访问控制列表ACL

一世执手 提交于 2019-12-06 09:14:09

访问控制列表ACL

为什么需要ACL,无非是进行访问控制罢了。这种技术从路由器逐步推广到交换机上进行使用。

ACL对入站或出站的通信进行过滤。ACL的局限性是不能对路由器本身发出的通信进行过滤,因此在路由器上执行ping或trace、route命令,或者通过路由器远程连接(telnet)另外一个网络设备,应用于路由器端口的ACL命令不能过滤这些通信。
ACL基本原则:
- 先匹配原则
- 排序原则
- 默认丢弃原则
我们知道ACL分为标准ACL和扩展ACL。

标准ACL

标准编号范围:1~99,1300~1999。
命令格式

Router(config)#access-list 编号 permit|deny 单个IP|{网络地址 反掩码} 

激活ACL命令(进入端口应用ACL)
in表示进入端口的分组(入站),out表示端口输出的分组(出站)。
我们可以这样理解,在针对配置的设备来说,该端口经过该设备传送即为入站,反之端口远离该设备即为出站。

Router(config)#interface 端口号
Router(config-if)#ip access-group acl编号 in|out

通配符掩码的例子

IP地址 通配符掩码 匹配
0.0.0.0 255.255.255.255 匹配任何地址(关键字any)
172.16.1.1 0.0.0.0 匹配host 172.16.1.1(匹配单个主机)

标准ACL默认配置
access-list 编号 deny any

扩展ACL

标准编号范围:1~99,1300~1999。
命令格式

Router(config)#access-list 编号 permit|deny 协议类型 源网络地址 反掩码 [控制信息]目的地址 反掩码 [控制信息] [log]

协议类型:tcp、udp、icmp、ip
对于TCP和UDP协议如下:

Router(config)#access-list 编号 permit|deny tcp|udp 源网络地址 反掩码 目的地址 反掩码 [操作符 端口|关键字] [established] [log]

激活ACL命令同标准ACL一致
实例配置:

Router#conf t
Router(config)#access-list 100 permit tcp any 172.16.0.0 0.0.255.255 established log
Router(config)#access-list 100 permit udp host 172.16.1.1 eq dns log
Router(config)#access-list 100 permit tcp 172.17.0.0 0.0.255.255 host 172.16.1.2 eq telnet log
Router(config)#access-list 100 permit icmp any 172.16.0.0 0.255.255.255 echo-reply log
Router(config)#access-list 100 deny ip any any log
Router(config)#interface ethernet0
Router(config-if)#ip access-group 100 in

标准ACL默认配置
access-list 编号 deny ip any any

以上就是我对ACL的小小见解。

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!