AC访问控制列表
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
匹配任何地址(any) 仅匹配地址172.168.1.1 (host)
172.16.0.0
0.0.255.255
匹配网络172.16.0.0/16 中的分组
9、标准编号ACL的使用方法(比较条件只能基于源IP进行)
router(config)#access-list 1-99|1300-1999 permit|deny source_ip_address wildcard_mask (编写ACL条目)
ACL访问控制列表 1、ACL访问控制列表定义 ACL是通过一系列命令集,放置在合适接口上的,控制进入或离开接口的数据的 列表。 2、入站ACL和出站ACL
入站ACL作用,路由器将分组转发到其他接口之前,进行比较 ,判断是否接收。
出站ACL作用,分组在接口上接收,将其转发到出站接口,然后做比较,判断是 否能出。 3、ACL的类型
router(config)#interface type port# (进入需要启用ACL列表的接口)
router(config-if)#ip access-group ACL_# in|out (启用ACL列表)
实例1:
Router(config)#access-list 1 permit 192.168.1.1 0.0.0.0
WAN
R2
PC2 192.168.1.3
PC1不能使用QQ聊天 r1(config)#access-list 100 deny udp host 192.168.1.2 any eq 8000
r1(config)#access-list 100 permit ip any any
172.16.0. 0
router(config)# access-list 100 permit ip any any router(config)#intface e0
router(config-if)#ip access-group 100 out
10.5 扩展ACL的放置,尽量放在接近数据流源端。
PC1 192.168.1.2 R1
(B)255.255.255.255,与ACL语句进行比较的分组中地址已经不重要,任何地址 都将执行动作。如0.0.0.0 255.255.255.255,自动转换为any.
C:通配符掩码总结:
IP地址
0.0.0.0 172.16.1.1
通配符掩码
255.255.255.255 0.0.0.0
匹配内容
通配符掩码与子网掩码的区别
比特值 0 1 子网掩码 主机部分 网络部分 通配符掩码 必须匹配 不必匹配
A:通配符掩码的计算方法:一般情况为子网掩码的翻转。 B:特殊统配符掩码 0.0.0.0 和 255.255.255.255
(A)0.0.0.0,ACL语句中IP地址的所有32位比特都必须和分组中的IP地址匹配, 又称主机掩码。如192.168.1.2 0.0.0.0,自动转换为host 192.168.1.2.
Router(config)#access-list 1 deny 192.168.1.2 0.0.0.0 Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)#access-list 1 deny any Router(config)#interface s0 Router(config-if)#ip access-group 1 in 优化实例1: Router(config)#access-list 1 deny 192.168.1.2 0.0.0.0 Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)#interface s0 Router(config-if)#ip access-group 1 in
10、扩展编号ACL的使用方法
10.1可以匹配的项目
A:源地址与目标地址;B:IP协议(IP、TCP、UDP);C:端口号。
10.2语法命令: router(config)#access-list 100-199|2000-2699 permit|deny ip_protocol source_ip_address source_wildcard_mask Destination_address destination_wildcard_mask 端口 注意: (A)动作之后是希望匹配的IP协议. (B)必须指定源地址和目的地址及其通配符掩码。 10.3 TCP及UDP: router(config)#access-list 100-199|2000-2699 permit|deny TCP|UDP source_ip_address source_wildcard_mask
Router(config)#access-list 2 permit any
Router(config)#interface e0 Router(config-if)#ip access-group 2 in
目标:除了PC1、2均能访问PC5. 在R2上配置ACL,并启用 r2(config)#access-list 1 deny 192.168.1.2 0.0.0.0 r2(config)#access-list 1 deny 192.168.1.3 0.0.0.0 r2(config)#access-list 1 permint permint any r2(config)#int fe0/1 r2(config-if)#ip r2(config-if)#ip access-group 1 out
5、基本ACL配置
router(config)#access-list ACL_# permit|deny conditions
ACL的类型及编号范围 ACL 类型 ACL编号
IP 标准
IP扩展
1-99,1300-1999
100-199,2000-2699
6、启动ACL
配置完成后必须在合适的接口启动ACL。 router(config)#interface type [slot_#] port_# router(config-if)#ip access-group ACL_# in|out in:流入接口,out:离开接口
192.168.1.2/24 7、编辑ACL条目 注意:ACL条目无法更改顺序。 常用编辑ACL的方法步骤
源自文库
拒绝192.168.2.0
192.168.2.2/24
A:执行show running-config,找到路由器的ACL条目。 B:使用鼠标选择并拷贝ACL命令。 C:把ACL命令粘贴到文本编辑器。
实例2:
Router(config)#access-list 2 deny 192.168.1.0 0.0.0.255
Router(config)#access-list 2 deny 172.16.0.0 0.0.255.255 Router(config)#access-list 2 permit 192.168.1.1 0.0.0.0 Router(config)#access-list 2 permit 0.0.0.0 255.255.255.255 Router(config)#interface e0 Router(config-if)#ip access-group 1 in 优化实例2: Router(config)#access-list 2 permit 192.168.1.1 0.0.0.0 Router(config)#access-list 2 deny 192.168.1.0 0.0.0.255 Router(config)#access-list 2 deny 172.16.0.0 0.0.255.255
D:在文本编辑器中编辑ACL,添加、修改、删除条目。
E:在文本编辑器中复制ACL F:在路由器上移除应用到端口的ACL:no ip access-group acl_# in|out
G:删除旧的ACL:no access-list acl_#
H:在配置模式下,粘贴文本编辑器中复制的内容。
I:在接口子配置模式下,启用ACL. 8、通配符掩码
端口名
telnet www
端口号 23 80
常用的端口号(UDP)。 端口名 dns rip 端口号 53 520 端口名 qq
端口号
8000
10.4、启用扩展ACL
router(config)#interface type port# (进入需要启用ACL列表的接口)
router(config-if)#ip access-group ACL_# in|out (启用ACL列表)
172.16.4.0/24
172.16.3.0/24 E0 E1
172.16.4.13/24
A:编号ACL、命名ACL
标准ACL与扩展ACL
B:标准ACL、扩展ACL
可过滤的信息
源地址 目的地址
标准IP ACL
是 否
扩展IP ACL
是 是 是
IP协议(TCP、UDP、ICMP)否
4、处理过程(重要原理)
A:路由器自顶向下处理ACL进行匹配,如果发现匹配,则执行: a:允许。 b:拒绝。
否则查找下一条语句,一直找到为止;当遍历了ACL没有找到匹配,则丢弃该分组。 ACL自顶向下处理的注意点:
(1).一旦找到匹配项,后序语句则不再处理。
(2).语句之间的顺序很重要。一般把最详细的ACL语句放在前面 ,笼统的语句放 在后面。 (3).如果列表没有匹配项目,分组将被丢弃。 B:注意隐含拒绝
当遍历了ACL没有找到匹配,则丢弃该分组(隐含拒绝),每个ACL尾部都有,但是 不可见。
C:路由器不能过滤自己产生的流量 D:每个ACL只能有一个唯一的号码或名称 E:ACL的放置位置很重要,应把策略放在靠近数据流的目标端。
destination_address destination_wildcard_mask (编写ACL条目)
注意:要匹配端口,必须使用操作符。
操作符 lt
eq
说明 小于
等于
操作符 neq
说明 不等于
gt
大于
range
端口号范围
常用的端口号(TCP)。 端口名 ftp
smtp
端口号 20/21
25
扩展ACL实例
router(config)#access-list 100 permint udp any host 172.16.1.1 eq 53 router(config)#access-list 100 permint tcp 172.17.0.0 0.0.255.255
host 172.16.1.2 eq 23
172.16.0.0
0.0.255.255
匹配网络172.16.0.0/16 中的分组
9、标准编号ACL的使用方法(比较条件只能基于源IP进行)
router(config)#access-list 1-99|1300-1999 permit|deny source_ip_address wildcard_mask (编写ACL条目)
ACL访问控制列表 1、ACL访问控制列表定义 ACL是通过一系列命令集,放置在合适接口上的,控制进入或离开接口的数据的 列表。 2、入站ACL和出站ACL
入站ACL作用,路由器将分组转发到其他接口之前,进行比较 ,判断是否接收。
出站ACL作用,分组在接口上接收,将其转发到出站接口,然后做比较,判断是 否能出。 3、ACL的类型
router(config)#interface type port# (进入需要启用ACL列表的接口)
router(config-if)#ip access-group ACL_# in|out (启用ACL列表)
实例1:
Router(config)#access-list 1 permit 192.168.1.1 0.0.0.0
WAN
R2
PC2 192.168.1.3
PC1不能使用QQ聊天 r1(config)#access-list 100 deny udp host 192.168.1.2 any eq 8000
r1(config)#access-list 100 permit ip any any
172.16.0. 0
router(config)# access-list 100 permit ip any any router(config)#intface e0
router(config-if)#ip access-group 100 out
10.5 扩展ACL的放置,尽量放在接近数据流源端。
PC1 192.168.1.2 R1
(B)255.255.255.255,与ACL语句进行比较的分组中地址已经不重要,任何地址 都将执行动作。如0.0.0.0 255.255.255.255,自动转换为any.
C:通配符掩码总结:
IP地址
0.0.0.0 172.16.1.1
通配符掩码
255.255.255.255 0.0.0.0
匹配内容
通配符掩码与子网掩码的区别
比特值 0 1 子网掩码 主机部分 网络部分 通配符掩码 必须匹配 不必匹配
A:通配符掩码的计算方法:一般情况为子网掩码的翻转。 B:特殊统配符掩码 0.0.0.0 和 255.255.255.255
(A)0.0.0.0,ACL语句中IP地址的所有32位比特都必须和分组中的IP地址匹配, 又称主机掩码。如192.168.1.2 0.0.0.0,自动转换为host 192.168.1.2.
Router(config)#access-list 1 deny 192.168.1.2 0.0.0.0 Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)#access-list 1 deny any Router(config)#interface s0 Router(config-if)#ip access-group 1 in 优化实例1: Router(config)#access-list 1 deny 192.168.1.2 0.0.0.0 Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)#interface s0 Router(config-if)#ip access-group 1 in
10、扩展编号ACL的使用方法
10.1可以匹配的项目
A:源地址与目标地址;B:IP协议(IP、TCP、UDP);C:端口号。
10.2语法命令: router(config)#access-list 100-199|2000-2699 permit|deny ip_protocol source_ip_address source_wildcard_mask Destination_address destination_wildcard_mask 端口 注意: (A)动作之后是希望匹配的IP协议. (B)必须指定源地址和目的地址及其通配符掩码。 10.3 TCP及UDP: router(config)#access-list 100-199|2000-2699 permit|deny TCP|UDP source_ip_address source_wildcard_mask
Router(config)#access-list 2 permit any
Router(config)#interface e0 Router(config-if)#ip access-group 2 in
目标:除了PC1、2均能访问PC5. 在R2上配置ACL,并启用 r2(config)#access-list 1 deny 192.168.1.2 0.0.0.0 r2(config)#access-list 1 deny 192.168.1.3 0.0.0.0 r2(config)#access-list 1 permint permint any r2(config)#int fe0/1 r2(config-if)#ip r2(config-if)#ip access-group 1 out
5、基本ACL配置
router(config)#access-list ACL_# permit|deny conditions
ACL的类型及编号范围 ACL 类型 ACL编号
IP 标准
IP扩展
1-99,1300-1999
100-199,2000-2699
6、启动ACL
配置完成后必须在合适的接口启动ACL。 router(config)#interface type [slot_#] port_# router(config-if)#ip access-group ACL_# in|out in:流入接口,out:离开接口
192.168.1.2/24 7、编辑ACL条目 注意:ACL条目无法更改顺序。 常用编辑ACL的方法步骤
源自文库
拒绝192.168.2.0
192.168.2.2/24
A:执行show running-config,找到路由器的ACL条目。 B:使用鼠标选择并拷贝ACL命令。 C:把ACL命令粘贴到文本编辑器。
实例2:
Router(config)#access-list 2 deny 192.168.1.0 0.0.0.255
Router(config)#access-list 2 deny 172.16.0.0 0.0.255.255 Router(config)#access-list 2 permit 192.168.1.1 0.0.0.0 Router(config)#access-list 2 permit 0.0.0.0 255.255.255.255 Router(config)#interface e0 Router(config-if)#ip access-group 1 in 优化实例2: Router(config)#access-list 2 permit 192.168.1.1 0.0.0.0 Router(config)#access-list 2 deny 192.168.1.0 0.0.0.255 Router(config)#access-list 2 deny 172.16.0.0 0.0.255.255
D:在文本编辑器中编辑ACL,添加、修改、删除条目。
E:在文本编辑器中复制ACL F:在路由器上移除应用到端口的ACL:no ip access-group acl_# in|out
G:删除旧的ACL:no access-list acl_#
H:在配置模式下,粘贴文本编辑器中复制的内容。
I:在接口子配置模式下,启用ACL. 8、通配符掩码
端口名
telnet www
端口号 23 80
常用的端口号(UDP)。 端口名 dns rip 端口号 53 520 端口名 qq
端口号
8000
10.4、启用扩展ACL
router(config)#interface type port# (进入需要启用ACL列表的接口)
router(config-if)#ip access-group ACL_# in|out (启用ACL列表)
172.16.4.0/24
172.16.3.0/24 E0 E1
172.16.4.13/24
A:编号ACL、命名ACL
标准ACL与扩展ACL
B:标准ACL、扩展ACL
可过滤的信息
源地址 目的地址
标准IP ACL
是 否
扩展IP ACL
是 是 是
IP协议(TCP、UDP、ICMP)否
4、处理过程(重要原理)
A:路由器自顶向下处理ACL进行匹配,如果发现匹配,则执行: a:允许。 b:拒绝。
否则查找下一条语句,一直找到为止;当遍历了ACL没有找到匹配,则丢弃该分组。 ACL自顶向下处理的注意点:
(1).一旦找到匹配项,后序语句则不再处理。
(2).语句之间的顺序很重要。一般把最详细的ACL语句放在前面 ,笼统的语句放 在后面。 (3).如果列表没有匹配项目,分组将被丢弃。 B:注意隐含拒绝
当遍历了ACL没有找到匹配,则丢弃该分组(隐含拒绝),每个ACL尾部都有,但是 不可见。
C:路由器不能过滤自己产生的流量 D:每个ACL只能有一个唯一的号码或名称 E:ACL的放置位置很重要,应把策略放在靠近数据流的目标端。
destination_address destination_wildcard_mask (编写ACL条目)
注意:要匹配端口,必须使用操作符。
操作符 lt
eq
说明 小于
等于
操作符 neq
说明 不等于
gt
大于
range
端口号范围
常用的端口号(TCP)。 端口名 ftp
smtp
端口号 20/21
25
扩展ACL实例
router(config)#access-list 100 permint udp any host 172.16.1.1 eq 53 router(config)#access-list 100 permint tcp 172.17.0.0 0.0.255.255
host 172.16.1.2 eq 23