扩展访问列表详细指南和解读

先决条件–ACL (Access-lists),标准访问列表

访问列表(ACL)是为控制网络流量和减少网络攻击而定义的一组规则。 ACL用于根据为网络的传入或传出定义的一组规则过滤流量

 

扩展访问列表–

它是最常用的访问列表类型之一, 因为它可以区分IP流量, 因此不会像标准访问列表中那样允许或拒绝整个流量。这些是使用源IP地址和目标IP地址以及端口号来区分IP流量的ACL。在这些类型的ACL中, 我们还可以提及应该允许或拒绝哪个IP流量。这些使用范围为100-199和2000-2699。

特征 -

  1. 扩展访问列表通常应用于源附近, 但并不总是如此。
  2. 在扩展访问列表中, 数据包过滤是基于源IP地址, 目标IP地址, 端口号进行的。
  3. 在扩展访问列表中, 将允许或拒绝特定服务。
  4. 扩展ACL从100 – 199和扩展范围2000 – 2699创建。
  5. 如果使用带有扩展访问列表的编号, 则记住规则不能删除。如果其中一项规则被删除, 则整个访问列表将被删除。
  6. 如果使用扩展的访问列表命名, 则我们可以灵活地从访问列表中删除规则。

配置–

这是一个小型拓扑, 其中有3个部门, 分别是销售, 财务和营销。具有网络172.16.10.40/24的销售部门, 具有网络172.16.50.0/24的财务部门和具有网络172.16.60.0/24的营销部门。现在, 我们要拒绝从销售部门到财务部门的FTP连接, 并拒绝从销售和市场部门到telnet的telnet。

现在, 首先配置编号的扩展访问–​​用于拒绝从销售到财务部门的FTP连接的列表。

R1# config terminal
R1(config)# access-list 110 
            deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21

在这里, 我们首先创建一个编号访问列表, 在其中使用110(用于扩展访问列表范围)并拒绝销售网络(172.16.40.0)建立与财务网络的FTP连接(172.16.50.0)。

注意 -在此, 由于FTP使用TCP和端口号21。因此, 我们必须根据需要指定允许或拒绝条件。同样, 在eq之后, 我们将端口号用于指定的应用程序层协议。

现在, 我们必须拒绝销售部门和市场部门之间的telnet连接, 这意味着没有人可以通过telnet与财务部门建立连接。配置相同。

R1(config)# access-list 110 
            deny tcp any 172.16.50.0 0.0.0.255 eq 23

在这里, 我们使用关键字any表示0.0.0.0 0.0.0.0, 即来自任何子网掩码的任何IP地址。由于telnet使用端口号23, 因此我们必须在eq之后指定端口号23。

R1(config)# access-list 110 permit ip any any

现在, 这是最重要的部分。我们已经知道, 每个访问列表的末尾都有一个隐式拒绝, 这意味着如果流量与访问列表的任何规则都不匹配, 则流量将被丢弃。

通过指定任何任何意味着具有任何ip地址流量的源将到达财务部门, 但符合我们已制定的上述规则的流量除外。现在, 我们必须在路由器的接口上应用访问列表:

R1(config)# int fa0/1
R1(config-if)# ip access-group 110 out

我们记得, 我们必须将扩展访问列表应用到尽可能靠近源的位置, 但是这里我们将其应用到靠近目的地的位置, 因为我们必须阻止来自销售和市场部门的访问量, 因此, 我们必须应用它靠近目的地, 否则我们必须为fa0 / 0和fa1 / 0入站创建单独的访问列表。

 

命名访问列表示例–

现在, 考虑相同的拓扑, 我们将创建一个命名的扩展访问列表。

R1(config)# ip access-list extended blockacl

通过使用此命令, 我们创建了一个名为blockacl的访问列表。

R1(config-ext-nacl)# deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21 
R1(config-ext-nacl)# deny tcp any 172.16.50.0 0.0.0.255 eq 23
R1(config-ext-nacl)# permit ip any any

然后, 我们在编号访问列表中进行了相同的配置。

R1(config)# int fa0/1
R1(config-if)# ip access-group blockacl out

更多计算机网络相关内容请参考:lsbin - IT开发技术https://www.lsbin.com/

参考更多网络技术相关内容:

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值