思科ACL访问控制列表配置命令教程

已于 2024-05-25 17:15:34 修改
阅读量8.4k 收藏 84
点赞数 25
文章标签: 智能路由器 网络
于 2024-05-25 17:14:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76845656/article/details/139179192
版权

目录

访问控制列表

ACL概念

配置ACL需要注意的规则

配置标准ACL

accees-list

ip access-list standard

应用标准ACL至接口

配置扩展ACL

access-list

ip access-list extended

应用扩展acl至接口

删除acl语句

访问控制列表

ACL概念

      访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。

访问控制列表的原理:

1、对路由器接口来说有两个方向:

入:已经到达路由器接口的数据包,但是还没有被路由器处理。

出:已经 经过路由器的处理,正要离开路由器接口的数据包

2、匹配顺序为:"自上而下,依次匹配"。默认为拒绝

3、访问控制列表的类型:

  • 标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上
  • 扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向
  • 命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号

4、访问控制列表使用原则

(1)、最小特权原则

只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。

(2)、默认丢弃原则

在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。

(3)、最靠近受控对象原则

所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。

由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法 识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。

配置ACL需要注意的规则

    IP 访问控制列表是一个连续的列表,至少由一个“permit(允许)”语句和一个或多个“deny(拒绝)”语句组成。

    IP 访问控制列表用名字(name)或表号(number)标识和引用;

    在配置 IP 访问控制列表的首要任务就是使用“access-list”或“ip access-lint”命令,定义一个访问控制列表;

    access-list 命令要求只能使用表号标识列表,而 ip access-list 命令可以使用表号或者名字标识列表;

在配置过滤规则时,ACL 语句顺序很重要;

路由器执行 ACL 是按照配置的访问控制列表中条件语句来决定的;

数据包只有在跟第一个判断条件不匹配时,才能被交给 ACL 中下一个条件语句进行比较;

若要允许“202.204.4.2”以外的所有源地址通过路由器,这时就需要先配置“deny 202.204.4.2”在配置

permit any any

在通配符掩码位中,0 表示“检查数据包的 IP 地址相对应的比特位”,1 表示“不检查(忽略)数据包中的

IP 地址相对应的比特位”。

通配符“any”:代替 0.0.0.0 255.255.255.255代表所有主机

通配符 host:与整个 IP 主机地址的所有位相匹配,可以使用缩写字“host

例如:

Router(config)# access-list 1 deny 172.33.160.29 0.0.0.0

等于:

Router(config)# access-list 1 deny host 172.33.160.29

配置标准ACL

标准acl的表号范围是1-99,因此在配置标准acl时,表号的范围不能超出1-99.

为提高网络性能,将标准acl应用在out出站接口。建议配置在离目标端最近的路由上

accees-list

具体格式为

access-list access-list-number(1-99) [permit | deny ] [sourceaddress][wildcard-mask]
wildcard-mask:网络掩码的反码,例:255.255.0.0的反码是0.0.255.255

例1:允许网段192.168.22.0的ip通过

access-list 10 permit 192.168.22.0 0.0.0.255

例2:拒绝网段172.16.0.0的ip通过

access-list 10 deny 172.16.0.0 0.0.255.255

例3 拒绝主机192.168.1.1通过

access-list 10 deny host 192.168.1.1

ip access-list standard

具体格式为:

ip access-list standard 表名/表号
(num) permit | deny 协议+源地址+源反码

ip access-list 有extended(扩展)和standard(标准)可选,在此介绍standard的配置,extended将在后文介绍。

ip access-list 配置默认以10开始,步长为10,需要注意acl语句的执行顺序。

例1:需求介绍:创建一个acl表名为acl1,我不想让网段192.168.1.0的人通过网络,但我希望192.168.1.1和192.168.1.2这两个主机可以通过

Router(config)#ip access-list standard acl1
Router(config-std-nacl)#permit host 192.168.1.2
Router(config-std-nacl)#permit host 192.168.1.1
Router(config-std-nacl)#deny 192.168.1.0 0.0.0.255
Router(config-std-nacl)#exit
Router(config)#int g0/0/0
Router(config-if)#ip access-group acl1 in
Router(config-std-nacl)#end
Router#show access-lists #检查配置
Standard IP access list acl1
    10 permit host 192.168.1.2 (4 match(es))
    20 permit host 192.168.1.1
    30 deny 192.168.1.0 0.0.0.255 (3 match(es))
注意执行顺序

可以使用反码简化语句,以上语句同等于下面这些语句:

Router(config-std-nacl)#permit 192.168.1.0 0.0.0.2
Router(config-std-nacl)#deny 192.168.1.0 0.0.0.255

--------------------------------------------------------------------------------------

可以使用在语句最前面增加一个数字来配置语句的顺序

例:

Router(config)#ip access-list standard acl2
Router(config-std-nacl)#1 permit host 192.168.1.1
Router(config-std-nacl)#2 permit host 192.168.1.2	
Router(config-std-nacl)#7 deny any#拒绝所有主机
Router(config-std-nacl)#end
Router#show access-lists 
    20 deny 192.168.1.0 0.0.0.255
Standard IP access list acl2
    1 permit host 192.168.1.1
    2 permit host 192.168.1.2
    7 deny any

---------------------------------------------------------------------------

应用标准ACL至接口

Router(config-if)#ip access-group 10 in|out
Router(config-if)#ip access-group acl1 in|out
#in为入口,out为出口,在通信过后源ip与目的ip会发生翻转,因此少数情况下需要注意in|out的配置,可以将一个acl表同时配置在出口与入口

配置扩展ACL

标准acl的表号范围是100-199.

为提高网络性能,建议将扩展acl配置在离源端最近的路由上,一般应用在入站in方向

access-list

access-list {100-199} {permit/deny} protocol source-ip source-wildcard [operator port] destination-ip destination-wildcard [operator port] [established] [log]

access-list 表号{permit | deny}协议+源地址+源反码+目的地址+目的反码+操作+端口号

其中,operator(操作)有 lt(小于)、gt(大于)、eq(等于)、neq(不等于)几种;port指的是端口号。

看着好长,不用担心,我将以多个例句使读者理解此配置方法

例1:拒绝所有icmp包:

Router(config)#access-list 100 deny icmp any any 
#any any 第一个any表示的是源的所有主机,第二个any表示的是目的的所有主机

例2:拒绝端口为134的所有udp包:

Router(config)#access-list 100 deny udp any any eq 134
#any any表示源与目的的所有主机

例3:不允许源为172.16.0.0的主机与192.168.1.0通信

Router(config)#access-list 100 deny ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255

       在网络协议中,几乎所有网络协议都需要ip协议的参与,因此禁用了ip协议,就几乎断绝了所有通信方式。
其中172.16.0.0 0.0.255.255是源地址,后面为反码。
192.168.1.0 0.0.0.255表示目的网段
此命令禁止了源为172.16.0.0网段与网段192.168.1.0通信

ip access-list extended

extended表示此acl表为拓展acl表

ip access-list 配置默认以10开始,步长为10,需要注意acl语句的执行顺序。

具体格式为:

ip access-list extended 表名/表号
(num) permit | deny 协议+源地址+源反码+目的地址+目的反码+操作+端口号

例1:创建acl1,拒绝tcp包

Router(config)#ip access-list extended acl1
Router(config-ext-nacl)#deny tcp any any
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#do show access-list
Extended IP access list acl1
    10 deny tcp any any
    20 permit ip any any

例2:拒绝端口号为8080的http包通过(http采用了tcp传输)

Router(config)#ip access-list extended acl1
Router(config-ext-nacl)#deny tcp any any eq 8080

--------------------------------------------------------------------------------------

可以使用在语句最前面增加一个数字来配置语句的顺序

例:

Router(config)#ip access-list extended test
Router(config-ext-nacl)#2 permit ip host 192.168.1.1 host 192.168.1.2
Router(config-ext-nacl)#3 permit ip host 192.168.13.13 host 192.168.13.2
Router(config-ext-nacl)#1 permit ip host 192.168.8.9 host 192.168.13.2
Router(config-ext-nacl)#do show ac
Router(config-ext-nacl)#do show access-list
Extended IP access list test
    1 permit ip host 192.168.8.9 host 192.168.13.2
    2 permit ip host 192.168.1.1 host 192.168.1.2
    3 permit ip host 192.168.13.13 host 192.168.13.2

--------------------------------------------------

应用扩展acl至接口

Router(config-if)#ip access-group 100 in|out
Router(config-if)#ip access-group acl1 in|out
#in为入口,out为出口,在通信过后源ip与目的ip会发生翻转,因此少数情况下需要注意in|out的配置,可以将一个acl表同时配置在出口与入口

删除acl语句

无论使使用access-list配置的语句还是使用ip access-list standard|extended配置的语句,都需要进入ip access-list standard|extended 表名|表号

例1:acl表如下,现在公司又允许主机192.168.1.2 通过了,请做更改

Standard IP access list 10
    20 deny host 192.168.1.1
    30 deny host 192.168.1.2
    40 deny host 192.168.1.3
    50 permit any
#根据关键字Standard和表号10可以看出此acl表为标准acl表

更改命令如下:

Router(config)#ip access-list standard 10#进入acl表10
Router(config-std-nacl)#no 30
Router(config-std-nacl)#do show ac
Standard IP access list 10
    20 deny host 192.168.1.1
    40 deny host 192.168.1.3
    50 permit any

可以发现语句   30 deny host 192.168.1.2  被删除了,扩展acl同理,不过扩展acl需要注意将ip access-list standard更改为ip access-list extended。

OCEAN_scxin
关注
Cisco-标准ACL访问控制列表
可惜已不在
01-29 1556
网络已经成为了我们生活中不可或缺的一部分,它连接了世界各地的人们,让信息和资源得以自由流动。随着互联网的发展,我们可以通过网络学习、工作、娱乐,甚至是社交。因此,学习网络知识和技能已经成为了每个人都需要掌握的重要能力。本课程博主将带领读者深入了解网络的基本原理、结构和运作方式,帮助读者建立起对网络的全面理解。我们将介绍网络的发展历程、网络的分类和组成、网络的安全和隐私保护等内容,帮助读者掌握网络知识,提高网络素养。
思科 Cisco Access Control List ,简称ACL访问控制列表
weixin_48824655的博客
08-15 2306
Access Control List ,简称ACL访问控制列表
Cisco最全配置命令
12-13
DHCP配置 4 静态路由 6 浮动静态路由 6 向网络中注入一条默认路由 7 RIP 8 RIP的基本配置 8 被动接口与单播更新 10 RIPv2的基本配置 11 RIPv 2的手动汇总 13 RIPv2认证和触发更新 13 EIGRP配置 17 Eigrp的基本配置 17 eigrp路由汇总 19 eigrp的负载均衡 21 eigrp认证 23 OSPF 26 OSPF 基本配置 26 OSPF广播多路访问 28 OSPF基本认证 29 OSPF基于MD5的认证 30 OSPF基于链路的MD5认证 31 OSPF基于链路的简单口令认证 32 ospf 注入一条默认路由 33 多区域OSPF 35 多区域OSPF基本配置 36 多区域OSPF手动汇总 38 Ospf 末节区域和完全末节区域 40 Ospf NSSA区域 42 Ospf虚链路 44 不连续区域0的虚连接 46 IS-IS 49 Is-is的基本配置 49 多区域集成的IS-IS 50 BGP 52 BGP地址聚合 57 BGP属性控制选路 60 用BGP AS-PATH属性控制选路 63 BGP LOCAL_PREF属性控制选路 66 BGP WEIGHT属性控制选路 69 路由反射器配置 71 BGP联邦配置 74 BGP团体配置 77 路由重分布 81 Rip、OSPF、eigrp之间的路由重分布 81 ISIS 和OSPF 重分布 83 Vlan间路由 86 传统的vlan间路由 86 单臂路由器vlan间路由 88 三层交换实现vlan间路由 90 ACL 91 标准ACL 91 扩展ACL1 92 扩展ACL2 95 命名ACL 97 基于时间的ACL 99 动态ACL 100 自反ACL 102 Nat地址转换 104 静态nat地址转换 104 动态Nat地址转换 105 NAT重载 107 PPP的配置实验 108 PAP验证 113 帧中继配置 115 帧中继静态映射 115 帧中继子接口单点对多点 117 帧中继点到点子接口配置 119 把一台cisco路由器配置为帧中继交换机 122 帧中继上的RIP 124 帧中继上集成IS-IS 126 帧中继上点到点子接口下集成的IS-IS 127 帧中继上的OSPF 129 IPV6 131 IPv6 静态路由 131 IPv6 RIPng 131 OSPFv3 133 IPv6 EIGRP 135 组播 136 PIM Dense 137 PIM Sparse-Dense 140 路由优化 142 分布控制列表控制路由更新 142 策略路由 144 基于报文大小的策略路由 145 基于应用的策略路由 147 网关冗余和负载均衡 148 HSRP 148 VRRP 150 GLBP 151 IOS 153 IOS更新 153 交换机的IOS恢复 154 路由器的密码恢复和ios恢复 154 计算机端口安全 155 交换机的密码恢复 156 清除交换机配置并重启 156 stp 157 STP+VTP 157 Trunk 配置 159 RSTP 160 MST 160 STP 保护 162 链路聚合 163 QOS 164 PQ 165 CQ 165 WFQ 166 CBWFQ 166 LLQ 167 WRED 168 CAR 168 NBAR 168 综合练习1 170 综合练习2 177
思科网络中如何配置标准ACL协议
2201_75693008的博客
03-09 6484
根据每台PC机所处的位置配置地址,这里可以统一给他们的地址为.1 / .2(每个IP网段共有254个地址是可以分配给PC机的,分别是第1~254,IP地址中的第一个地址.0是网络地址(保留地址),IP网段的最后一个地址.255是广播地址(保留地址)这样做是为了确保只有主机位为奇数的IP地址(即最后一位为1的IP地址)被允许通过ACL,而主机位为偶数的IP地址(即最后一位为0的IP地址)被拒绝。(创建一个标准ACLACL编号为1),表示只允许主机位为192.168.2.1的主机通过ACL
访问控制列表ACL思科、华为
最新发布
h11016616的博客
02-28 1375
是一种基于包过滤的访问控制技术(拆网络层IP地址),广泛应用于路由器和三层交换机中,主要基于数据包的五元组进行过滤什么是五元组?源、目标IP源、目标端口协议去读取三层(网络层源、目的IP)和四层(传输层源、目的端口)的流量。
Cisco访问控制列表配置
05-31
本实验报告为路由器的访问列表配置,内有实验拓扑图和详细的配置步骤。模拟器为Cisco Packet Tracer 6.0.
访问控制列表(ACL)基本的配置以及详细讲解
weixin_33720452的博客
02-14 2680
网络环境】 网络时代的高速发展,对网络的安全性也越来越高。西安凌云高科技有限公司因为网络建设的扩展,因此便引入了访问控制列表(ACL)来进行控制,作为网络管理员我们应该怎么来具体的实施来满足公司的需求呢? 【网络目的】 明白ACL访问控制列表的原理、以及正确的配置; 按照网络拓扑图的要求来正确的连接设备。 创建访问控制列表来满足我们所定义的需求;...
Cisco Packet Tracer中思科模拟器标准访问控制列表配置ACL
Cisco Packet Tracer 思科模拟器知识分享
09-12 6420
本篇文章主要讲解的是思科模拟器中标准访问控制列表ACL配置,每个步骤都有详细的配置步骤以及说明和解析,希望对你有帮助。
思科 ——ACL实战配置命令
城下深蓝的博客
04-19 7005
思科 ——ACL实战配置命令
Cisco配置命令ACL
sniperliter的博客
11-16 1万+
文章目录路由器配置命令:扩展acl:上述配可以浏览网页,但是不能ping通是因为:ACL书写注意:自定义ACLACL要应用到出入口上:自定义的扩展ACL中一条写错了怎么改?想在自定义扩展ACL中增加一个条目:例如11 路由器配置命令: 扩展acl: access-list 100 permit tcp(协议) any(源地址) host(目标地址:单一主机名) 70.1.1.100 eq(gt 大于 lt 小于 neq 不等于) 80 do show access # 显示ACL i
访问控制列表ACL配置教程
10-01
2. 应用访问控制列表:使用`ip access-group`命令ACL应用到接口上,指定数据包的方向,如`in`(入站)或`out`(出站)。 3. 删除访问控制列表:使用`no ip access-group`和`no access-list`命令路由器处理...
思科ACL访问控制列表常规配置
热门推荐
brave_stone的博客
11-26 5万+
一、ACL概述 ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的指令列表。这些指令告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据一定的规则进行,如源地址、目标地址、端口号等。ACL使得用户能够管理数据流,检测特定的数据包。   路由器将根据ACL中指定的条件,对经过路由器端口的数据包进行检査。ACL可以基于所有的Routed Protocol...
实验三、ACL访问控制列表配置.doc
02-25
### 实验三、ACL访问控制列表配置 #### 实验目的 - **理解访问控制列表ACL)的概念**:访问控制列表是一种重要的网络安全措施,用于控制数据包进出网络设备的策略,能够有效地管理网络流量和方向,同时保障网络...
ACL访问控制列表配置
05-25
路由器配置ACL访问控制列表配置, 作用:1.限制网络流量 2.进行流量控制 3.安全
详解cisco访问控制列表ACL
weixin_33779515的博客
08-25 584
一:访问控制列表概述 ·访问控制列表ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。 ·工作原理:它读取第三及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。 ·实际应用: 阻止某个网段访问服务器。 ...
ACL访问控制列表(详细配置教程
亦在春风的博客
07-14 2万+
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。 这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。1~99 和 1300~1999:标准IP ACL。(基于源P地址过滤) 100~199 和 2000~2699:扩展IP ACL。 (基于源、目的IP地址;源、目的TCP/UDP端口;协议类型) AppleTalk: 600~699 IPX:800~899基于每种协议设置一个ACL(per p
ACL访问控制列表配置命令
Technology DNA
08-23 5056
配置范例:r3(config)#access-list 10 deny 12.1.1.0 0.0.0.255 //拒绝网络12.1.1.0 r3(config)#access-list 10 permit any //允许所有 r3(config)#interface serial 0 r3(config-if)#ip access-group 10 in //在接口下面应用ACL在s0口IN的方向====================================================
配置标准访问控制列表ACL
生活不易,喵喵叹气
11-11 4836
熟练使用访问控制列表ACL,使路由器可以自主过滤某一网络或某一主机的数据包流量,使用基本命令 Access-list 标准访问控制列表号 deny/permit 源网络地址 通配符掩码 配置ACL,此篇文章帮助你设置网络拓扑结构下的ACL配置
访问控制列表ACL配置命令
patiencezzz的博客
05-19 2万+
标准访问控制列表 配置标准ACL 实现拒绝pc2(IP地址为192.168.1.3)对Web Server pc3的访问 配置如下: 下面配置路由器端口的IP地址: R1>en R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no sh R1(conf...
acl访问控制列表配置思科
12-26
### 思科设备上ACL访问控制列表)的配置 #### 配置标准命名ACL 为了创建一个名为 `tcp-firewall` 的扩展 ACL,可以使用如下命令: ```shell ip access-list extended tcp-firewall permit tcp any host 192.168.1.1 eq www deny ip any any ``` 上述代码定义了一个扩展 ACL 来允许来自任何地方到 IP 地址为 192.168.1.1 的 HTTP 流量,并拒绝其他所有的 IP 流量[^1]。 #### 在三层交换机上配置ACL的过程 对于初次接触的企业初级网络管理员来说,在三层交换机上设置 ACL 可能不太熟悉。具体实验流程包括进入全局配置模式、定义 ACL 规则以及将其应用到特定接口等步骤[^2]。 #### 访问控制列表的作用与分类 访问控制列表 (ACL) 是一种用于管理和筛选进出路由器或交换机端口的数据流的技术工具。依据需求不同分为两种主要形式:标准 ACL 和扩展 ACL。前者仅考虑源 IP 地址作为匹配条件;后者除了支持更复杂的协议选项外还能够指定目标地址和服务端口号。值得注意的是,标准 IP 协议下的 ACL 编号位于 1 至 99 范围内,而扩展版本则占用 100 到 199 这一区间[^3]。 #### 命名ACL的应用场景 当涉及到更加灵活和易于理解的名字而非仅仅是编号时,则会采用命名方式来表示 ACL。这不仅有助于提高可读性和维护效率,而且使得规则集更容易被理解和调整[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值