cisco acl原理及配置詳解
2010-04-22 09:49
訪問控制列表簡稱為acl,訪問控制列表使用包過濾技術,在路由器上讀取第三層及第四層包頭中的資訊如源位址,目的位址,源埠,目的埠等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。該技術初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機也開始提供acl的支援了。
標準訪問控制列表例項二
配置任務:禁止172.16.
4.13這個計算機對172.16.
3.0/24網段的訪問,而172.16.
4.0/24中的其他計算機可以正常訪問。
路由器配置命令:
access-list 1 deny host 172.16.4.13 設定acl,禁止172.16.4.13的資料報通過
access-list 1 permit any 設定acl,容許其他位址的計算機進行通訊
int e 1 進入e1埠
ip access-group 1 in 將acl1宣告,同理可以進入e0埠後使用ip access-group 1 out來完成宣告。
配置完畢後除了172.16.4.13其他ip位址都可以通過路由器正常通訊,傳輸資料報。
總結:標準acl占用路由器資源很少,是一種最基本最簡單的訪問控制列**式。應用比較廣泛,經常在要求控制級別較低的情況下使用。
如果要更加複雜的控制資料報的傳輸就需要使用擴充套件訪問控制列表了,他可以滿足我們到埠級的要求。
擴充套件訪問控制列表:
上面我們提到的標準訪問控制列表是基於ip位址進行過濾的,是最簡單的acl。那麼如果我們希望將過濾細到埠怎麼辦呢?或者希望對資料報的目的位址進行過濾。
這時候就需要使用擴充套件訪問控制列表了。使用擴充套件ip訪問列表可以有效的容許使用者訪問物理lan而並不容許他使用某個特定服務(例如www,ftp等)。擴充套件訪問控制列表使用的acl號為100到199。
擴充套件訪問控制列表的格式
剛剛我們提到了標準訪問控制列表,他是基於ip位址進行過濾的,是最簡單的acl。那麼如果我們希望將過濾細到埠怎麼辦呢?或者希望對資料報的目的位址進行過濾。
這時候就需要使用擴充套件訪問控制列表了。使用擴充套件ip訪問列表可以有效的容許使用者訪問物理lan而並不容許他使用某個特定服務(例如www,ftp等)。擴充套件訪問控制列表使用的acl號為100到199。
擴充套件訪問控制列表的格式:
擴充套件訪問控制列表是一種高階的acl,配置命令的具體格式如下:
access-list acl號 [permit|deny] [協議] [定義過濾源主機範圍] [定義過濾源埠] [定義過濾目的主機訪問] [定義過濾目的埠]
例如:access-list 101 deny tcp any host 192.168.
1.1 eq www這句命令是將所有主機訪問192.168.
1.1這個位址網頁服務(www)tcp連線的資料報丟棄。
小提示:同樣在擴充套件訪問控制列表中也可以定義過濾某個網段,當然和標準訪問控制列表一樣需要我們使用反向掩碼定義ip位址後的子網掩碼。
擴充套件訪問控制列表例項
我們採用如圖所示的網路結構。路由器連線了二個網段,分別為172.16.
4.0/24,172.16.
3.0/24。在172.
16.4.0/24網段中有一台伺服器提供www服務,ip位址為172.
16.4.13。
配置任務:禁止172.16.
3.0的計算機訪問172.16.
4.0的計算機,包括那台伺服器,不過惟獨可以訪問172.16.
4.13上的www服務,而其他服務不能訪問。
路由器配置命令:
access-list 101 permit tcp any 172.16.4.
13 0.0.0.
0 eq www 設定acl101,容許源位址為任意ip,目的位址為172.16.4.
13主機的80埠即www服務。由於cisco預設新增deny any的命令,所以acl只寫此一句即可。
int e 1 進入e1埠
ip access-group 101 out 將acl101宣告出去
設定完畢後172.16.3.
0的計算機就無法訪問172.16.4.
0的計算機了,就算是伺服器172.16.4.
13開啟了ftp服務也無法訪問,惟獨可以訪問的就是172.16.4.
13的www服務了。而172.16.
4.0的計算機訪問172.16.
3.0的計算機沒有任何問題。
擴充套件acl有乙個最大的好處就是可以保護伺服器,例如很多伺服器為了更好的提供服務都是暴露在公網上的,這時為了保證服務正常提供所有埠都對外界開放,很容易招來黑客和病毒的攻擊,通過擴充套件acl可以將除了服務埠以外的其他埠都封鎖掉,降低了被攻擊的機率。如本例就是僅僅將80埠對外界開放。
總結:擴充套件acl功能很強大,他可以控制源ip,目的ip,源埠,目的埠等,能實現相當精細的控制,擴充套件acl不僅讀取ip包頭的源位址/目的位址,還要讀取第四層包頭中的源埠和目的埠的ip。不過他存在乙個缺點,那就是在沒有硬體acl加速的情況下,擴充套件acl會消耗大量的路由器cpu資源。
所以當使用中低檔路由器時應儘量減少擴充套件acl的條目數,將其簡化為標準acl或將多條擴充套件acl合一是最有效的方法。
基於名稱的訪問控制列表
不管是標準訪問控制列表還是擴充套件訪問控制列表都有乙個弊端,那就是當設定好acl的規則後發現其中的某條有問題,希望進行修改或刪除的話只能將全部acl資訊都刪除。也就是說修改一條或刪除一條都會影響到整個acl列表。這乙個缺點影響了我們的工作,為我們帶來了繁重的負擔。
不過我們可以用基於名稱的訪問控制列表來解決這個問題。
一、基於名稱的訪問控制列表的格式:
ip access-list [standard|extended] [acl名稱]
例如:ip access-list standard softer就建立了乙個名為softer的標準訪問控制列表。
二、基於名稱的訪問控制列表的使用方法:
當我們建立了乙個基於名稱的訪問列表後就可以進入到這個acl中進行配置了。
例如我們新增三條acl規則
permit 1.1.1.1 0.0.0.0
permit 2.2.2.2 0.0.0.0
permit 3.3.3.3 0.0.0.0
如果我們發現第二條命令應該是2.2.2.
1而不是2.2.2.
2,如果使用不是基於名稱的訪問控制列表的話,使用no permit 2.2.2.
2 0.0.0.
0後整個acl資訊都會被刪除掉。正是因為使用了基於名稱的訪問控制列表,我們使用no permit 2.2.
2.2 0.0.
0.0後第一條和第三條指令依然存在。
總結:如果設定acl的規則比較多的話,應該使用基於名稱的訪問控制列表進行管理,這樣可以減輕很多後期維護的工作,方便我們隨時進行調整acl規則。
反向訪問控制列表:
我們使用訪問控制列表除了合理管理網路訪問以外還有乙個更重要的方面,那就是防範病毒,我們可以將平時常見病毒傳播使用的埠進行過濾,將使用這些埠的資料報丟棄。這樣就可以有效的防範病毒的攻擊。
不過即使再科學的訪問控制列表規則也可能會因為未知病毒的傳播而無效,畢竟未知病毒使用的埠是我們無法估計的,而且隨著防範病毒數量的增多會造成訪問控制列表規則過多,在一定程度上影響了網路訪問的速度。這時我們可以使用反向控制列表來解決以上的問題。
交換機ACL應用
acl應用 訪問控制列表應用 標準訪問控制列表的格式 訪問控制列表acl分很多種,不同場合應用不同種類的acl。其中最簡單的就是標準訪問控制列表,他是通過使用ip包中的源ip位址進行過濾,使用的訪問控制列表號1到99來建立相應的acl。標準訪問控制列表是最簡單的acl。它的具體格式如下 access...
交換機配置教程
一 華為交換機基本切換的命令列 1 使用者檢視 2 系統檢視 system view進系統檢視命令 huawei 進系統試圖狀態 3 介面檢視 huawei inte ce gigabitethernet 0 0 1進介面檢視命令進第一介面 huawei gigabitethernet0 0 1 進...
核心交換機配置方法
隨著internet市場的不斷發展,使用者對通訊的需求已從傳統的 傳真 電報等低速業務逐漸向高速的internet接入 可視 點播 video on demand,vod 等寬頻業務領域延伸。使用者對上網速率的需求也越來越高,乙太網接入因其成本低 使用簡單 速度高而倍受市場的關注。面對迅猛發展的寬頻...