0 4(部分设备是15)
access-class 1 in
这样就行了,telnet都是访问的设备上的line vty,在line vty下面使用access-class与ACL组进行关联,in关键字表示控制进入的连接。
vlan1///ip access-group 1 out:这两句将access-list 1应用到vlan1接口的out方向。其中1是ACL号,和相应的ACL进行关联。Out是对路由器该接口上哪个方向的包进行过滤,可以有in和out两种选择。
详解cisco访问控制列表ACL
一:访问控制列表概述·访问控制列表(ACL)是应用在路由器接口的指令列表。
这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。
·工作原理:它读取第三及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等。
根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。
·实际应用:阻止某个网段访问服务器。
阻止A网段访问B网段,但B网段可以访问A网段。
禁止某些端口进入网络,可达到安全性。
二:标准ACL·标准访问控制列表只检查被路由器路由的数据包的源地址。
若使用标准访问控制列表禁用某网段,则该网段下所有主机以及所有协议都被禁止。
如禁止了A网段,则A网段下所有的主机都不能访问服务器,而B网段下的主机却可以。
用1----99之间数字作为表号一般用于局域网,所以最好把标准ACL应用在离目的地址最近的地方。
·标准ACL的配置:router(config)#access-list表号 deny(禁止)网段/IP地址反掩码**** ****禁止某各网段或某个IProuter(config)#access-list表号 permit(允许) any注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。
router(config)#interface 接口 ******进入想要应用此ACL 的接口(因为访问控制列表只能应用在接口模式下)router(config-if)#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN其中router(config)#access-list 10 deny 192.168.0.10.0.0.0=router(config)#access-list 10 deny host192.168.0.1router(config)#access-list 10 deny 0.0.0.0 255.255.255.255 =router(config)#access-list 10 deny anyrouter#show access-lists ******查看访问控制列表。
任务11 用访问控制列表(ACL)限制计算机访问
(2)配置扩展号码式ACL并应用于路由器端口
某企业销售部网络地址192.168.1.0/24,连接于路由器的F0/0口;研发部网络地 址192.168.2.0/24,连接于路由器的F0/1口;服务器群地址为192.168.3.0/24, 连接于路由器的F1/0口。销售部禁止访问FTP服务器,允许其他访问。
问
——配置号码式访问控制列表(ACL)限制计算机访问 (6)
(3)配置标准号码式ACL并应用于路由器端口
企业的财务部、销售部和其他部门分属于三个不同的网段,部门之间的数据通过 路由器,企业规定只有销售部可以访问财务部,其他部门的计算机不允许访问财 务部。 网络管理员分配财务部地址192.168.2.0/24,网络接入路由器的F0/0接口;销售 部地址192.168.1.0/24,销售部网络接入路由器的F0/1接口;其他部门地址为 192.168.3.0/24,网络接入路由器的F1/0接口。
任务11:用访问控制列表(ACL)限制计算机访
问
——了解访问控制列表(1)
访问控制列表(Access List,ACL)是Cisco IOS所提供的一种访问控制
技术,是应用到路由器接口的一组指令列表,路由器根据这些指令列表来 决定是接收数据包还是拒绝数据包。
ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息
标准号码式访问控制列表的表号范围为1~99,而扩展号码式访问控
制列表的表号范围为100~199。
任务11:用访问控制列表(ACL)限制计算机访
问
——了解访问控制列表(3)
2、了解访问控制列表(ACL)设置规则
设置ACL的目的一方面是保护资源结点,阻止非法用户对资源结点的
访问;另一方面是限制特定的用户结点所能具备的访问权限。
cisco路由器配置ACL详解详解
cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。
今天我们就为大家简单介绍访问控制列表在CISCO路由交换设备上的配置方法与命令。
什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL 中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL 语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
C i s c o访问控制列表内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。
今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。
什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
分类:标准访问控制列表扩展访问控制列表基于名称的访问控制列表反向访问控制列表基于时间的访问控制列表标准访问列表:访问控制列表ACL分很多种,不同场合应用不同种类的ACL。
其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL访问控制列表ACL分很多种,不同场合应用不同种类的ACL。
其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。
标准访问控制列表的格式:标准访问控制列表是最简单的ACL。
它的具体格式如下:access-list ACL号 permit|deny host ip地址当然我们也可以用网段来表示,对某个网段进行过滤。
命令如下:0.0.0.2550.0.0小提示:标准访问控制列表实例一:环境介绍:实例1:路由器配置命令access-list 1 deny any设置ACL,阻止其他一切IP地址进行通讯传输。
int e 1进入E1端口。
ip access-group 1 in将ACL 1宣告。
小提示:由于默认添加了DENY ANY的语句在每个ACL中,所以上面的access-list 1 deny any这句命令可以省略。
另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告,宣告结果和上面最后两句命令效果一样。
标准访问控制列表实例二:配置任务:配置命令:access-list 1 permit any设置ACL,容许其他地址的计算机进行通讯int e 1进入E1端口ip access-group 1 in将ACL1宣告,同理可以进入E0端口后使用ip access-group 1 out来完成宣告。
总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。
应用比较广泛,经常在要求控制级别较低的情况下使用。
如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。
扩展访问控制列表:上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。
那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。
这时候就需要使用扩展访问控制列表了。
使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。
扩展访问控制列表使用的ACL号为100到199。
扩展访问控制列表的格式:扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下:access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]例如这句命令是将所有主机访问这个地址网页服务(WWW)TCP连接的数据包丢弃。
小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。
扩展访问控制列表的实例:环境介绍:配置任务:路由器配置命令:0.0.0.0 eq wwwint e 0进入E1端口ip access-group 101 out将ACL101宣告出去扩展ACL有一个最大的好处就是可以保护服务器,例如很多服务器为了更好的提供服务都是暴露在公网上的,如果所有端口都对外界开放,很容易招来黑客和病毒的攻击,通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉,降低了被攻击的机率。
如本例就是仅仅将80端口对外界开放。
总结:扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP。
不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器资源。
所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。
基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。
也就是说修改一条或删除一条都会影响到整个ACL列表。
这一个缺点影响了我们的工作,为我们带来了繁重的负担。
不过我们可以用基于名称的访问控制列表来解决这个问题。
一、基于名称的访问控制列表的格式:ip access-list [standard|extended] [ACL名称]例如:ip access-list standard softer就建立了一个名为softer的标准访问控制列表。
二、基于名称的访问控制列表的使用方法:当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。
例如我们添加三条ACL规则permit 1.1.1permit 2.2.2permit 3.3.3如果我们发现第二条命令应该是2.2.2总结:如果设置ACL的规则比较多的话,应该使用基于名称的访问控制列表进行管理,这样可以减轻很多后期维护的工作,方便我们随时进行调整ACL规则。
反向访问控制列表:我们使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面,那就是防范病毒,我们可以将平时常见病毒传播使用的端口进行过滤,将使用这些端口的数据包丢弃。
这样就可以有效的防范病毒的攻击。
不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效,毕竟未知病毒使用的端口是我们无法估计的,而且随着防范病毒数量的增多会造成访问控制列表规则过多,在一定程度上影响了网络访问的速度。
这时我们可以使用反向控制列表来解决以上的问题。
一、反向访问控制列表的用途反向访问控制列表属于ACL的一种高级应用。
他可以有效的防范病毒。
通过配置反向ACL可以保证AB两个网段的计算机互相PING,A可以PING通B而B不能PING通A。
说得通俗些的话就是传输数据可以分为两个过程,首先是源主机向目的主机发送连接请求和数据,然后是目的主机在双方建立好连接后发送数据给源主机。
反向ACL控制的就是上面提到的连接请求。
二、反向访问控制列表的格式反向访问控制列表格式非常简单,只要在配置好的扩展访问列表最后加上established即可。
我们还是通过实例为大家讲解。
反向访问控制列表配置实例环境介绍:配置实例:路由器配置命令:0.0.0int e 1进入E1端口ip access-group 101 out将ACL101宣告出去小提示:0.0.0这样根据“最靠近受控对象原则”基于时间的访问控制列表:上面我们介绍了标准ACL与扩展ACL,实际上我们只要掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了。
不过实际工作中总会有人提出这样或那样的苛刻要求,这时我们还需要掌握一些关于ACL的高级技巧。
基于时间的访问控制列表就属于高级技巧之一。
一、基于时间的访问控制列表用途:可能公司会遇到这样的情况,要求上班时间不能上QQ,下班可以上或者平时不能访问某网站只有到了周末可以。
对于这种情况仅仅通过发布通知规定是不能彻底杜绝员工非法使用的问题的,这时基于时间的访问控制列表应运而生。
二、基于时间的访问控制列表的格式:基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则。
这里我们主要讲解下定义时间段,具体格式如下:time-range时间段名称absolute start [小时:分钟] [日月年] [end] [小时:分钟] [日月年]例如:time-range softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005意思是定义了一个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。
我们通过这个时间段和扩展ACL的规则结合就可以指定出针对自己公司时间段开放的基于时间的访问控制列表了。
当然我们也可以定义工作日和周末,具体要使用periodic命令。
我们将在下面的配置实例中为大家详细介绍。
配置实例:要想使基于时间的ACL生效需要我们配置两方面的命令:1、定义时间段及时间范围。
2、ACL自身的配置,即将详细的规则添加到ACL中。
3、宣告ACL,将设置好的ACL添加到相应的端口中。