基于列表号的Cisco标准IP ACL语法

最新推荐文章于 2022-01-05 13:44:02 发布
最新推荐文章于 2022-01-05 13:44:02 发布
阅读量238 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34270865/article/details/85023203
版权

为庆祝2009获得多项大奖的年度巨作——《Cisco/H3C交换机配置与管理完全手册》重印,以及它的姊妹篇——《CIsco/H3C路由器配置与管理完全手册》将于今年10月底上市,同时感谢广大读者朋友的高度信任、评价和支持,近期将多摘选几篇内容发给大家共享。该书在卓越网上现在仅需要73折:http://www.amazon.cn/mn/detailApp?ref=RK&uid=477-0992093-5315614&asin=B002MAR8EM

另外,本人2009年度其他7本新书现在也有大幅优惠(多本仅需要72~74折)促销了:http://www.amazon.cn/s/ref=nb_ss?url=search-alias%3Dbooks&keywords=%E9%87%91%E7%89%8C%E7%BD%91%E7%AE%A1%E5%B8%88&searchKind=keyword&Go.x=11&Go.y=12

近期群中有许多读者问有关ACL配置的问题,但大多数问题都是不理解,或者根本不知道ACL配置命令中的各可选项和参数的功能和用法。为此近期多发了一些关于ACL配置的文章。本期发的是关于Cisco标准ACL命令的详细使用方法。

14.3.1基于列表号的Cisco标准IP ACL语法
标准ACL主要是基于IP协议的(参见本章前面的表6-1),所以在此也仅以基于IP协议的标准ACL进行介绍。基于列表号的Cisco 标准IP ACL格式如下:
access-list [list number][permit|deny][host/any][source address][wildcard-mask][log]
从命令格式可以看出,标准IP ACL是仅以源地址与规则行为匹配的,没有目的地址。也就是IP ACL在过滤时仅考查数据包中的源IP地址,凡是与源IP地址一样的都将应用相应的过滤行为规则。下面解释一下标准IP ACL的关键字和参数。
n         access-list
创建ACL的命令。
n         list number(列表编号)
ACL列表号,值的范围在099之间,这标准IP ACL中限定的,也就是在一个Cisco设备中最多可以创建100个标准IP访问列表。100~199为为扩展IP ACLlist number范围。另外,还有其他类型的ACL,它们的list number值范围也各不一样:基于协议类型码的ACLlist number范畴为200~299;基于MAC地址的ACLlist number范畴为700~799;基于IPX的标准ACLlist number范畴为800~899;基于IPX的扩展ACLlist number范畴为900~999;基于IPX业务通告协议的ACLlist number范畴为1000~1099;基于MAC地址的扩展ACLlist number范畴为1100~1199。其他协议类型的ACL的列表号范围参见表6-1
n         permit|deny(允许/拒绝)
设置ACL规则的关键参数,它代表本编号列表所设置的规则是允许后面指定的主机或网络进行通信,还是拒绝后面指定的主机或网络进行通信。在标准IP ACL中,使用permit参数可以使得和访问列表项目匹配的数据包通过接口,而deny参数可以在接口过滤掉和访问列表项目匹配的数据包。
n         host/any
hostany分别用于指定单个主机和所有主机。host表示一种精确的匹配,其掩码(本节后面将详细介绍)为0.0.0.0。例如,我们希望仅允许来自192.168.0.10主机的报文通过,则可使用的标准IP访问控制列表语句如下(注意,其中没有用到“host”或者“any”关键字):
access-list 1 permit host 192.168.0.10                   1
【经验之谈】对于标准IP访问控制列表来说,host关键字是默认的,也就是说式(1)中也可以省去输入host关键字,直接写成:
access-list 1 permit 192.168.0.10
如果上面示例是要仅拒绝192.168.0.10主机的报文,则标准IP访问列表如下:
access-list 10 deny host 192.168.0.10
当然也可以简写成(道理同上):
access-list 10 deny 192.168.0.10
host关键字相对应的any关键字是源地证/目标地址0.0.0.0/255.255.255.255的简写。假定我们要拒绝从源地址192.168.0.10来的报文,并且要允许从其他源地址来的报文,则用标准的IP访问表可以使用下面的两条语句达到这个目的:
access-list 1 deny host 192.168.0.10
access-list 1 permit any
【注意】以上这两条语句的顺序不能倒过来。因为访问表语句的应用顺序是自上而下的,限制严格性要求最高的放在前面,最低的放在最后。在上面这两条语句中,上一条是拒绝某个范围的主机通过,限制性比下一条的允许所有的主机通过限制性要高,所以放在前面。应用后是先拒绝上一条指定的主机通过,然后再允许余下的其他所有主机通过。如果我们将两个语句顺序颠倒,将permit(允许)语句放在deny(拒绝)语句的前面,则我们将不能过滤来自主机地址192.168.0.1的报文,因为permit语句将允许所有的报文通过。所以说访问表中的语句顺序是很重要的,因为不合理语句顺序将会在网络中产生安全漏洞,或者使得用户不能很好地利用公司的网络策略。
n         source address(源IP地址)
用来指定规则中数据通信源的IP地址或网络地址,以点分十进制表示,如:192.168.0.10表示一台主机,而如果是192.168.0.0则表示整个网段的主机。
在标准IP ACL中,只是对数据通信源进行了限定,所以其中只有“source address”(源地址),而后面没有“destination address”(目标地址)这个字段。
n         wi1dcard-mask(通配符掩码)
CiscoACL中,是以掩码(mask)来与IP地址组合来指定主机范围的。这里的掩码也称为反掩码inverse mask)或者通配符掩码wildcard mask),用来指定单一主机或一个范围的主机。但它们与子网掩码Sub Mask)是不同的。他们之间存在如下的关系:
mask = 255.255.255.255 - Sub Mask
如标准的CIP地址的子网掩码为255.255.255.0,由此可以得到标准C类地址的掩码为(注意要分段对应进行减运算):
255.255.255.255 – 255.255.255.0 = 0.0.0.255
也就是直接把子网掩码中的所有值为“255”的八位组都转换成“0”,把非“255”的其他八位组,用“255”来减,差就是最终的值。如前面的255.255.255.0中前3组均为“255”,转换成“0”,最后一组为“0”,用“255”来减后得到“255”,所以最终该网络的通配符掩码为0.0.0.255。同样,如果某子网掩码为255.255.240.0,则该子网的通配符掩码值为0.0.15.255。其中的“15”等于“255-240”
还有一种二进制计算方法。如子网掩码255.255.255.0转换二进制后得到“11111111.11111111.11111111.00000000”,经过“1”“0”的相互转换后就得到了通配符掩码为“00000000.00000000.00000000.11111111”,再转换成十进制后得到0.0.0.255。这就是子网掩码为255.255.255.0的网络的通配符掩码。再如某网络划分子网后的子网掩码为“255.255.255.240”,转换成二进制后得到“11111111.11111111.11111111.11110000”,经过“1”“0”的相互转换后,得到通配符掩码为“00000000.00000000.00000000.00001111”,转换成十进制就得到了“0.0.0.15”。这就是子网掩码为255.255.255.240的网络的通配符掩码。
假设您的公司有一个分支机构,其IP地址为C类的192.46.28.0.在您的公司,每个分支机构都需要通过总部的路由器访问Internet.要实现这点,您就可以使用一个通配符掩码 0.0.0.255。因为CIP地址的最后一组数字代表主机,把它们都置1即允许总部访问网络上的每一台主机。因此,您的标准IP访问列表中的 access-list语句如下:
access-list 1 permit 192.46.28.0 0.0.0.255
在这里有一个特殊的通配符掩码0.0.0.0,它表示的是仅一台机,与前面式(1)中的“host”关键字的功能是一样的。这样,式(1)也就可以写成如下式(2)格式:
access-list 1 permit 192.168.0.10 0.0.0.0                  2
比式(1)和式(2),可以这样理解,式(1)中的“host”关键字替代了式(2)中的通配符掩码(wildcard-mask0.0.0.0,也就是说“host”关键字的是通配符掩码(wildcard-mask0.0.0.0简写。但两者在语句中的位置不一样,书写时要注意了。
n         Log(日志记录)

log关键字只在IOS版本11.3Cisco设备中存在。如果该关键字用于访问表中,则对那些能够匹配访问表中的permitdeny语句的报文进行日志记录。日志信息包含访问表号、报文的允许或拒绝、源IP地址以及在显示了第一个匹配以来每5分钟间隔内的报文数目。使用log关键字,提供了测试和报警两种功能:系统管理员可以使用日志来观察不同活动下的报文匹配情况,从而可以评估不同访问表的设计是否正确,是否合理;当其用于报警时,管理员可以察看显示结果,以定位那些多次尝试活动被拒绝的访问表语句。通过Cisco IOS的控制台命令可以选择记录日志方式。

weixin_34270865
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cisco标准ACL实验配置实验
05-13
访问控制列表,实现网络流量限制,提供流量控制,为网络提供基本的安全层
访问控制列表ACL及配置教程
10-01
本文将详细介绍访问控制列表ACL及配置,需要了解更多的朋有可以参考下
H3C 通配符掩码
weixin_30659829的博客
07-10 416
转载于:https://www.cnblogs.com/fanweisheng/p/11163784.html
H3C 通配符掩码的应用示例
weixin_30664615的博客
07-10 243
转载于:https://www.cnblogs.com/fanweisheng/p/11163789.html
cisco的访问控制列表ACL的基本使用(大白话版)(基于cisco packet tracer)
fly_view的博客
01-05 8066
ACL语句实现IP地址过滤,access-list 1 permit XXXX.XXXX.XXXX.XXXX XXXX.XXXX.XXXX.XXXX
ACL详解 Cisco
aiwo1376301646的博客
05-25 2107
访问控制列表简称为ACL: 访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头的信息如地址,目的地址,端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了 访问控制列表的原理: 对路由器接口来说有两个方向: 出:已经经路由器的处理,正离开路由器接口的数据包 入:已经到达路由器接口的数据包,将被路由器处理 ...
思科ACL详解
Jian Sun_的博客
07-01 1万+
思科ACL 基本原则:1、按顺序执行,只要有一条满足,则不会继续查找 2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的 3、任何条件下只给用户能满足他们需求的最小权限 4、不要忘记把ACL应用到端口上 一、标准ACL 命令:access-list {1-99}{permit/deny} s...
思科网络技术学院(CCNA)-配置并检验标准 ACL
01-01
第 3 部分:配置并检验标准 ACL 和命名 ACL • 配置、应用并检验编标准 ACL。 • 配置、应用并检验命名 ACL。 第 4 部分:修改标准 ACL • 修改并检验命名标准 ACL。 • 测试 ACL。 实验准备: • 3 台路由器...
实验十三-利用ip标准访问控制列表acl进行网络流量的控制.pkt
06-28
掌握路由器上编标准 IP 访问列表规则及配置。只允许网段 172.16.2.0 与 172.16.4.0 的主机进行通信,不允许 172.16.1.0 去访问172.16.4.0 网段的主机。
Cisco-ACL配置.pdf
09-30
CISCO ACL访问控制列表设置介绍及讲解CISCO ACL访问控制列表设置介绍及讲解CISCO ACL访问控制列表设置介绍及讲解
思科交换机操作屏蔽IP地址
09-19
如何在思科路由器屏蔽指定的IP地址,有需要的可以学习下。
CISCO ACL配置详解
热门推荐
奇幻风云
04-29 4万+
什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头的信息如地址,目的地址,端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的原理 对路由器接口来说有两个方向 出:已经经路由器的处理,正
H3C-F100-A3防火墙配置基于ACL的NAT动态地址转换+NAT内部服务器
传统运维点到为止
04-06 3825
年后一直在折腾一个带项目,服务器那是一个柜一个柜的上,目前上了10个机柜,总共上20个,反正到现在还没上完。这堆服务器托管在运营商数据心机房,第三方公司负责日常运维。当初这个第三方公司为了提高业绩,给了我们一个优惠:租一个机柜送2个公网IP。 老板很高兴啊,可以白嫖这么多公网IP,但是按照之前规划的网络架构,这些送的公网IP是完全用不上的,太浪费了。这不行,一定得想办法全用上,于是我就提出了这么个想法:一个机柜的服务器用一个公网IP做NAT上网,另一个IP提供远程访问连接内网服务器,刚好用完所有公网I..
h3c如何配置acl命令
answan的博客
06-04 1万+
交换机直接用下面的就可以 acl number 3000 rule permit ip source 1.1.1.1 0 destination 2.2.2.2 0 acl number 2000 rule permit ip source 1.1.1.1 0 acl 2000-3000 只能定义 acl 3000 及以上可以定义目标 上面是配置实例 permit是允许 deny是拒绝 定义之后到接口或端口去下发。 Packet in/out 2000 路由器的话略有不同 你要先 fiirwall e
基于java的-28-“智慧食堂”设计与实现--LW-码.zip
04-25
提供的码资涵盖了Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 适合毕业设计、课程设计作业。这些码资特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资都能为你提供宝贵的学习和实践机会。通过学习和运行这些码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些码资进行课程实践、课外项目或毕业设计。通过分析和运行码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保码资的可运行性和易用性,特别注意了以下几点:首先,每份码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些码资,以适应各平台技术的最新发展和市场需求。 所有码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通,第一时间进行解答!
C#,回文分割问题(Palindrome Partitioning Problem)算法与代码
04-25
C#,回文分割问题(Palindrome Partitioning Problem)算法与代码 1 回文串 “回文串”是一个正读和反读都一样的字符串,初始化标志flag=true,比如“level”或者“noon”等等就是回文串。 2 回文分割问题 给定一个字符串,如果该字符串的每个子字符串都是回文的,那么该字符串的分区就是回文分区。 例如,“aba | b | bbabb | a | b | aba”是“abababababa”的回文分区。 确定给定字符串的回文分区所需的最少切割。 例如,“ababababababa”至少需要3次切割。 这三个分段是“a | babbab | b | ababa”。 如果字符串是回文,则至少需要0个分段。 如果一个长度为n的字符串包含所有不同的字符,则至少需要n-1个分段。
node-v9.2.1.tar.xz
最新发布
04-25
Node.js,简称Node,是一个开且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
贪心算法解决活动选择问题,Java版
04-25
贪心算法是一种在每一步选择都采取在当前状态下最好或最优的选择,从而希望导致结果是全局最好或最优的算法策略。贪心算法在有最优子结构的问题尤为有效。最优子结构的意思是局部最优解可以决定全局最优解。 附件一个使用贪心算法解决活动选择问题(也称为会议时间安排问题)的 Java 示例代码。这个问题的目标是选择最大的活动数量,使得活动之间互不重叠。 在示例,我们定义了一个 Activity 类来表示每个活动的开始和结束时间。然后,我们创建了一个活动数组,并使用 Arrays.sort() 方法按照活动的结束时间对它们进行排序。 接下来,我们遍历排序后的数组,使用贪心算法的策略选择活动。选择的标准是当前活动的开始时间是否晚于或等于之前选择的最后一个活动的结束时间。如果是,我们就选择这个活动,并更新 lastActivityEnd 为当前活动的结束时间。最后,我们打印出可以执行的最大活动数量。
思科 访问控制列表ACL配置
01-10
ACL(Access Control List)是一种用于控制网络流量的技术,可以根据设定的条件对数据包...以上是一个简单的思科ACL配置的示例。根据实际需求,可以根据不同的条件和规则创建和应用ACL来实现网络流量的控制和安全保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值