Cisco访问控制列表
思科ACL访问控制列表常规配置操作详解
思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。
分享给⼤家供⼤家参考,具体如下:⼀、ACL概述ACL (Access Control List,访问控制列表)是⼀系列运⽤到路由器接⼝的指令列表。
这些指令告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据⼀定的规则进⾏,如源地址、⽬标地址、端⼝号等。
ACL使得⽤户能够管理数据流,检测特定的数据包。
路由器将根据ACL中指定的条件,对经过路由器端⼝的数据包进⾏检査。
ACL可以基于所有的Routed Protocols (被路由协议,如IP、IPX等)对经过路由器的数据包进⾏过滤。
ACL在路由器的端⼝过滤数据流,决定是否转发或者阻⽌数据包。
ACL应该根据路由器的端⼝所允许的每个协议来制定,如果需要控制流经某个端⼝的所有数据流,就需要为该端⼝允许的每⼀个协议分别创建ACL。
例如,如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流,那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。
针对IP协议,在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊(inbound)端⼝的数据流,另⼀个⽤于过滤流出(outboimd)端⼝的数据流。
顺序执⾏:—个ACL列表中可以包含多个ACL指令,ACL指令的放置顺序很重要。
当路由器在决定是否转发或者阻⽌数据包的时候,Cisco的IOS软件,按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。
当检测到某个指令条件满⾜的时候,就执⾏该指令规定的动作,并且不会再检测后⾯的指令条件。
ACL作⽤: * 限制⽹络流量,提⾼⽹络性能。
* 提供数据流控制。
* 为⽹络访问提供基本的安全层。
⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数,只针对源地址进⾏过滤。
2. 扩展ACL: access-list-number编号100~199之间的整数,可以同时使⽤源地址和⽬标地址作为过滤条件,还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。
Cisco路由器配置ACL详解之基于时间的访问控制列表
Cisco路由器配置ACL详解之基于时间的访问控制列表
基于时间的访问控制列表:
上⾯我们介绍了标准ACL与扩展ACL,实际上我们数量掌握了这两种访问控制列表就可以应付⼤部分过滤⽹络数据包的要求了。
不过实际⼯作中总会有⼈提出这样或那样的苛刻要求,这时我们还需要掌握⼀些关于ACL的⾼级技巧。
基于时间的访问控制列表就属于⾼级技巧之⼀。
⼀、基于时间的访问控制列表⽤途:
可能公司会遇到这样的情况,要求上班时间不能上QQ,下班可以上或者平时不能访问某⽹站只有到了周末可以。
对于这种情况仅仅通过发布通知规定是不能彻底杜绝员⼯⾮法使⽤的问题的,这时基于时间的访问控制列表应运⽽⽣。
⼆、基于时间的访问控制列表的格式:
基于时间的访问控制列表由两部分组成,第⼀部分是定义时间段,第⼆部分是⽤扩展访问控制列表定义规则。
这⾥我们主要讲解下定义时间段,具体格式如下:
time-range时间段名称
absolute start [⼩时:分钟] [⽇⽉年] [end] [⼩时:分钟] [⽇⽉年]
例如:time-range softer
absolute start 0:00 1 may 2005 end 12:00 1 june 2005
意思是定义了⼀个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5⽉1⽇零点,结束时间为2005年6⽉1⽇中午12点。
我们通过这个时间段和扩展ACL的规则结合就可以指定出针对⾃⼰公司时间段开放的基于时间的访问控制列表了。
当然我们也可以定义⼯作⽇和周末,具体要使⽤periodic命令。
我们将在下⾯的配置实例中为⼤家详细介绍。
cisco路由器配置12标准访问控制列表
access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]
后面的in|out用于控制列表生效的方向(过滤),access-list-number:标识要调用的控制列表的标识号。
access-class access-list-number {in|out}
解答:限制acl内为vty连接设定限制进出方向(和上一条指令类似,这条指令用来对vty虚拟远程登录接口接口进行调用控制列表,同理使用这条指令前需要先进入虚拟接口进程才行)
destination:目的地址ip
destination-wildcard:目的地址通配符
established:(eq|gt|lt)
log:目标端口(established log在一起表示一个端口范围)
一般使用方法例:
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
如果没有配置,序列号自动从10以10为单位递增
“no”命令删除特定的访问列表
ip access-group name {in|out}
解答:在某端口上应用访问列表(命名的)(此条命令应该在进入某端口后使用)
show access-lists {access-list number|name}
ACL 1访问控制列表
访问列表的其它应用
优先级判断
Queue List
按需拨号
路由表过滤
Routing Table
ystems, Inc. All rights reserved.
© 2006 Cisco Systems, Inc. All rights reserved. ICND v2.3—4-2
访问列表的应用
• 允许、拒绝数据包通过路由器 允许、 • 允许、拒绝Telnet会话的建立 允许、拒绝Telnet会话的建立 Telnet • 没有设置访问列表时,所有的数据包都会在网络上传输 没有设置访问列表时,
IPX
• 标准访问列表 (1 to 99) 检查 IP 数据包的源地址 • 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 检查源地址和目的地址、 TCP/IP 协议和目的端口 • 其它访问列表编号范围表示不同协议的访问列表
© 2006 Cisco Systems, Inc. All rights reserved. ICND v2.3—4-6
Deny Deny
Y Match Next Test(s) ? N Y
Permit Permit Destination Interface(s) Permit
Deny
Y
Packet Discard Bucket
© 2006 Cisco Systems, Inc. All rights reserved.
© 2006 Cisco Systems, Inc. All rights reserved. ICND v2.3—4-9
Cisco访问控制列表
cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。
今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。
什么是ACL访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL 中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
cisco访问控制列表及动态访问控制列表
访问控制列表及动态访问控制列表杨振启(曲阜师范大学日照校区网络中心山东日照 276825)摘要:本文主要介绍访问控制列表及动态访问控制列表的概念、工作原理、及具体应用,并分析了它们的优缺点。
关键词:路由器控制列表动态访问控制列表一访问控制列表1、概述:路由器是网络互联的主要设备,也是网络的前沿关口,如果路由器自身的安全都没有保障,那么整个网络便没有安全可言,因此,在网络管理上必须对路由器进行合理规划、配置,采取必要的安全保护措施,通常可以利用路由器访问控制列表功能,实现对网络的安全保护。
访问表(Access List)是一个有序的语句集。
它是基于将规则与报文进行匹配,用来允许或拒绝报文流的排序表。
用来允许或拒绝报文的标准是基于报文自身包含的信息,通常这些信息只限于第三层和第四层报文头中的包含的信息。
当报文到达路由器的接口时,路由器对报文进行检查,如果报文匹配,则执行该语句中的动作;如果报文不匹配,则检查访问表中的下一个语句,直到最后一条结束时仍没有匹配语句,则报文按缺省规则被拒绝。
整个过程如图1所示:图 12、举例:我们用一个例子具体说明访问控制列表的应用。
某单位用C类地址200.200.200.0/24 构造局域网,网络拓扑见图2。
整个网络采用TCP/IP协议。
用Cisco2621路由器经电信2M线线路与Internet互连,电信提供地址段100.100.100.0/28用于路由。
局域网中IP地址为200.200.200.11、219.218.28.12、219.218.28.13的服务器对内、对外提供Web,Ftp,E-mail服务,现对Cisco2621的广域网接口S0/0施行访问控制以保证局域网安全,路由器参考配置文件如下:interface FastEthernet0/0ip address 200.200.200.1 255.255.255.0duplex autospeed auto!interface Serial0/0ip address 100.100.100.1 255.255.255.240ip access-group 100 inclockrate 64000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!interface Serial0/1no ip addressshutdown!ip classlessip route 0.0.0.0 0.0.0.0 100.100.100.2no ip http server!access-list 100 permit tcp any gt 1023 host 200.200.200.11 eq www (允许用户访问WEB服务器)access-list 100 permit tcp any gt 1023 host 200.200.200.12 eq smtp (允许用户访问EMAIL 服务器)access-list 100 permit tcp any gt 1023 host 200.200.200.12 eq pop3 (允许用户访问EMAIL 服务器)access-list 100 permit tcp any gt 1023 host 200.200.200.13 eq ftp (允许用户访问FTP服务器)access-list 100 permit tcp any gt 1023 host 200.200.200.13 eq ftp-data (允许用户访问FTP服务器)access-list 100 permit tcp any 219.218.28.0 0.0.0.255 established (允许外部响应数据包返回)access-list 100 deny tcp any any eq telnet (禁止外部TELNET内网)access-list 100 deny icmp any any echo (禁止外部PING内网)access-list 100 deny icmp any any traceroute (禁止外部TRACEROUTE内网)access-list 100 deny ip 10.0.0.0 0.0.0.255 any (禁止非法地址访问内网)access-list 100 deny ip 172.16.0.0 0.15.255.255 any (禁止非法地址访问内网)access-list 100 deny ip 192.168.0.0 0.0.255.255 any (禁止非法地址访问内网)!voice-port 1/0/0!voice-port 1/0/1!voice-port 1/1/0!voice-port 1/1/1!dial-peer cor custom!!!!line con 0exec-timeout 0transport input noneline aux 0line vty 0 4!no scheduler allocateend图2二动态访问控制列表1、概述:局域网仅供内部使用时,如果没有与外部Internet相连的接口,这自然是非常安全的,但在特殊情况(如人员出差在外)希望访问内部网络资源时,便会非常困难。
交换机配置IP访问控制列表 Cisco6509
交换机配置IP访问控制列表Cisco6509Console> (enable) set ip permit enableIP permit list enabled.Console> (enable) set ip permit 172.16.0.0 255.255.0.0 telnet172.16.0.0 with mask 255.255.0.0 added to telnet permit list.Console> (enable) set ip permit 172.20.52.32 255.255.255.224 snmp172.20.52.32 with mask 255.255.255.224 added to snmp permit list.Console> (enable) set ip permit 172.20.52.3 all172.20.52.3 added to IP permit list.Console> (enable) show ip permitTelnet permit list feature enabled.Snmp permit list feature enabled.Permit List Mask Access Type---------------- ---------------- -------------172.16.0.0 255.255.0.0 telnet172.20.52.3 snmp telnet172.20.52.32 255.255.255.224 snmpDenied IP Address Last Accessed Time Type Telnet Count SNMP Count----------------- ------------------ ------ ------------ ----------172.100.101.104 01/20/97,07:45:20 SNMP 14 1430172.187.206.222 01/21/97,14:23:05 Telnet 7 236Console> (enable)Console> (enable) set ip permit disable allConsole> (enable) clear ip permit 172.100.101.102172.100.101.102 cleared from IP permit list.Console> (enable) clear ip permit 172.160.161.0 255.255.192.0 snmp172.160.128.0 with mask 255.255.192.0 cleared from snmp permit list. Console> (enable) clear ip permit 172.100.101.102 telnet172.100.101.102 cleared from telnet permit list.Console> (enable) clear ip permit allIP permit list cleared.Console> (enable)思科C3550交换机配置作为DHCP服务器工程实例作DHCP服务器,因为当时在配置3550作为DHCP中继代理时顺便测试了一把将3550配置为DHCP服务器并获通过,因此这里将配置过程写出来,供大家参考。
思科CISCO Acl访问控制详解
访问控制列表ACLACL简介ACL(Access Control List)是一个常用的用于流量匹配的工具,ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配,然后对匹配的数据执行相应的策略(转发、丢弃、NAT 转换、限速)1.对访问网络的流量进行过滤,实现网络的安全访问;2. 网络地址转换(NAT);3. QOS服务质量;4. 策略路由。
策略:要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。
一、标准ACL:匹配条件较少,只能通过源IP地址和时间段进行流量匹配,在一些需要进行简单匹配的环境中使用。
R(config)# access-list 编号策略源地址编号:标准ACL范围1--- 99策略:permit允许 | deny 拒绝源地址:要严格检查的地址( IP+通配符掩码)通配符掩码--- 是用来限定特定的地址范围(反掩码)用0 表示严格匹配用1 表示不检查例:主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机 ---- host 172.16.1.1 任意 ---- any练习:192.168.1.64/28子网掩码:255.255.255.240子网号: 192.168.1.64/28 (剩余4个主机位,网络号是16的倍数)广播地址: 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将ACL与接口关联:R(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略:要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务部。
cisco访问控制列表acl所有配置命令详解
cisco访问控制列表acl所有配置命令详解Cisco 路由ACL(访问控制列表)的配置标准ACL Router(config)#access-list 1-99 permit/deny 192.168.1.1(源IP)0.0.0.255(反码)Router(config)#interface f0/0 Router(config-if)#ip access-group 1-99 out/in 扩展ACL Router(config)#access-list 100-199 permit/deny tcp (协议类型)192.168.1.1(源IP) 0.标准ACLRouter(config)#access-list 1-99 permit/deny 192.168.1.1(源IP) 0.0.0.255(反码)Router(config)#interface f0/0Router(config-if)#ip access-group 1-99 out/in扩展ACLRouter(config)#access-list 100-199 permit/deny tcp(协议类型) 192.168.1.1(源IP) 0.0.0.255(源IP反码) 172.16.0.1(目标IP) 0.0.255.255(目标IP反码) eq ftp/23 端口号Router(config)#interface f0/0Router(config-if)#ip access-group 100-199 out/in基于时间的ACL设定路由器的时间:#clock set {hh:mm:ss} {data} {month} {year}Router(config)#time-range wangxin (定义时间名称)以下有两种:1.absouluterRouter(config-time-range)#absouluter指定绝对时间范围start hh:mm end hh:mm Day(日) MONTH(月份) YEAR(年份)end hh:mm end hh:mm Day(日) MONTH(月份) YEAR(年份)如果省略start及其后面的时间,则表示与之相联系的permit或deny语句立即生效,并一直作用到end处的时间为止。
(CISCO基于时间的访问列表控制)
思科路由器--基于时间的访问列表控制我们知道,CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。
随着网络的发展和用户要求的变化,从IOS12.0开始,CISCO路由器新增加了一种基于时间的访问列表。
通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,当然也可以二者结合起来,控制对网络数据包的转发。
一、使用方法这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。
它需要先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。
并且,对于编号访问表和名称访问表都适用。
二、使用规则用time-range 命令来指定时间范围的名称,然后用absolute命令或者一个或多个per iodic命令来具体定义时间范围。
IOS命令格式为:我们分别来介绍下每个命令和参数的详细情况time-range :用来定义时间范围的命令time-range-name:时间范围名称,用来标识时间范围,以便于在后面的访问列表中引用absolute:该命令用来指定绝对时间范围。
它后面紧跟这start和end两个关键字。
在这两个关键字后面的时间要以24小时制、hh:mm(小时:分钟)表示,日期要按照日/月/年来表示。
可以看到,他们两个可以都省略。
如果省略start及其后面的时间,那表示与之相联系的permit 或deny语句立即生效,并一直作用到end处的时间为止;若省略如果省略end及其后面的时间,那表示与之相联系的permit 或deny语句在start处表示的时间开始生效,并且永远发生作用,当然把访问列表删除了的话就不会起作用了。
怎么样,看明白了吗?上面讲的就是命令和基本参数为了便于理解,我们看两个例子。
1、如果要表示每天的早8点到晚8点就可以用这样的语句:absolute start 8:00 end 20:002、再如,我们要使一个访问列表从2000年12月1日早5点开始起作用,直到2000年12月31日晚24点停止作用,语句如下:absolute start 5:00 1 December 2000 end 24:00 31 December 2000这样一来,我们就可以用这种基于时间的访问列表来实现,而不用半夜跑到办公室去删除那个访问列表了。
网络工程师详解cisco访问控制列表ACL
网络工程师:详解cisco访问控制列表ACL一:访问控制列表概述·访问控制列表(ACL)是应用在路由器接口的指令列表。
这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。
·工作原理:它读取第三及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等。
根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。
·实际应用:阻止某个网段访问服务器。
阻止A网段访问B网段,但B网段可以访问A网段。
禁止某些端口进入网络,可达到安全性。
二:标准ACL·标准访问控制列表只检查被路由器路由的数据包的源地址。
若使用标准访问控制列表禁用某网段,则该网段下所有主机以及所有协议都被禁止。
如禁止了A网段,则A网段下所有的主机都不能访问服务器,而B网段下的主机却可以。
用1----99之间数字作为表号一般用于局域网,所以把标准ACL应用在离目的地址最近的地方。
·标准ACL的配置:router(config)#access-list 表号 deny(禁止) 网段/IP地址反掩码********禁止某各网段或某个IProuter(config)#access-list 表号 permit(允许) any注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。
router(config)#interface 接口 ******进入想要应用此ACL的接口(因为访问控制列表只能应用在接口模式下)router(config-if)#ip access-group 表号 out/in ***** 设置在此接口下为OUT或为IN其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0router(config)#access-list 10 deny host 192.168.0.1router(config)#access-list 10 deny 0.0.0.0 255.255.255.255router(config)#access-list 10 deny anyrouter#show access-lists ******查看访问控制列表。
cisco路由器相关的配置命令的用法和解释——访问控制列表(access-list)
cisco路由器相关的配置命令的用法和解释—访问控制列表(access-list)对于许多网管员来说,配置路由器的访问控制列表是一件经常性的工作,可以说,路由器的访问控制列表是网络安全保障的第一道关卡。
访问列表提供了一种机制,它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。
这种机制允许用户使用访问表来管理信息流,以制定公司内部网络的相关策略。
这些策略可以描述安全功能,并且反映流量的优先级别。
例如,某个组织可能希望允许或拒绝Internet对内部Web服务器的访问,或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。
这些情形,以及其他的一些功能都可以通过访问表来达到目的。
访问列表的种类划分目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。
基本访问表控制基于网络地址的信息流,且只允许过滤源地址。
扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据。
表1列出了路由器所支持的不同访问表的号码范围。
由于篇幅所限,本文只对标准访问列表和扩展访问列表进行讨论。
标准IP访问表标准IP访问表的基本格式为:access-list [listnumber][permit|deny][host/any][sourceaddress][wildcard-mask][log] 下面对标准IP访问表基本格式中的各项参数进行解释:1.list number---表号范围标准IP访问表的表号标识是从1到99。
2.permit/deny----允许或拒绝关键字permit和deny用来表示满足访问表项的报文是允许通过接口,还是要过滤掉。
permit表示允许报文通过接口,而deny表示匹配标准IP访问表源地址的报文要被丢弃掉。
3.source address----源地址对于标准的IP访问表,源地址是主机或一组主机的点分十进制表示,如:198.78.46.8。
思科访问控制列表实验案例
思科访问控制列表实验案例1. 配置路由器到网络各点可通网络如图,动态路由已设好,IP地址分配如下:RouterA f0/0: 10.65.1.2RouterA f0/1: 10.66.1.2RouterA s0/1: 10.68.1.2RouterC s0/0: 10.68.1.1RouterC s0/1: 10.78.1.2RouterB s0/0: 10.78.1.1RouterB s0/1: 10.69.1.2RouterB f0/0: 10.70.1.2SWA:10.65.1.8 gateway:10.65.1.2PCA:10.65.1.1 gateway:10.65.1.2PCB:10.66.1.1 gateway:10.66.1.2PCC:10.69.1.1 gateway:10.69.1.2PCD:10.70.1.1 gateway:10.70.1.2PCE:10.65.1.3 gateway:10.65.1.2PCF:10.65.2.1 gateway:10.65.1.22. 基本的访问控制列表:先从PCA ping PCD:[root@PCA @root]#ping 10.70.1.1 (通)在ROC的s0/0写一个输入的访问控制列表:RouterC(config)#access-lilt 1 permit 10.65.1.1 0.0.0.0RouterC(config)#access-list 1 deny anyRouterC(config)#int s0/0RouterC(config-if)#ip access-group 1 inRouterC(config-if)#endRouterC#sh access-list 1[root@PCA @root]#ping 10.70.1.1 (通)[root@PCE @root]#ping 10.70.1.1 (不通)[root@PCE @root]#ping 10.66.1.1 (通)[root@PCB @root]#ping 10.70.1.1 (不通)[root@PCD @root]#ping 10.66.1.1 (通)第一个ping,PCA的IP地址是10.65.1.1在访问控制列表access-list 1中是允许的,所以通。
CISCO ACL 思科 访问控制列表
Standard ACL Syntax: legacy: numbered access-list access-list # <policy> <source> [ log ]
permit 192.168.10.1 deny 192.168.10.0 0.0.0.255 IOS version 11.2 and later: named access-list permit 10.0.0.0 0.255.255.255 ip access-list standard <name> deny any <policy> <source> [ log ] Access-list MUST be applied 1. Standard ACL 1 is restricting Syntax: (config)# interface s0/0 traffic from the Internet to W1. (config-if)# ip access-group 1 [ in | out ] Standard ACL #: 1-99 OR 1300-1999 Where should it be applied? Notes: What direction? policy: perrmit OR deny 1. Order matters. Rules are scanned until the first match; then the rest of the rules are ignored. Source Address (also destination in extended acl): 2. Extended ACL 100 is restricting What happens if an ACL starts with permit any? any - any IP address traffic from both W1 & W2 to the 2. Standard ACL should be placed close to [host] address - single IP Internet? destination. Why? <subnet> <wildcard> - all IPs in subnet Where should it be applied? 3. Extended ACL should be placed close to What direction? log optional and slows performance destination. Why? useful for debugging and rare events 4. Direction is with respect to the router.
《思科课件访问控制列表ACL的配置》课件
带名字的ACL
通过为ACL分配名字方便管理 和配置
ACL配置
1
配置ACL规则
定义ACL中的每个规则,包括允许或拒绝的条件和操作。
2
关联ACL和网络接口
将ACL应用到特定的网络接口,以实现访问控制。
示例
配置标准ACL控制PC2 的访 问
限制PC2对特定网络资源的访问。
配置扩展ACL控制PC1 的访 问
思科课件访问控制列表 ACL的配置
网络安全是一个重要的话题,本课件将介绍思科访问控制列表(ACL)的配置, 这项技术常用于网络设备上进行访问控制,保护网络免受未授权访问和恶意 攻击。
ACL的分类
ACL根据其功能和范围的不同可以分为三种址控制数据包 流向
扩展ACL
可以基于源IP地址、目的IP地 址、协议类型、端口号等进 行控制
使用目的IP地址和协议类型控制 PC1对某种服务的访问。
配置带名字的ACL
为ACL分配一个有意义的名字, 方便记忆和管理。
总结
1 ACL常用于访问控制
2A
通过网络设备实现对网络流量的控制和保护。
分为标准ACL、扩展ACL、带名字的ACL,根据 需要选择适合的类型。
3 具有permit和deny操作
ACL规则可以允许或拒绝特定类型的流量。
4 通过配置ACL规则和关联网络接口实
现访问控制
使用正确的规则将ACL应用到适当的网络接口, 来保护网络安全。
Cisco access-list 访问控制列表配置全解
ACL(Access Control List,访问控制列表)
技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。
让我们先把刚才配置的ACL都取掉(具体配置略,不然后读者会以为我在骗稿费了。),再在每台网络设备上均进行如下配置:
access-list 1 permit host 10.1.6.66
line vty 0 4(部分设备是15)
access-class 1 in
这样就行了,telnet都是访问的设备上的line vty,在line vty下面使用access-class与ACL组进行关联,in关键字表示控制进入的连接。
vlan1///ip access-group 1 out:这两句将access-list 1应用到vlan1接口的out方向。其中1是ACL号,和相应的ACL进行关联。Out是对路由器该接口上哪个方向的包进行过滤,可以有in和out两种选择。
Cisco路由器中基于时间的访问控制列表案例介绍
time-range:用来定义时间范围;time-range-name:时间范围名称,用来标识时间范围,以便在后面的访问列表中引用;absolute:该命令用来指定绝对时间范围。
它后面紧跟start和end两个关键字。
在两个关键字后面的时间要以24小时制和“hh: mm(小时:分钟)”表示,日期要按照“日/月/年”形式表示。
这两个关键字也可以都省略。
如果省略start及其后面的时间,表示与之相联系的permit 或deny语句立即生效,并一直作用到end处的时间为止;若省略end及其后面的时间,表示与之相联系的permit 或deny语句在start处表示的时间开始生效,并且永远发生作用(当然如把访问列表删除了的话就不会起作用了)。
为了便于理解,下面看两个例子。
如果要表示每天早8点到晚6点开始起作用,可以用这样的语句:absolute start 8∶00 end 18∶00再如,我们要使一个访问列表从2003年1月1日早8点开始起作用,直到2003年1月10日晚23点停止作用,命令如下:absolute start 8∶00 1 January 2003 end 23∶00 10 January 2003这样我们就可以用这种基于时间的访问列表来实现,而不用半夜跑到办公室去删除那个访问列表了。
接下来,介绍一下periodic命令及其参数。
一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。
periodic:主要以星期为参数来定义时间范围。
它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合,也可以是daily(每天)、weekday(周一到周五)或者weekend(周末)。
我们还是来看几个具体的例子。
比如表示每周一到周五的早9点到晚10点半,命令如下:periodic weekday 9∶00 to 22∶30每周一早7点到周二的晚8点可以这样表示:periodic Monday to Tuesday 20∶00在把时间范围定义清楚后,我们来看看如何在实际情况下应用这种基于时间的访问列表。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。
今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。
什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
分类:标准访问控制列表扩展访问控制列表基于名称的访问控制列表反向访问控制列表基于时间的访问控制列表标准访问列表:访问控制列表ACL分很多种,不同场合应用不同种类的ACL。
其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL访问控制列表ACL分很多种,不同场合应用不同种类的ACL。
其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。
标准访问控制列表的格式:标准访问控制列表是最简单的ACL。
它的具体格式如下:access-list ACL号permit|deny host ip地址例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。
当然我们也可以用网段来表示,对某个网段进行过滤。
命令如下:access-list 10 deny 192.168.1.0 0.0.0.255通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。
为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。
小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。
标准访问控制列表实例一:网络环境介绍:我们采用如图所示的网络结构。
路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。
在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。
实例1:禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。
172.16.4.13可以正常访问172.16.3.0/24。
路由器配置命令access-list 1 permit host 172.16.4.13 设置ACL,容许172.16.4.13的数据包通过。
access-list 1 deny any设置ACL,阻止其他一切IP地址进行通讯传输。
int e 1进入E1端口。
ip access-group 1 in将ACL 1宣告。
经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。
来自其他IP地址的数据包都无法通过E1传输。
小提示:由于CISCO默认添加了DENY ANY的语句在每个ACL中,所以上面的access-list 1 deny any这句命令可以省略。
另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告,宣告结果和上面最后两句命令效果一样。
标准访问控制列表实例二:配置任务:禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问,而172.16.4.0/24中的其他计算机可以正常访问。
路由器配置命令:access-list 1 deny host 172.16.4.13设置ACL,禁止172.16.4.13的数据包通过access-list 1 permit any设置ACL,容许其他地址的计算机进行通讯int e 1进入E1端口ip access-group 1 in将ACL1宣告,同理可以进入E0端口后使用ip access-group 1 out来完成宣告。
配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯,传输数据包。
总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。
应用比较广泛,经常在要求控制级别较低的情况下使用。
如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。
扩展访问控制列表:上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。
那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。
这时候就需要使用扩展访问控制列表了。
使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。
扩展访问控制列表使用的ACL号为100到199。
扩展访问控制列表的格式:扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下:access-list ACL号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。
小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。
扩展访问控制列表的实例:网络环境介绍:我们采用如图所示的网络结构。
路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。
在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。
配置任务:禁止172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可以访问172.16.4.13上的WWW服务,而其他服务不能访问。
路由器配置命令:access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www设置ACL101,容许源地址为任意IP,目的地址为172.16.4.13主机的80端口即WWW服务。
由于CISCO默认添加DENY ANY 的命令,所以ACL只写此一句即可。
int e 0进入E1端口ip access-group 101 out将ACL101宣告出去设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了,就算是服务器172.16.4.13开启了FTP服务也无法访问,惟独可以访问的就是172.16.4.13的WWW服务了。
而172.16.4.0的计算机访问172.16.3.0的计算机没有任何问题。
扩展ACL有一个最大的好处就是可以保护服务器,例如很多服务器为了更好的提供服务都是暴露在公网上的,如果所有端口都对外界开放,很容易招来黑客和病毒的攻击,通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉,降低了被攻击的机率。
如本例就是仅仅将80端口对外界开放。
总结:扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP。
不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器CPU资源。
所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。
基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL 的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。
也就是说修改一条或删除一条都会影响到整个ACL列表。
这一个缺点影响了我们的工作,为我们带来了繁重的负担。
不过我们可以用基于名称的访问控制列表来解决这个问题。
一、基于名称的访问控制列表的格式:ip access-list [standard|extended] [ACL名称]例如:ip access-list standard softer就建立了一个名为softer的标准访问控制列表。
二、基于名称的访问控制列表的使用方法:当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。
例如我们添加三条ACL规则permit 1.1.1.1 0.0.0.0permit 2.2.2.2 0.0.0.0permit 3.3.3.3 0.0.0.0如果我们发现第二条命令应该是2.2.2.1而不是2.2.2.2,如果使用不是基于名称的访问控制列表的话,使用no permit 2.2.2.2 0.0.0.0后整个ACL信息都会被删除掉。