您的位置:360文档中心› 如何访问控制列表(ACL)一点心得分析

如何访问控制列表(ACL)一点心得分析

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

例: Router(config)# interface e0
Router(config-if)# ip access-group 1 out
表示在e0口上使用表号为1的ACL对出站数据包进行 过滤。
通配符掩码
在ACL语句中,当使用地址作为条件时,它的一般格式 为:地址 通配符掩码。 通配符掩码决定了地址中的哪些位需要精确匹配,哪些 为不需要匹配。
8.2 ACL语句
一个访问控制列表(ACL)可由多条语句组成,每条ACL 语句的形式为:
Router(config)# access-list 表号 处理方式 条件
ACL表号:用于区分各访问控制列表。
一台路由器中可定义多个ACL,每个ACL使用一个表号。 其中针对IP数据报的ACL可使用的表号为: 标准访问控制列表:1~99。 扩展访问控制列表:100~199。
应用ACL
如果只是定义了ACL,它还不会起到任何作用,必须把 ACL应用到一个接口上才能起作用。 应用ACL: Router(config)# interface 接口号
Router(config-if)# ip access-group 表号 [in | out]
in:表示在数据包进入此接口时使用ACL进行过滤。 out:表示在数据包离开此接口时使用ACL进行过滤。 通常,使用出站接口检查的数据包数量较少,效率要高 一些。
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255
Router(config)源自文库 access-list 1 permit any
上面两个语句是等价的。
host关键字:
当条件为单一IP地址时,如果使用通配符掩码应写为: IP地址 0.0.0.0 这时可以用“host”关键字定义这个条件。 如:
4、一个ACL可以应用到多个接口上。
实例1的实验验证:
同一个ACL中各语句的表号相同。
处理方式:取值有permit(允许)和deny(拒绝)两 种。当数据包与该语句的条件相匹配时,用给定的处 理方式进行处理。
条件:每条ACL语句只能定义一个条件。 例:
access-list 1 permit 10.0.0.0 0.255.255.255
access-list 1 deny 20.0.0.0 0.255.255.255 第1句表示允许地址为10.*.*.*的数据包通过。 第2句表示拒绝地址为20.*.*.*的数据包通过。 这里的地址指数据包的源地址。
R1# show access-lists
说明: 1、在每个ACL中都隐含着一个语句: access-list list-num deny any 它位于ACL的最后,表示拒绝所有。所以任何一个与 前面各语句都不匹配的数据包都会被拒绝。
2、在ip access-group语句中,用in或out表示入站时 匹配或出站时匹配,如果没有指定这个值,默认为 out。 3、在每个接口、每个方向上只能应用一个ACL。
通配符掩码是一个32位数,采用点分十进制方式书写。 匹配时,“0”表示检查的位,“1”表示不检查的位。
如:192.168.1.1 0.0.255.255
表示检查前16位,忽略后16位,所以这个条件表示的 地址是 192.168.*.*。
any条件:
当条件为所有地址时,如果使用通配符掩码应写为: 0.0.0.0 255.255.255.255 这时可以用“any”表示这个条件。 如:
ACL的基本用途是限制访问网络的用户,保护网络的安 全。 ACL一般只在以下路由器上配置: 1、内部网和外部网的边界路由器。
2、两个功能网络交界的路由器。
限制的内容通常包括: 1、允许那些用户访问网络。(根据用户的IP地址进行 限制) 2、允许用户访问的类型,如允许http和ftp的访问,但 拒绝Telnet的访问。(根据用户使用的上层协议进行限 制)
ACL的工作过程
访问控制列表(ACL) 由多条判断语句组成。每条语句给 出一个条件和处理方式(通过或拒绝)。 路由器对收到的数据包按照判断语句的书写次序进行检 查,当遇到相匹配的条件时,就按照指定的处理方式进 行处理。 ACL中各语句的书写次序非常重要,如果一个数据包和 某判断语句的条件相匹配时,该数据包的匹配过程就结 束了,剩下的条件语句被忽略。
第7章 访问控制 列表(ACL)
8.1 ACL概述
利用ACL可以对经过路由器的数据包按照设定的规则进 行过滤,使数据包有选择的通过路由器,起到防火墙的 作用。 访问控制列表(ACL)由一组规则组成,在规则中定义允许 或拒绝通过路由器的条件。
ACL过滤的依据主要包括源地址、目的地址、上层协议 等。
ACL有两种:标准访问控制列表、扩展访问控制列表。
Router(config)# access-list 1 permit 200.1.1.5 0.0.0.0
Router(config)# access-list 1 permit host 200.1.1.5 上面两个语句是等价的。
8.3 标准访问控制列表
标准ACL只能使用地址作为条件。 标准ACL使用数据包的源地址匹配ACL语句中的条件。 定义标准ACL时,可使用的表号为1~99。(针对IP数据 报)
标准ACL配置举例1
R1 E0
一个局域网连接在路由器R1的E0口,这个局域网 要求只有来自10.0.0.0/8、192.168.0.0/24、 192.168.1.0/24的用户能够访问。
R1(config)# access-list 1 permit 10.0.0.0 0.255.255.255
R1(config)# access-list 1 permit 192.168.0.0 0.0.0.255
R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255 R1(config)# interface e0 R1(config-if)# ip access-group 1 out 配置完成后,可以用命令查看ACL:
相关文档
最新文档