什麼是acl?
訪問控制列表簡稱為acl,訪問控制列表使用包過濾技術,在路由器上讀取第三層及第四層包頭中的資訊如源位址,目的位址,源埠,目的埠等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。該技術初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機也開始提供acl的支援了。
訪問控制列表使用原則
由於acl涉及的配置命令很靈活,功能也很強大,所以我們不能只通過乙個小小的例子就完全掌握全部acl的配置。在介紹例子前為大家將acl設定原則羅列出來,方便各位讀者更好的消化acl知識。
1、最小特權原則
只給受控物件完成任務所必須的最小的許可權。也就是說被控制的總規則是各個規則的交集,只滿足部分條件的是不容許通過規則的。
2、最靠近受控物件原則
所有的網路層訪問許可權控制。也就是說在檢查規則時是採用自上而下在acl中一條條檢測的,只要發現符合條件了就立刻**,而不繼續檢測下面的acl語句。
3、預設丟棄原則
在cisco路由交換裝置中預設最後一句為acl中加入了deny any any,也就是丟棄所有不符合條件的資料報。這一點要特別注意,雖然我們可以修改這個預設,但未改前一定要引起重視。
由於acl是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分資訊,這種技術具有一些固有的侷限性,如無法識別到具體的人,無法識別到應用內部的許可權級別等。因此,要達到端到端的許可權控制目的,需要和系統級及應用級的訪問許可權控制結合使用。
分類:標準訪問控制列表
擴充套件訪問控制列表
基於名稱的訪問控制列表
反向訪問控制列表
基於時間的訪問控制列表
標準訪問列表:
訪問控制列表acl分很多種,不同場合應用不同種類的acl。其中最簡單的就是標準訪問控制列表,標準訪問控制列表是通過使用ip包中的源ip位址進行過濾,使用的訪問控制列表號1到99來建立相應的acl
訪問控制列表acl分很多種,不同場合應用不同種類的acl。其中最簡單的就是標準訪問控制列表,他是通過使用ip包中的源ip位址進行過濾,使用的訪問控制列表號1到99來建立相應的acl。
標準訪問控制列表的格式:
標準訪問控制列表是最簡單的acl。
它的具體格式如下:access-list acl號 permit|deny host ip位址
例如:access-list 10 deny host 192.168.1.1這句命令是將所有來自192.168.1.1位址的資料報丟棄。
當然我們也可以用網段來表示,對某個網段進行過濾。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255
通過上面的配置將來自192.168.1.
0/24的所有計算機資料報進行過濾丟棄。為什麼後頭的子網掩碼表示的是0.0.
0.255呢?這是因為cisco規定在acl中用反向掩瑪表示子網掩碼,反向掩碼為0.
0.0.255的代表他的子網掩碼為255.
255.255.0。
小提示:對於標準訪問控制列表來說,預設的命令是host,也就是說access-list 10 deny 192.168.
1.1表示的是拒絕192.168.
1.1這台主機資料報通訊,可以省去我們輸入host命令。
標準訪問控制列表例項一:
網路環境介紹:
我們採用如圖所示的網路結構。路由器連線了二個網段,分別為172.16.
4.0/24,172.16.
3.0/24。在172.
16.4.0/24網段中有一台伺服器提供www服務,ip位址為172.
16.4.13。
例項1:禁止172.16.
4.0/24網段中除172.16.
4.13這台計算機訪問172.16.
3.0/24的計算機。172.
16.4.13可以正常訪問172.
16.3.0/24。
路由器配置命令
access-list 1 permit host 172.16.4.13 設定acl,容許172.16.4.13的資料報通過。
access-list 1 deny any 設定acl,阻止其他一切ip位址進行通訊傳輸。
int e 1 進入e1埠。
ip access-group 1 in 將acl 1宣告。
經過設定後e1埠就只容許來自172.16.4.13這個ip位址的資料報傳輸出去了。來自其他ip位址的資料報都無法通過e1傳輸。
小提示:由於cisco預設新增了deny any的語句在每個acl中,所以上面的access-list 1 deny any這句命令可以省略。另外在路由器連線網路不多的情況下也可以在e0埠使用ip access-group 1 out命令來宣告,宣告結果和上面最後兩句命令效果一樣。
標準訪問控制列表例項二:
配置任務:禁止172.16.
4.13這個計算機對172.16.
3.0/24網段的訪問,而172.16.
4.0/24中的其他計算機可以正常訪問。
路由器配置命令:
access-list 1 deny host 172.16.4.13 設定acl,禁止172.16.4.13的資料報通過
access-list 1 permit any 設定acl,容許其他位址的計算機進行通訊
int e 1 進入e1埠
ip access-group 1 in 將acl1宣告,同理可以進入e0埠後使用ip access-group 1 out來完成宣告。
配置完畢後除了172.16.4.13其他ip位址都可以通過路由器正常通訊,傳輸資料報。
總結:標準acl占用路由器資源很少,是一種最基本最簡單的訪問控制列**式。應用比較廣泛,經常在要求控制級別較低的情況下使用。
如果要更加複雜的控制資料報的傳輸就需要使用擴充套件訪問控制列表了,他可以滿足我們到埠級的要求。
擴充套件訪問控制列表:
上面我們提到的標準訪問控制列表是基於ip位址進行過濾的,是最簡單的acl。那麼如果我們希望將過濾細到埠怎麼辦呢?或者希望對資料報的目的位址進行過濾。
這時候就需要使用擴充套件訪問控制列表了。使用擴充套件ip訪問列表可以有效的容許使用者訪問物理lan而並不容許他使用某個特定服務(例如www,ftp等)。擴充套件訪問控制列表使用的acl號為100到199。
擴充套件訪問控制列表的格式:
擴充套件訪問控制列表是一種高階的acl,配置命令的具體格式如下:access-list acl號 [permit|deny] [協議] [定義過濾源主機範圍] [定義過濾源埠] [定義過濾目的主機訪問] [定義過濾目的埠]
例如:access-list 101 deny tcp any host 192.168.
1.1 eq www這句命令是將所有主機訪問192.168.
1.1這個位址網頁服務(www)tcp連線的資料報丟棄。
小提示:同樣在擴充套件訪問控制列表中也可以定義過濾某個網段,當然和標準訪問控制列表一樣需要我們使用反向掩碼定義ip位址後的子網掩碼。
擴充套件訪問控制列表的例項:
網路環境介紹:
我們採用如圖所示的網路結構。路由器連線了二個網段,分別為172.16.
4.0/24,172.16.
3.0/24。在172.
16.4.0/24網段中有一台伺服器提供www服務,ip位址為172.
16.4.13。
配置任務:禁止172.16.
3.0的計算機訪問172.16.
4.0的計算機,包括那台伺服器,不過惟獨可以訪問172.16.
4.13上的www服務,而其他服務不能訪問。
路由器配置命令:
access-list 101 permit tcp any 172.16.4.
13 0.0.0.
0 eq www 設定acl101,容許源位址為任意ip,目的位址為172.16.4.
13主機的80埠即www服務。由於cisco預設新增deny any的命令,所以acl只寫此一句即可。
int e 0 進入e1埠
ip access-group 101 out 將acl101宣告出去
設定完畢後172.16.3.
0的計算機就無法訪問172.16.4.
0的計算機了,就算是伺服器172.16.4.
13開啟了ftp服務也無法訪問,惟獨可以訪問的就是172.16.4.
13的www服務了。而172.16.
4.0的計算機訪問172.16.
3.0的計算機沒有任何問題。
擴充套件acl有乙個最大的好處就是可以保護伺服器,例如很多伺服器為了更好的提供服務都是暴露在公網上的,如果所有埠都對外界開放,很容易招來黑客和病毒的攻擊,通過擴充套件acl可以將除了服務埠以外的其他埠都封鎖掉,降低了被攻擊的機率。如本例就是僅僅將80埠對外界開放。
總結:擴充套件acl功能很強大,他可以控制源ip,目的ip,源埠,目的埠等,能實現相當精細的控制,擴充套件acl不僅讀取ip包頭的源位址/目的位址,還要讀取第四層包頭中的源埠和目的埠的ip。不過他存在乙個缺點,那就是在沒有硬體acl加速的情況下,擴充套件acl會消耗大量的路由器cpu資源。
所以當使用中低檔路由器時應儘量減少擴充套件acl的條目數,將其簡化為標準acl或將多條擴充套件acl合一是最有效的方法。
基於名稱的訪問控制列表
不管是標準訪問控制列表還是擴充套件訪問控制列表都有乙個弊端,那就是當設定好acl的規則後發現其中的某條有問題,希望進行修改或刪除的話只能將全部acl資訊都刪除。也就是說修改一條或刪除一條都會影響到整個acl列表。這乙個缺點影響了我們的工作,為我們帶來了繁重的負擔。
不過我們可以用基於名稱的訪問控制列表來解決這個問題。
一、基於名稱的訪問控制列表的格式:
ip access-list [standard|extended] [acl名稱]
例如:ip access-list standard softer就建立了乙個名為softer的標準訪問控制列表。
cisco路由器配置ACL詳解
如果有人說路由交換裝置主要就是路由和交換的功能,僅僅在路由交換資料報時應用的話他一定是個門外漢。如果僅僅為了交換資料報我們使用普通的hub就能勝任,如果只是使用路由功能我們完全可以選擇一台windows伺服器來做遠端路由訪問配置。實際上路由器和交換機還有乙個用途,那就是網路管理,學會通過硬體裝置來方...
CISCO路由器配置為DHCP伺服器
把路由器配置為dhcp的伺服器端,以對路由器下所連線的客戶工作站進行ip位址的分配。解決例項 下面的配置命令,可以配置路由器為dhcp伺服器,用以給dhcp客戶端動態分配ip位址。router1 configure terminal enter configuration commands,one ...
路由器NAT配置例項詳解
路由器nat功能配置簡介 隨著internet的網路迅速發展,ip位址短缺已成為乙個十分突出的問題。為了解決這個問題,出現了多種解決方案。下面幾紹一種在目前網路環境中比較有效的方法即位址轉換 nat 功能。一 nat簡介 nat network address translation 的功能,就是指...