acl應用
訪問控制列表應用
標準訪問控制列表的格式
訪問控制列表acl分很多種,不同場合應用不同種類的acl。其中最簡單的就是標準訪問控制列表,他是通過使用ip包中的源ip位址進行過濾,使用的訪問控制列表號1到99來建立相應的acl。
標準訪問控制列表是最簡單的acl。
它的具體格式如下:access-list acl號permit|deny host ip位址
例如:access-list 10 deny host 192.168.1.1這句命令是將所有來自192.168.1.1位址的資料報丟棄。
當然我們也可以用網段來表示,對某個網段進行過濾。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255
通過上面的配置將來自192.168.1.
0/24的所有計算機資料報進行過濾丟棄。為什麼後頭的子網掩碼表示的是0.0.
0.255呢?這是因為cisco規定在acl中用反向掩瑪表示子網掩碼,反向掩碼為0.
0.0.255的代表他的子網掩碼為255.
255.255.0。
小提示:對於標準訪問控制列表來說,預設的命令是host,也就是說access-list 10 deny 192.168.
1.1表示的是拒絕192.168.
1.1這台主機資料報通訊,可以省去我們輸入host命令。
我們採用如圖所示的網路結構。路由器連線了二個網段,分別為172.16.
4.0/24,172.16.
3.0/24。在172.
16.4.0/24網段中有一台伺服器提供www服務,ip位址為172.
16.4.13。
例項1:禁止172.16.
4.0/24網段中除172.16.
4.13這台計算機訪問172.16.
3.0/24的計算機。172.
16.4.13可以正常訪問172.
16.3.0/24。
路由器配置命令
access-list 1 permit host 172.16.4.13設定acl,容許172.16.4.13的資料報通過。
access-list 1 deny any設定acl,阻止其他一切ip位址進行通訊傳輸。
int e 1進入e1埠。
ip access-group 1 in將acl 1宣告。
經過設定後e1埠就只容許來自172.16.4.13這個ip位址的資料報傳輸出去了。來自其他ip位址的資料報都無法通過e1傳輸。
小提示:由於cisco預設新增了deny any的語句在每個acl中,所以上面的access-list 1 deny any這句命令可以省略。另外在路由器連線網路不多的情況下也可以在e0埠使用ip access-group 1 out命令來宣告,宣告結果和上面最後兩句命令效果一樣。
配置任務:禁止172.16.
4.13這個計算機對172.16.
3.0/24網段的訪問,而172.16.
4.0/24中的其他計算機可以正常訪問。
路由器配置命令:
access-list 1 deny host 172.16.4.13設定acl,禁止172.16.4.13的資料報通過
access-list 1 permit any設定acl,容許其他位址的計算機進行通訊
int e 1進入e1埠
ip access-group 1 in將acl1宣告,同理可以進入e0埠後使用ip access-group 1 out來完成宣告。
配置完畢後除了172.16.4.13其他ip位址都可以通過路由器正常通訊,傳輸資料報。
總結:標準acl占用路由器資源很少,是一種最基本最簡單的訪問控制列**式。應用比較廣泛,經常在要求控制級別較低的情況下使用。
如果要更加複雜的控制資料報的傳輸就需要使用擴充套件訪問控制列表了,他可以滿足我們到埠級的要求。
擴充套件訪問控制列表:
上面我們提到的標準訪問控制列表是基於ip位址進行過濾的,是最簡單的acl。那麼如果我們希望將過濾細到埠怎麼辦呢?或者希望對資料報的目的位址進行過濾。
這時候就需要使用擴充套件訪問控制列表了。使用擴充套件ip訪問列表可以有效的容許使用者訪問物理lan而並不容許他使用某個特定服務(例如www,ftp等)。擴充套件訪問控制列表使用的acl號為100到199。
擴充套件訪問控制列表的格式
剛剛我們提到了標準訪問控制列表,他是基於ip位址進行過濾的,是最簡單的acl。那麼如果我們希望將過濾細到埠怎麼辦呢?或者希望對資料報的目的位址進行過濾。
這時候就需要使用擴充套件訪問控制列表了。使用擴充套件ip訪問列表可以有效的容許使用者訪問物理lan而並不容許他使用某個特定服務(例如www,ftp等)。擴充套件訪問控制列表使用的acl號為100到199。
擴充套件訪問控制列表的格式:
擴充套件訪問控制列表是一種高階的acl,配置命令的具體格式如下:
access-list acl號[permit|deny] [協議] [定義過濾源主機範圍] [定義過濾源埠] [定義過濾目的主機訪問] [定義過濾目的埠]
例如:access-list 101 deny tcp any host 192.168.
1.1 eq www這句命令是將所有主機訪問192.168.
1.1這個位址網頁服務(www)tcp連線的資料報丟棄。
小提示:同樣在擴充套件訪問控制列表中也可以定義過濾某個網段,當然和標準訪問控制列表一樣需要我們使用反向掩碼定義ip位址後的子網掩碼。
擴充套件訪問控制列表例項
我們採用如圖所示的網路結構。路由器連線了二個網段,分別為172.16.
4.0/24,172.16.
3.0/24。在172.
16.4.0/24網段中有一台伺服器提供www服務,ip位址為172.
16.4.13。
配置任務:禁止172.16.
3.0的計算機訪問172.16.
4.0的計算機,包括那台伺服器,不過惟獨可以訪問172.16.
4.13上的www服務,而其他服務不能訪問。
路由器配置命令:
access-list 101 permit tcp any 172.16.4.
13 0.0.0.
0 eq www設定acl101,容許源位址為任意ip,目的位址為172.16.4.
13主機的80埠即www服務。由於cisco預設新增deny any的命令,所以acl只寫此一句即可。
int e0進入e1埠
ip access-group 101 out將acl101宣告出去
設定完畢後172.16.3.
0的計算機就無法訪問172.16.4.
0的計算機了,就算是伺服器172.16.4.
13開啟了ftp服務也無法訪問,惟獨可以訪問的就是172.16.4.
13的www服務了。而172.16.
4.0的計算機訪問172.16.
3.0的計算機沒有任何問題。
擴充套件acl有乙個最大的好處就是可以保護伺服器,例如很多伺服器為了更好的提供服務都是暴露在公網上的,這時為了保證服務正常提供所有埠都對外界開放,很容易招來黑客和病毒的攻擊,通過擴充套件acl可以將除了服務埠以外的其他埠都封鎖掉,降低了被攻擊的機率。如本例就是僅僅將80埠對外界開放。
總結:擴充套件acl功能很強大,他可以控制源ip,目的ip,源埠,目的埠等,能實現相當精細的控制,擴充套件acl不僅讀取ip包頭的源位址/目的位址,還要讀取第四層包頭中的源埠和目的埠的ip。不過他存在乙個缺點,那就是在沒有硬體acl加速的情況下,擴充套件acl會消耗大量的路由器cpu資源。
所以當使用中低檔路由器時應儘量減少擴充套件acl的條目數,將其簡化為標準acl或將多條擴充套件acl合一是最有效的方法。
基於名稱的訪問控制列表
不管是標準訪問控制列表還是擴充套件訪問控制列表都有乙個弊端,那就是當設定好acl的規則後發現其中的某條有問題,希望進行修改或刪除的話只能將全部acl資訊都刪除。也就是說修改一條或刪除一條都會影響到整個acl列表。這乙個缺點影響了我們的工作,為我們帶來了繁重的負擔。
不過我們可以用基於名稱的訪問控制列表來解決這個問題。
不管是標準訪問控制列表還是擴充套件訪問控制列表都有乙個弊端,那就是當設定好acl的規則後發現其中的某條有問題,希望進行修改或刪除的話只能將全部acl資訊都刪除。也就是說修改一條或刪除一條都會影響到整個acl列表。這乙個缺點影響了我們的工作,為我們帶來了繁重的負擔。
不過我們可以用基於名稱的訪問控制列表來解決這個問題。
一、基於名稱的訪問控制列表的格式:
ip access-list [standard|extended] [acl名稱]
例如:ip access-list standard softer就建立了乙個名為softer的標準訪問控制列表。
二、基於名稱的訪問控制列表的使用方法:
當我們建立了乙個基於名稱的訪問列表後就可以進入到這個acl中進行配置了。
例如我們新增三條acl規則
permit 1.1.1.1 0.0.0.0
permit 2.2.2.2 0.0.0.0
permit 3.3.3.3 0.0.0.0
如果我們發現第二條命令應該是2.2.2.
1而不是2.2.2.
2,如果使用不是基於名稱的訪問控制列表的話,使用no permit 2.2.2.
2 0.0.0.
0後整個acl資訊都會被刪除掉。正是因為使用了基於名稱的訪問控制列表,我們使用no permit 2.2.
2.2 0.0.
0.0後第一條和第三條指令依然存在。
總結:如果設定acl的規則比較多的話,應該使用基於名稱的訪問控制列表進行管理,這樣可以減輕很多後期維護的工作,方便我們隨時進行調整acl規則。
反向訪問控制列表:
我們使用訪問控制列表除了合理管理網路訪問以外還有乙個更重要的方面,那就是防範病毒,我們可以將平時常見病毒傳播使用的埠進行過濾,將使用這些埠的資料報丟棄。這樣就可以有效的防範病毒的攻擊。
不過即使再科學的訪問控制列表規則也可能會因為未知病毒的傳播而無效,畢竟未知病毒使用的埠是我們無法估計的,而且隨著防範病毒數量的增多會造成訪問控制列表規則過多,在一定程度上影響了網路訪問的速度。這時我們可以使用反向控制列表來解決以上的問題。
交換機ACL原理及配置詳解
cisco acl原理及配置詳解 2010 04 22 09 49 訪問控制列表簡稱為acl,訪問控制列表使用包過濾技術,在路由器上讀取第三層及第四層包頭中的資訊如源位址,目的位址,源埠,目的埠等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。該技術初期僅在路由器上支援,近些年來已經擴充...
北電交換機
meridian 1話機系列 meridian系列話機是專為實現meridian 1 isdn交換系統的 功能而設計製造的高效能話機。話機的設計充分考慮了連貫性 相容性 適宜性 可控性和費用有效性五項原則,可滿足使用者各種需求。配合交換機系統能提供操作簡單 管理方便的功能。數字話機 數字話機為北電專...
二層交換機,三層交換機,四層交換機的區別
二層交換技術是發展比較成熟,二層交換機屬資料鏈路層裝置,可以識別資料報中的mac位址資訊,根據mac位址進行 並將這些mac位址與對應的埠記錄在自己內部的乙個位址表中。具體的工作流程如下 1 當交換機從某個埠收到乙個資料報,它先讀取包頭中的源mac位址,這樣它就知道源mac位址的機器是連在哪個埠上的...