ACL--访问控制列表

前提是你 提交于 2019-12-06 09:14:23

      之前我们学习的静态路由和动态路由部分,都是网络中最基础的部分,需要我们熟练掌握,并能应用到实际中!今天我们来学习一个抓取流量的工具--ACL(访问控制列表)!

      ACL(访问控制列表--Access Control List)是一种路由器配置和控制网络访问的一种有力的工具。适用于所有的路由协议。

一、作用

    1、控制路由器应该允许或拒绝数据包通过

    2、监控流量

    3、检查网络的安全性(自上向下),检查和过滤数据和限制不必要的路由更新,让网络资源节约成本

   注:路由表属于控制层面,ACL属于数据层面

二、两个动作、ACL分类以及匹配规则

    1、动作   deny  拒绝   

                    permit  允许

    2、ACL分类  

         标准ACL   1-99    仅仅匹配源ip地址,尽量靠近目标

         扩展ACL   100-199   关注源ip、目标ip、协议号或端口号,尽量靠近源,ACL不能拒绝自身产生的流量

    3、匹配规则---从上往下依次匹配一旦匹配不再往下查询,末尾隐藏拒绝所有

三、ACL写法(编号写法和命名写法)

     

    1、标准ACL

        ①编号写法

    R3(config)#access-list 1 deny 192.168.1.2 0.0.0.0   拒绝192.168.1.2的流量
    R3(config)#access-list 1 permit any  允许其它流量通过

           切记:拒绝某个地址的流量一定写在前面,然后permit  any才是正确的写法。

           调用

    R3(config)#interface f0/1
    R3(config-if)#ip access-group 1 out 在出的接口限制流量
        ②命名写法       
    R3(config)#ip access-list standard xx
    R3(config-std-nacl)#deny host 192.168.1.2   
    R3(config-std-nacl)#permit any

    2、扩展ACL

        ①编号写法

    R1(config)#access-list 100 deny ip host 192.168.1.2 host 192.168.2.2
    R1(config)#access-list 100 permit ip any any
           调用
    R1(config)#interface f0/0
    R1(config-if)#ip access-group 100 in
        ②命名写法
    R1(config)#ip access-list extended ccna
    R1(config-ext-nacl)#deny ip host 192.168.1.2 host 192.168.2.2
    R1(config-ext-nacl)#permit ip any any

     

      ACL是保证网络安全最重要的核心策略之一,配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。在实际生活中作用很大,需要我们熟练掌握和使用!



易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!