控制列表ACL
ACL的全称为接入控制列表(Access Control Lists),也称为访问列表(Access List),俗称为防火墙,在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而提高网络可管理性和安全性;
IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围分别为1~99、100~199、1300~1999、2000~2699;
标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤;
扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤;
IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用
基本原则:1、按顺序执行,只要有一条满足,则不会继续查找
2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的。
3、任何条件下只给用户能满足他们需求的最小权限
4、不要忘记把ACL应用到端口上
一、标准ACL
1、编号访问控制列表
命令:access-list {1~99} {permit/deny} source-ip source-wildcard [log]
例:
access-list 1 permit 192.168.2.0 0.0.0.255 允许192.168.2.0网段的访问
access-list 1 deny 192.168.1.0 0.0.0.255 拒绝192.168.1.0网段的访问
说明:wildcard为反掩码,host表示特定主机等同于192.168.2.3 0.0.0.0;any表示所有的源或目标等同于0.0.0.0 255.255.255.255;log表示有匹配时生成日志信息;标准ACL一般用在离目的最近的地方。
编号访问控制列表:
RB(config)#access-list 1 deny 172.16.2.0(172.16.2.1) 0.0.0.255(0.0.0.0) RB(config)#access-list 1 permit 172.16.1.0 0.0.0.255 RB(config)#interface f0/0 RB(config-if)#ip access-group 1 out RB(config-if)#no ip access-group 1 out //删除
二、扩展ACL
命令:access-list {100-199} {permit/deny} protocol source-ip source-wildcard [operator port] destination-ip destination-wildcard [operator port] [established] [log]
gt 大于,eq 等于,lt 小于。
例:
access-list 101 permit tcp 192.168.2.0 0.0.0.255 gt 1023 host 192.168.1.2 eq 80
RA(config)#access-list 101 deny tcp 172.16.2.0 0.0.0.255 172.16.4.0 0.0.0.255 eq 80
RA(config)#access-list 1 permit ip any any
RA(config)#interface f0/1
RA(config-if)#ip access-group 101 in
RA(config-if)#no ip access-group 101 in
RA(config)#no access-list 101
//另一种
RA(config)#ip access-list extended ds
RA(config-ext-nacl)#deny tcp 172.16.2.0 0.0.0.255 host 172.16.4.10 eq www
RA(config-ext-nacl)#permit ip any any
RA(config-ext-nacl)#exit
RA(config)#interface f0/1
RA(config-if)#ip access-group ds in
RA(config-if)#no ip access-group ds in //删除
RA(config-if)#exit
RA(config)#no ip access-list extended ds //删除
//另一种
RA(config)#ip access-list extended dds
RA(config-ext-nacl)#deny tcp host 172.16.2.8 host 172.16.4.10 eq www
RA(config-ext-nacl)#permit ip any any
RA(config-ext-nacl)#exit
RA(config)#interface f0/1
RA(config-if)#ip access-group dds in