访问控制列表 access list

最新推荐文章于 2024-05-05 00:28:04 发布
最新推荐文章于 2024-05-05 00:28:04 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: Network 文章标签: access interface tcp list internet 路由器
 


¥访问控制列表 access list.
使用访问控制列表。
两种形式:基本的和扩展的。
access-list 2 per 1.1.1.0 0.0.0.255
access-list 100 per tcp 1.1.1.1 0.0.0.0 2.2.2.2 0.0.0.0 eq 23
列表元素按顺序应用。
access-list 102 dny ip host 1.1.1.1 any
access-list 102 permit ip host 1.1.1.1 any
列表末端隐含deny。
access-list 100 permit tcp host 1.1.1.1 any
access-list 100 permit tcp host 1.1.1.1 any
access-list 100 deny ip any any
应用在进站或出站
serial 0
ip access-group 10 in
例:应用一个出站ip 访问控制列表在e1口,以实现:
允许telnet会话。
允许dns流量。
允许smtp流量。
允许路由协议流量。
其他流量将被拒绝。
interface ethernet 1
ip access-group 100 out
access-list 100 permit tcp any any eq 23
access-list 100 permit udp any any eq 53
access-list 100 permit tcp any eq 25 any establisted
access-list 100 permit udp any any eq rip
(严格的讲,最后这条不是必需的)

例:
拒绝 rfc 1918地址
rfc 1918 列出的地址都被规定为私有地址,这样的地址不允许在internet上传送。
包括:
IANA 保留的地址
作为源的组播地址。
本地回路地址

interface serial 0
ip access-group 111 in
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip 172.16.0.0 0.15.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.255.255 any
...
access-list 111 deny ip 224.0.0.0 31.255.255.255 any
access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 permit ip any any
不要忘了还有个默认deny any any.

¥安全car.
限制ping泛洪的指定速度。
需要在直连路由器做些配置,进站的。

interface serial 0/0
rate-limit output access-group 102 64000 2000 2000
conform-action transmit exceed-action drop
access-list 102 per icmp any any ehco
access-list 102 permit icmp any any echo-reply
¥ 调试acl。
show access-list 可以提供流经acl的流量信息。

uptmd#sh acccess-li
Extended ip access list 100
permit tcp any any eq telnet (10 matches)
permit udp any any eq domain
permit udp any any eq smtp any established (1 match)
permit udp any any eq rip

加入log关键字可以提供更多信息。
access-list 100 permit tcp any any eq telnet log

%SEC-6-IPACCESSLOGP:list 100 permitted tcp 1.1.1.1(11003)->
4.4.4.4(23),1 packet
%SEC-6-IPACCESSLOGDP:list 100 denied icmp 1.1.1.1->4.4.4.4
(8/0),5 packets
¥实施建议
画个top图啥的,来看看那些流量需要留经acl。
看看列表元素的顺序和逻辑。
最好去测试一下。
用了acl之后再检查路由。
不要忘了最后的deny any any
错: access-list 100 deny ip any host 1.1.1.1
对: access-list 100 permit ip any any

jubao_liang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
思科Cisco路由器access-list访问控制列表命令详解
10-01
CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤
访问控制列表ACL练习题(作业)
qq_45913942的博客
06-15 4955
访问控制列表ACL练习题 姓名: 班级:班级-1 成绩: 96.9分 作答记录 一.单选题(共32题,100.0分) 1 访问控制列表配置中,操作符“gt portnumber”表示控制的是_____________。 A、 端口号小于此数字的服务 B、 端口号大于此数字的服务 C、 端口号等于此数字的服务 D、 端口号不等于此数字的服务 正确答案: B 我的答案:B 得分: 3.1分 2 某台路由器上配置了如下一条访问列表 acess-list 4 permit 202.38.160.1
思科模拟器创建访问控制列表access-list
向阳-Y.的博客
10-22 4010
1.access-list 基于数字的访问控制列表 格式:其中,列表号是自定义的(文章底部有补充) access-list [列表号] permit [允许的主机或网段] [反掩码] eq [协议] [例] 允许192.168.1.10主机访问www服务(10.1.1.1) access-list 101 permit 192.168.1.10 0.0.0.0 host 10.1.1.1 eq www [例] 允许192.168.1.0网段访问www服务(10.1.1.1) access-list 1
Access Control List 访问控制列表
lgx910307的博客
10-05 2600
AccessControl ListACL可以应用于很多场合,最为常见的是以下情形:1.    过滤邻居设备间传递的路由信息;2.    控制交互访问,以此阻止非法访问设备的行为-如对console接口,telnetssh访问实施控制;3.    控制穿越设备的流量和网络访问;4.    通过限制对路由器上某些服务的访问来保护路由器,如HTTP,SNMP及NTP;5.    为DDR路由定义感兴趣
扩展访问控制列表配置
生活不易,喵喵叹气
12-11 1184
设置扩展访问控制列表路由器应尽可能靠近数据包所送达的目的主机端,这样可以直接对数据包进行过滤
access-list访问列表
10-16
简单的思科路由的访问控制列表!!!对初学者很有帮助的啊!!
思科Cisco路由器access-list访问控制列表命令详解.docx
10-25
思科Cisco路由器access-list访问控制列表命令详解.docx
思科Cisco路由器access-list访问控制列表命令详解终稿.pdf
02-26
思科Cisco路由器access-list访问控制列表命令详解终稿.pdf
access-list详解
04-17
访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话 ACL指南 验证ACL配置的命令
模拟LinkedList实现的双向循环链表
2301_80912559的博客
04-28 746
list的底层与使用
wx20041102的博客
04-29 887
list是带头双向循环链表,物理空间不连续,导致对于迭代器的操作需要进行运算符重载,难点也在于对迭代器的使用与实现。
概率路线图probabilistic Roadmap搜索(结合了全局采样和图搜索的的思想)
qq_35635374的博客
04-28 1103
认知有限,望大家多多包涵,有什么问题也希望能够与大家多交流,共同成长!
改造BeanUtils,优雅实现List数据拷贝
Wewe的博客
04-29 1023
如果 source 或者 targetSupplier 只要有一个为 null,本工具类不像 BeanUtils 一样抛出异常,而是返回 null,因为笔者认为调用方如果把 null 进行准换,那就是想转换为 null,为不为空应该由调用方自己负责。. 这种拷贝方式是没有返回值的,jdk8 支持 stream() 操作之后,支持不是很友好,不方便 lambda 表达式的使用,因此我们决定通过集成 BeanUtils 类,自己造一个方便用的轮子。可还是有一些不够完美的地方。
CMakeLists.txt 简单的语法介绍
wojiaxiaohuang2014的博客
05-04 408
CMakeLists.txt 简单地语法介绍
Java中List<T>、List<?>、List<Object>、List<E>、List<U>的区别详解
wenxuankeji的博客
04-29 787
Java中List泛型的深入理解:List, List, List, List, List
CMakeLists.txt语法规则:部分常用命令说明三
最新发布
wojiaxiaohuang2014的博客
05-05 437
CMakeLists.txt语法规则:部分常用命令
STL——list
wang1664178416的博客
04-30 939
list将数据进行链式存储 list是一种物理存储单元上非连续的存储结构,数据元素的逻辑顺序是通过链表中的指针链接实现的 是一种双向链表的容器,用于存储和管理元素的集合,
LinkedList常考面试题
qq_42802219的博客
05-03 407
LinkedList是Java集合框架中的一个重要部分,它是一种线性数据结构,不同于ArrayList基于数组实现,LinkedList是基于双向链表实现的。这使得它在插入、删除操作上具有较高的效率,但随机访问元素时效率较低。以下是一些关于LinkedList的常考面试题及其答案,包括代码示例。
标准访问控制列表配置
12-11
标准访问控制列表是一种基于源地址的访问控制列表,可以用于控制数据包是否被路由器转发。以下是标准访问控制列表的配置方法: 1. 进入路由器的全局配置模式: ``` configure terminal ``` 2. 创建一个标准访问控制列表,例如编号为1: ``` access-list 1 permit 192.168.1.0 0.0.0.255 ``` 上述命令表示允许源地址为192.168.1.0/24的数据包通过。 3. 可以继续添加其他允许或拒绝的规则,例如: ``` access-list 1 permit 10.0.0.0 0.255.255.255 access-list 1 deny any ``` 上述命令表示允许源地址为10.0.0.0/8的数据包通过,拒绝所有其他数据包。 4. 将访问控制列表应用到接口的入方向或出方向: ``` interface GigabitEthernet0/0/1 ip access-group 1 in ``` 上述命令表示将访问控制列表1应用到接口GigabitEthernet0/0/1的入方向。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值