访问控制列表 ACL

孤人 提交于 2019-12-06 09:14:37

访问控制列表

什么是访问控制列表

访问控制列表(ACL)

应用于路由器接口的指令列表 ,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝

ACL的工作原理

读取第三层及第四层包头中的信息

根据预先定义好的规则对包进行过滤


访问控制列表的作用

    提供网络访问的基本安全手段
    可用于QoS,控制数据流量
    控制通信量
    使用ACL阻止某指定网络访问另一指定网络

标准访问控制列表的配置

第一步,使用access-list命令创建访问控制列表

Router(config)#access-list access-list-number { permit | deny } source [ source- wildcard ] [log]

第二步,使用ip access-group命令把访问控制列表应用到某接口

Router(config-if)#ip access-group access-list-number { in | out }

    注意deny网络需要网络号和反掩码,对于特定主机需要加host

扩展访问控制列表

基于源和目的地址、传输层协议和应用端口号进行过滤

每个条件都必须匹配,才会施加允许或拒绝条件

使用扩展ACL可以实现更加精确的流量控制 

访问控制列表号从100到199

扩展访问控制列表的配置

第一步,使用access-list命令创建扩展访问控制列表

Router(config)#access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port] [established] [log]

	操作符及语法            意义

    eq  portnumber 		等于端口号 portnumber
    gt  portnumber 		大于端口号portnumber
    lt  portnumber 		小于端口号portnumber
    neq  portnumber  	不等于端口号portnumber

第二步,使用ip access-group命令将扩展访问控制列表应用到某接口

Router(config-if)#ip access-group access-list-number { in | out }

命名的访问控制列表

    标准ACL和扩展ACL中可以使用一个字母数字组合的字符串(名字)代替来表示ACL的表号
    命名IP访问列表允许从指定的访问列表删除单个条目
    如果添加一个条目到列表中,默认情况下该条目被添加到列表末尾 ,也可以在中间插入。
    不能以同一个名字命名多个ACL
    在命名的访问控制列表下 ,permit和deny命令的语法格式与前述有所不同 
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!