1. 技术文章
  2. 浅谈ACL 访问控制列表

浅谈ACL 访问控制列表

寵の児 提交于 2019-11-26 05:18:25

ACL访问控制列表

用途:是应用在路由器接口列表的一种路由策略(也可以说是定义的一种规则)这个列表中的内容就是告诉路由器,哪些数据包可以接收,哪些数据包不需要拒绝接收。

作用:1,访问控制 - 在路由器上流量进或出的接口上对流量进行特定的控制
2,定义感兴趣流量 - 为其他的各种路由策略匹配流量

访问控制::定义ACL后,将列表调用于路由器的接口上,当流量通过接口时,进行匹配,匹配成功之后按之前设定好的动作进行处理即可
动作分为两种:允许、拒绝。

匹配规则:至上而下逐一匹配,上条匹配按上条执行,不行再看下一条:末尾隐含拒绝所有(如果末尾不自行定义规则的话,默认的是拒绝其他的所有路由条目通过此接口进行传输)
分类:1.标准 ACL-仅关注数据包中的源IP地址
2.扩展ACL-关注数据包中源、目IP地址、目标编号、协议号。

写法:编号写法
标准 扩展;100-199(这个数字文章后面再解释)删除其中一条整个表都会消失
命名写法 一个名字一张列表 可以随意的删除某一条

配置
标准ACL—编号:由于标准ACL仅关注数据包中的源ip地址,调用时尽量的靠近目标,避免误删;
Router(config)#access-list 1 deny host 192.168.4.2 拒绝单一设备
Router(config)#access-list 1 deny 192.168.4.0 0.0.0.255 拒绝范围
Router(config)#access-list 1 deny any 拒绝所有

Router(config)#access-list 1 deny host 192.168.4.2
Router(config)#access-list 1 permit any
Router(config)#interface fastEthernet 0/0.1
Router(config-subif)#ip access-group 1 out

命名写法:
Router(config)#ip access-list standard a
Router(config-std-nacl)#deny host 192.168.4.2
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit

默认+10生成序列号,便于删除和插入
Router(config)#ip access-list standard a
Router(config-std-nacl)#15 deny host 1.1.1.1
Router(config-std-nacl)#no 15

扩展ACL配置:扩展ACL关注数据包中的源、目标ip地址,故调用时应该尽量的靠近源,当然不能在源上,因为ACL不能限制本地产生的流量;
r1(config)#access-list 100 deny ip host 192.168.4.2 host 192.168.1.2
源 目标
192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255 范围

r1(config)#access-list 100 permit ip any any
r1(config)#interface fastEthernet 0/0
r1(config-if)#ip access-group 100 in

r1(config)#access-list 100 deny ip host 192.168.4.2 host 192.168.1.2
r1(config)#access-list 100 permit ip any any
r1(config)#interface fastEthernet 0/0
r1(config-if)#ip access-group 100 in

关注目标端口号:
ICMP–ping 跨层封装协议,不存在端口号
Telnet–远程登录 基于TCP目标23号端口
设备开启远程登录
r1(config)#username ccna privilege 15 secret cisco123
r1(config)#line vty 0 4
r1(config-line)#login local

规则一个设备到另一个设备的目标端口
r1(config)#access-list 101 deny tcp host 1.1.1.1 host 2.2.2.2 eq 23 远程登录被拒绝
r1(config)#access-list 101 permit ip any any

r1(config)#access-list 102 deny icmp host 1.1.1.1 host 2.2.2.2 拒绝ping
r1(config)#access-list 102 permit ip any any

在此声明此文档中的配置命令来自于西安鸥鹏

标签
acl
访问控制列表
config
access
host
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!