路由器ACL应用

原创 2015年07月06日 22:39:12

ACL的概念
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。

ACL的作用

ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。

ACL分类
1. 标准ACL
标准ACL只能检查源IP地址,所以标准ACL要尽量靠近目的端。

1.2. 配置
(1) Router(config)#ip access-list standard [WORD|<1-99>]

——————command——————
<1-2147483647> Sequence Number
default Set a command to its defaults
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
————————————————–

(2) Router(config-std-nacl)#command [IP|any|host] wildcard
(3) 调用
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group test1 in

2. 扩展ACL
扩展ACL能控制源地址,也能控制目的地址,为了减少不必要的网络流量,所以扩展ACL要尽量靠近源端。

2.2. 配置
(1) Router(config)#ip access-list extended [WORD|<100-199>]
——————command————————————
The same as 1.2
——————————————————————–
(2) Router(config-ext-nacl)#command protocol [source|any|host] wildcard destination wildcard option service

——————protocol—————————

ahp Authentication Header Protocol
eigrp Cisco’s EIGRP routing protocol
gre Cisco’s GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol

——————option—————————–

eq Match only packets on a given port number
established established
gt Match only packets with a greater port number
lt Match only packets with a lower port number
neq Match only packets not on a given port number
rang Match only packets in the range of port numbers


——————service—————————-

<0-65535> Port number
domain Domain Name Service (DNS, 53)
ftp File Transfer Protocol (21)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
www World Wide Web (HTTP, 80)


(3) 调用
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group test2 in

示例:
1.

Router(config)#ip access-list standard test1
Router(config-std-nacl)#deny 192.168.1.1 0.0.0.0
Router(config-std-nacl)#deny 192.168.1.2 0.0.0.0
Router(config-std-nacl)#permit any

这里写图片描述

2.

Router(config)#ip access-list extended test2
Router(config-ext-nacl)#deny tcp 192.168.1.1 0.0.0.0 23.1.1.3 0.0.0.0 eq www

这里写图片描述

路由器的访问控制ACL

ACL(Access Control List,访问控制列表) 是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配...
  • yiluyangguang1234
  • yiluyangguang1234
  • 2015年12月03日 16:26
  • 1456

华为路由器ACL简单配置

ACL(Access Control List)访问控制列表,是由一系列规则组成的集合。 先来看下拓扑图吧~ lo0就是LoopBack0,路由器上的逻辑接口,可以模拟一台主机 配置目的: ...
  • flyfish5
  • flyfish5
  • 2015年12月08日 21:19
  • 1749

CCNP路由实验之十四 路由器的访问控制ACL

CCNP路由实验之十四 路由器的访问控制ACL ACL(Access Control List,访问控制列表) 是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的路由协议,如I...
  • kkfloat
  • kkfloat
  • 2014年10月05日 14:50
  • 6906

Cisco路由器ACL安全应用—基于时间的ACL

session 1 原理 基于时间的ACL是ACL的一种拓展,把时间的概念引入ACL后可以更具设置的时间段或者时间周期来控制ACL.. 分为两种:1、某时间段内生效,比如某年的某月的某...
  • alone_map
  • alone_map
  • 2016年07月07日 10:07
  • 158

CISCO路由器配置防止DDOS攻击

Session 1 DDOS的攻击方法:         拒尽服务(DoS)攻击是目前黑客广泛使用的一种攻击手段,它通过独占网络资源、使其他主机不能进行正常访问,从而导致宕机或网络瘫痪。 ...
  • alone_map
  • alone_map
  • 2016年07月07日 09:55
  • 1345

在路由器上配置标准ACL

【实验名称】在路由器上配置标准ACL 【实验目的】 掌握路由器上标准ACL的规则及配置。 【实验任务】  实现网段间互访的安全控制。 【实验原理】 (1)标准访问控制列表(ACL) 标准...
  • Fitz1318
  • Fitz1318
  • 2017年06月21日 00:15
  • 362

Cisco路由器ACL安全应用—Local-And-Key

session 1 原理     Local-And-Key是动态ACL的一种,可以在外网用户访问内网设备时提供一种简单的安全机制,在配置了LOCAL-AND-KEY的路由器上,所有的外网到...
  • alone_map
  • alone_map
  • 2016年07月07日 10:01
  • 193

ACL权限实例讲解之基础一

本文讲解Linux系统中的ACL权限。 首先,我们要明白什么是ACL权限。ACL的英文说法是”access control list”,翻译为中文是”访问控制列表”的意思。其实说的就是某一特定用户对...
  • qq_17586821
  • qq_17586821
  • 2016年07月25日 20:02
  • 247

思科CCNA第四学期第五章答案

1 有关下列扩展 ACL 的说法中哪两项正确? (选择两项。) access-list 101 deny tcp 172.16.3.0 0.0.0.255 any eq 2...
  • u014253173
  • u014253173
  • 2015年04月24日 23:12
  • 2066

c/c++采用acl库操作redis

关于acl库的详细介绍请参考:http://zsxxsz.iteye.com/   这里介绍下本人在项目中使用acl库操作redis的方法 编译安装acl库 1、  下载并解压acl:http://g...
  • lijinqi1987
  • lijinqi1987
  • 2016年12月15日 16:19
  • 1881
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:路由器ACL应用
举报原因:
原因补充:

(最多只允许输入30个字)