ACL 访问控制列表

ACL(Access Control List) 接入控制列表

ACL 的量大主要功能:

  • 流量控制
  • 匹配感兴趣流量

标准访问控制列表

  • 只能根据源地址做过滤
  • 针对曾哥协议采取相关动作(允许或禁止)

扩展访问控制列表

  • 能根据源、目的地址、端口号等等进行过滤
  • 能允许或拒绝特定的协议

ACL的类型:

  • Standard ACL
  • ExtendedACL
  • Two methods used to identify standard and extended ACLs

ACL入方向的操作
示意图:

ACL出站方向的操作
示意图:

ACL的标识

ACL的标识可以是两种,可以是十进制数或者是个字符串

这里是有区分的

1、标准的访问列表:1-99,1300-1999 区间的,路由器会默认理解为你在定义一个标准的访问ACL,也就是说只能限制源地址

2、扩展的访问列表:100-199, 2000-2699 区间的,路由器会默认理解为你在定义一个扩展的ACL,也就是说可以限制端口、协议、源地址、目标地址等

3、字符串的命名访问列表:路由器会默认理解为你在定义第三种的ACl,包含了标准和扩展访问列表的特性;

标准访问控制列表的配置
Router(config)#

access-list access-list-number {permit|deny} source [wildcard mask]

  • 编号access-list-number选择1-99
  • 通配符若无,默认0.0.0.0
  • “弄access-list access-list-number” 将会删除整个ACL列表

应用到接口上:
Router(config-if)#

ip access-group access-list-number { in | out }

  • 在接口中应用
  • 应用时关联入口或出口方向
  • 默认出站
  • "no ip access-group access-list-number"可以出接口上应用的访问列表
  • ACL的生效在路由上,那么不能对本地始发的流量做过滤,只能对穿越本地路由器的流量做过滤;
  • 只能在某个接口的某个特定的方向( in | out ),只能应用一个ACL

扩展访问控制列表的配置:
Router(config)#

access-list access-list-number {permit | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]

应用于接口

ip access-group access-list-number { in | out }

  • 在接口中应用
  • 应用时关联入或者出方向

示例 3:

router(config)# access-list 100 deny ip 192.168.1.0 0.0.0.31 host 192.168.2.200
router(config)# access-list permit any
router(config)# interface e0
router(config-if)# ip access-group 100 in

示例 4:

router(config)# access-list 100 deny tcp any host 192.168.2.200 eq 23
router(config)# access-list permit any
router(config)# interface e1
router(config-if)# ip access-group 100 out

标准和扩展访问列表的缺点:

  • 定义后,无法去编辑、删除、修改和添加条目
  • 如果是删除的话,则是删除整个列表
  • 使用数字编号,不直观、明显

而命名访问控制列表则可以解决上列所有问题。

命名访问控制列表的配置:
Router(config)#

ip access-list { standard | extended } name

Router(config {std- | ext-}nacl)#

[sequence-unmber] {permit|deny} {ip access list test conditions} {permit | deny} {ip access list test conditions}

  • if not configured, sequence unmbers are generated automatically starting at 10 and incrementing by 10
  • no sequence unmber removes the specific test from the named ACL

Router(config-if)#

ip access-group access-list-number { in | out }

总结:

  • 1、每个接口,每个方向,每种协议,你只能设置1个ACL
  • 2、组织好你的ACL的顺序,比如测试性的最好放在ACl的最顶部
  • 3、标准和扩展的控制列表,你不可能从ACL中除去1行,除去1行意味你讲除去整个ACL,命名访问列表(named access list)例外
  • 4、默认ACl结尾语句都是deny any,所以你要记住的是在ACL里至少要有1条permit语句
  • 5、记得创建了ACL后要把它应用在需要过滤的接口上;
  • 6、ACL是用于过滤经过router的数据包,它并不会过滤router本身产生的数据包
  • 7、尽可能的吧IP标准ACL防止在离目标地址近的地方;尽可能的吧IP扩展ACL放置在离源地址近的地方;

CCNA 之 十 ACL 访问控制列表的更多相关文章

  1. 普通ACL访问控制列表

    配置OSPF R1: R2: R3: R4: 在R1上查看OSPF的学习 测试R1与R4环回接口连通性 配置普通ACL访问控制列表: 先在R4配置密码用R1与R4建立telnet建立 密码huawei ...

  2. 高级ACL访问控制列表

    实验拓扑: 配置: 基本配置做完之后搭建OSPF网络 R1: ospf 1 area 0 network 10.0.13.0 0.0.0.255 network 1.1.1.1 0.0.0.0 R2: ...

  3. Kong Gateway - 11 基于网关服务的ACL访问控制列表 黑名单

    Kong Gateway - 11 基于网关服务的ACL访问控制列表 黑名单 同一服务名称 book 不允许即创建白名单访问控制列表又创建黑名单访问控制列表 启用服务的白名单&黑名单配置文件时 ...

  4. [转载]ACM(访问控制模型),Security Identifiers(SID),Security Descriptors(安全描述符),ACL(访问控制列表),Access Tokens(访问令牌)

    对于<windows核心编程>中的只言片语无法驱散心中的疑惑.就让MSDN中的解释给我们一盏明灯吧.如果要很详细的介绍,还是到MSDN仔细的看吧,我只是大体用容易理解的语言描述一下. wi ...

  5. 交换路由中期测验20181226(动态路由配置与重分发、NAT转换、ACL访问控制列表)

    测试拓扑: 接口配置信息 HostName 接口 IP地址 网关 Server 0 Fa0 172.16.15.1/24 172.16.15.254 Server 1 Fa0 100.2.15.200 ...

  6. ACL访问控制列表

    acl是基于文件系统的,所以支不支持acl在于使用什么文件系统. FAT32文件系统不支持权限,也不区分大小写 如果一个分区不是安装系统时分的分区,是一个新的分区的话,默认是不支持acl CentOS ...

  7. ensp,acl访问控制列表

    ACL分类: 基本ACL 编号范围: 2000-2999     参数:源ip地址 高级ACL 编号范围: 3000-3999     参数:源ip地址,目的ip地址,源端口,目的端口等 二层ACL ...

  8. CentOS 7 文件权限之访问控制列表(ACL)

    Linux的ACL是文件权限访问的一种手段.当拥有者所属组其他人(own,group,other)不能满足给一个单独的用户设置单独的权限时,ACL的出现就很好的解决了该问题. 比如其他用户own,不属 ...

  9. 访问控制列表与SSH结合使用,为网络设备保驾护航,提高安全性

    通过之前的文章简单介绍了华为交换机如何配置SSH远程登录,在一些工作场景,需要特定的IP地址段能够SSH远程访问和管理网络设备,这样又需要怎么配置呢?下面通过一个简单的案例带着大家去了解一下. 要实现 ...

随机推荐

  1. 一 :Mysql基础

    1.Mysql初识 三高角度引入 三高:高并发,高可用,高性能. why: 1.1数据文件和程序不应该放在同一台机器上!一旦机器挂了,数据和程序全都挂了不能对外提供服务,高可用性差. 1.2纵向扩展有 ...

  2. phpStorm //todo 的用途

    用phpstorm看到别人的代码使用了注释//todo,且todo是彩色的 我想这个应该是有点用的吧,于是百度了下,大概是可能由于某些原因,导致部分代码没有写.但又怕忘了, 用//todo就可以做提示 ...

  3. 学习笔记30_ORM框架

    *在以往DAL层中,操作数据库使用DataTable,如果使得数据表DataTable转为List<>的话,写错属性名,在编译阶段是查不出来的,而ORM框架能解决此问题. *ORM是指面向 ...

  4. Java虚拟机之垃圾回收

    简述 Java与那些较传统的语言比如C++有个很大不同就是垃圾回收策略了.前者通常是虚拟机自动帮我们做了,而后者就需要我们手动来完成. Java虚拟机帮我们完成了垃圾回收,是不是意味着我们就不用完全去 ...

  5. [考试反思]1105csp-s模拟测试101: 临别

    先不改题,这次主要不在T3上. 这次有必要粘文件得分了. 临考前总解锁新锅我也不知道这是什么个事啊... T1宏定义写挂.因为原来在OJ上没事所以一直没注意.在Lemon评测下直接全部RE. GG在主 ...

  6. docker安装mysql,tomcat,并且在tomcat可以访问到mysql

    1.uname -an 查看当前系统版本 2.yum -y install docker 下载安装docker 3.service docker start  启动docker服务 4.docker ...

  7. 转:java 看好的一些书

    地址 :  http://www.cnblogs.com/xrq730/p/4994545.html

  8. jquery写$ document.getElementById效果

    jquery写$ document.getElementById效果<pre>document.getElementById('video-canvas')和$('#video-canva ...

  9. 监听器以及在监听类里面获得bean的方法

    1实现HttpSessionListener和ServletContextListener,2个接口 2然后在contextInitialized初始化方法里面: ServletContext app ...

  10. thinkphp分页样式css代码

    <style type="text/css"> .Pagination a:hover,.current{background-color: #f54281;borde ...