第八章:


一,ACL--访问控制列表

 

什么是ACL?

     访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。

 

 

Permit-允许,匹配/deny---拒绝,不匹配

 

----------------------------------------------

一: 什么是ACL

1.ACL是思科IOS的工具,标识流量

2.ACL是一个清单包含允许和拒绝的的行为

3.基于IP包的信息ACL来标识流量

4.流量被标识后,不同的行为将被执行

5.可以在思科的路由器或交换机上配置ACL

 

二:ACL的操作

ACL执行步骤:

1.ACL是一系列允许和拒绝语句的集合

2.ACL按照自上而下的语句匹配

3.如果执行了允许或拒绝行为则不再往下匹配

4.在每一个ACL最后都有一条默认的拒绝所有的条目(deny ip any any)

 

1通配符(反掩码)

回顾:子网掩码

192.168.1.0/24---255.255.255.0(点分十进制)

1--表示匹配

0--忽略

通配符:

1--忽略

0--匹配

 

实例说明通配符的使用方法:

172.30.16.0/24 ----172.30.31.0/24

掩码:255.255.255.0

通配符:0.0..255

 172.30.16.0    0.0.15.255---一个条目匹配了上述16个条目!!

 

128    64    32    16    8    4    2    1

0      0     0     1  |  0    0    0    0=16

                   1  |  0    0    0    1=17

。。。。。。。。。。。。。

                   1  |  1    1    1    1=31

————————————————————

 0     0     0     0  |  1    1    1    1=15

 

 

 

通配符的缩写:

  1.  172.30.16.29 0.0.0.0匹配所有地址位

  2.  简化通配符也可以使用关键字host (host 172.30.16.29)

  3.  0.0.0.0 255.255.255.255 忽略所有地址位

  4.  简化通配符也可以使用关键字 any

 

 

ACL的类型(一)

ACL的两个主要类型:

 1.Standard ACL(标准)

-检查源IP地址

-允许或者拒绝所有的协议栈

 2.Extended ACL(扩展)

-检查源目IP地址

-通常允许或拒绝不同的协议和应用

两种标识标准和扩展ACL的方法:

-序列号 ACLs

-命名 ACLs

 

 

怎么为配置好的access-list删除个别条目:

wKiom1eGUCKBrfqyAAAqrBCpm0g514.png

 

比如我们要删除permit 40.1.1.1 这个条目

不能直接配置: no access-list 1 这样出现的结果就是全部的条目都没有了

而是配置: ip access-list standard 1 然后配置 no permit 40.1.1.1 ,也可以这样插入一个条目。如果想出现在20条目的前面,前面就加上序号:

 

 

2,访问控制列表

 ACL是思科IOS的工具,目的是标识流量(可以匹配网段/主机、路由条目)

 ACL是一个清单包含允许(permit拒绝(deny的行为

基于IP包的信息ACL来标识流量

流量被标识后,不同的行为将被执行

可以在思科的路由器或交换机上配置ACL

三种类型的ACL

aIPv4

bIPv6

c,非IP流量

严重提醒:相同接口相同方向,只能调用一个相同类型的列表

3ACL的操作(执行)过程

a,由上而下逐一匹配

b,一旦执行某一条目,将不再往下检查列表条目

c严重提醒:任何一个ACL最后,都有一条隐含的拒绝(deny)所有的条目!!!

 

友情提醒:明细的条目尽力往上放(number靠前)(permit ip host 10.1.1.1 host 172.16.1.3

                       粗犷的条目往下放(number靠后)(deny ip 10.1.1.0 0.0.0.255 any )

 

 

wKioL1eGUC2j9pPkAADuWr0szwA105.png

 

3ACL 的表示方式

a,标准

奥义:标准的访问控制列表只检查(匹配)源!!!

b,扩展

奥义:扩展的访问控制列表可以检查(匹配)源目IP/端口,以及协议号!!!

 

数字来区分:

标准:1-991300-1999

扩展:100-1992000-2699

 

4,访问控制列表的使用实例

拓扑

 

wKiom1eGUDbjGJCkAABCZ8pO32k040.png

 

需求一:使用标准的ACL,限制R1访问R2

 

配置:

R2

Access-list 1 deny host 10.1.1.1

或者

Access-list 1 deny 10.1.1.1 0.0.0.0

!

Interface fa0/0

  ip access-group 1 in   ---入向调用ACL

或者

Interface fa 1/0

  ip access-group 1 out  --出向调用ACL

 

 

需求二:使用扩展的ACL

                 a,禁止R1 ping R3 ,允许R1 telnet R3

                 b,禁止R1 telnet R4 ,允许R1 ping R4

拓扑:

wKioL1eGUELyxniVAABPw9fD7Gc279.png

 

配置:

R2

ip access-list extended R1.traffic

 permit tcp host 10.1.1.1 host 172.16.1.3 eq telnet

 permit icmp host 10.1.1.1 host 172.16.1.4

 deny   ip any any log

Interface fa0/0

  ip access-group R1.traffic in

 

 

讨论:

标准和扩展访问控制列表,使用的位置

a标准

奥义:只匹配源

在离目的越近越好的位置调用!!!

b扩展

奥义:匹配源目IP/端口和协议

在离源越近越好的位置调用!!