网络基础CCNP篇|思科ACL详解

最新推荐文章于 2023-05-08 23:30:20 发布
最新推荐文章于 2023-05-08 23:30:20 发布
阅读量945 收藏 4
点赞数 1
文章标签: 网络
原文链接:https://yq.aliyun.com/articles/419257
版权

ACL:(access control list访问控制列表)

操控的是数据层面

  1. 是IOS软件里面的一个工具(对流量标记)
  2. 是一张表,记录了允许或拒绝的陈述
  3. 基于IP数据包里面的信息进行流量标记
  4. 流量被标记之后,我可以执行某些动作
  5. ACL可以在交换机上使用,也可以在路由器上使用

作用

  1. 标记流量(在IP数据包里面进行标记的)
  2. 允许或拒绝一些标记的流量访问

适用范围

  1. 交换机或路由器
  2. 经过自己接口的流量,不适用自己发向别人的流量

限制条件

  1. 每个接口只能配一个ACL

ACL的作用位置,在路由选择之后,在转发出接口处:(如图)

_
在Test ACL Statements中
ACL具有表项,隐式存在最后一条表项是拒绝所有,因此一般表最后加一个Permit any。
匹配顺序:由上至下,逐条匹配。

对于一个路由器,假如收到一个数据

  1. 我该把这个数据转发到哪?
  2. 我应该转发这个数据吗?ACL
  3. 我该怎么转发这个数据?QoS

ACL分类:

1. 根据配置方法

  • 编号的ACL:access-list 开头
    问题:不能删除其中的某一个表项,一删全删。
  • 命名的ACL:ip access-list开头

2. 根据功能分类

  • 标准的ACL
    仅仅检查源IP地址,通常允许或拒绝整个协议栈,杀伤力极强。

尽量部署在靠近目的的一端(先路由,再匹配,这样就源就可以访问多个目的了,即使 浪费了一点资源)

  • 扩展的ACL
    不仅检查源和目的IP地址,还检查协议(传输层网络层各种协议),应用(源目端口号)。

尽量部署在源的近端(先匹配,再路由,节省资源)

  • 二层的ACL
    能根据源目MAC地址,type字段来匹配

再次重申
ACL能管理流量:别人发给自己的(经过自己的或者发给自己的)
ACL不能管理流量:即自己发给别人
能够对流量进行分类控制
从上到下开始匹配一旦ACL匹配成功则停止匹配(所以写命令时一定要记住先后顺序)
具有隐式拒绝所有 deny any
Deny 192.168.1.0 0.0.0.3 拒绝了.0 .1 .2 .3
Permit any

通配符掩码:
0:精确匹配
1:忽略匹配
允许 192.168.1.1 .3 .5 .7四个网段
把IP转化为二进制后的最后三位为:
0 0 1
0 1 1
1 0 1
1 1 1
即Permit 192.168.1.1 0.0.0.6
000
010
100
110
只拒绝 192.168.1.0 .2 .4 .6四个网段
deny 192.168.1.0 0.0.0.6
0001
0010

0111
1001
1010
只匹配 192.168.1.1 -.10 10个网段
permit 192.168.1.1 0.0.0.0
deny 192.168.1.0 0.0.0.7
Deny 192.168.1.8 0.0.0.1
Deny 192.168.1.10 0.0.0.0

ACL各类具体操作:

ACL编号
标准的ACL:1-99,1300-1999
扩展的ACL:100-199,2000-2699

编号ACL:(不推荐,因为不可以逐条删除,可不记)

标准ACL:

创建一个表项:
access-list 1(编号为1) deny(拒绝) 192.168.12.1 0.0.0.0(源IP地址)
access-list 1 permit(同意) any(所有源IP) 取消隐式拒绝所有
应用表项于接口:
ip access-group 1 out(出流量)进入接口配置出流量还是入流量
删除一个表项:
no access-list 100

扩展ACL:

例如:
access-list 100 deny tcp(协议) host 192.168.12.1
host 192.168.23.3 eq 23(telnet)
access-list 100 permit ip (协议)any any
ip access-group 100 in

命名的ACL:可以逐条删除ACE

标准的ACL:

创建一个表项:
(config)ip access-list standard 1
(config-std标准-nACL命名的acl)50(acl表项的编号) permit 1.1.1.1

删除一个表项中编号50的一项:
(config-std-nacl) no 50
删除一个表项:
No ip access-list standard 1
删除接口的历史匹配记录conf-if#no ip access-group 1 in
应用表项于接口:
ip access-group 1 in
例如:
ip access-list standard kiss
deny 1.1.1.1 0.0.0.0
permit any
ip access-group kiss in
No ip access-list standard kiss 删除ACL

扩展的ACL:

(config)#ip access-list extended ccie
(config-ext-nacl)#permit tcp 10.0.12.1

0.0.0.0(通配符)(源IP) any(目的IP) eq(端口号) 80
五元祖:permit/deny 协议 源IP地址 [源端口号可不加] 目的IP地址 [目的端口号可不加]
(config-ext-nacl)#permit ip any any 隐式允许所有
(config-ext-nacl)#int e0/0
(config-if)#ip access-group ccie in

show ip access-lists查看ACL表

注意
只要ACL采用的是名字,那就一定是命名的配置
如果采用号,那就不一定是命名配置还是编号配置

思科设备中的ACL表
范围小的思科自动放在上边

范围大的思科自动放在下边

weixin_34320159
关注
在国外当网络工程师,这些网络认证可以考一下!
网络技术联盟站
06-14 667
你好,这里是网络技术联盟站,我是瑞哥。公众号后台有位粉丝表示自己一直驻扎在国外,从事网络工程师,手上有国内的华为IP和深信服的认证,由于业务需要,甲方要求进场的工程师需要有一些国际上的认证,说白了就是需要国外厂商的认证,希望出一期文章,介绍一下国外有哪些网络工程师可以考的认证,知名度相对来说还可以的。那么今天瑞哥来安排一下!
cisco最完美的ACL配置详解及配置全过程
10-26
cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程
思科ACL详解
Jian Sun_的博客
07-01 1万+
思科ACL 基本原则:1、按顺序执行,只要有一条满足,则不会继续查找 2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的 3、任何条件下只给用户能满足他们需求的最小权限 4、不要忘记把ACL应用到端口上 一、标准ACL 命令:access-list {1-99}{permit/deny} s...
思科CISCO ACL配置详解
weixin_64312503的博客
07-25 2万+
思科ACL控制访问列表详细信息
CCNP_BSCI.rar_ccnp
09-21
**CCNP BSCI 实验参考手册详解** "CCNP_BSCI.rar_ccnp"是一个与Cisco Certified Network Professional (CCNP)认证相关的压缩包文件,其中包含了"BSCI"(Building Scalable Cisco Networks)部分的实验参考手册。...
CCNP全套(学习指南+全套实验+笔记).7z
最新发布
06-19
CCNP,全称Cisco Certified Network Professional,是Cisco认证体系中的高级证书,专为希望深化网络技术理解并提升专业技能的网络专业人士设计。本资源包“CCNP全套(学习指南+全套实验+笔记).7z”提供了全面的学习...
CCNP课程
03-12
CCNP课程】是Cisco Certified Network Professional的缩写,是Cisco认证体系中的一个重要阶段,旨在培养具备高级网络技术的专业人士。课程涵盖了路由、交换、安全、语音等多个领域,旨在为学员提供全面深入的网络...
2008年微思网络CCNP BCMSN3.0中文版教材
03-31
**2008年微思网络CCNP BCMSN3.0中文版教材**是针对Cisco Certified Network Professional (CCNP)认证中的Building Cisco Multilayer Switched Networks (BCMSN)模块设计的专业学习资料。该教材旨在帮助读者深入理解...
思科CCNP基础 很详细,也很简单易懂,不错 哦
04-20
大家看看就明白了 值不值了!很详细,也很简单易懂,不错 哦
cisco路由器配置ACL详解
xwchen的专栏
08-19 3701
 什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过
思科ACL简单概述
分享学习网络的点点滴滴
03-24 465
ACL(访问控制列表) 分为标准ACL和扩展ACL ACL的举例: 标准ACL和扩展ACL基本区别:(上面的是标准ACL,下面的是扩展ACL
CCNP-ACL访问控制表
煜铭2011
01-29 727
Cisco交换机ACL的配置
ZanDon
04-22 1万+
访问控制列表(Access Control List   ACL)的含义和作用就不讲了,自行百度 一 .ACL讲解 ACL分标准访问控制列表(Standard ACL)和拓展访问控制列表(Extended ACL),如下 ① 标准ACL(访问控制列表号1—99或1300—1999) 只过滤源地址,允许或禁止整个TCP/IP协议族 一般配置在靠近流量目的地的接口 配置方法如下: rou
ACL匹配顺序
weixin_33795743的博客
06-05 845
之前经常看到一些人问关于ACL的匹配问题,我之前也是有些糊涂,今天我在网上找了一些文档学习了一下,下面是我学习的一些体会 1、 Cisco产品 ACL的匹配顺序自上而下(即:先配置的先执行),默认规则是deny any any 注:可以先配置deny规则,然后再permit any any 2、 H3C产品 H3C匹配顺序有两种 (1)、auto 深度优先 ...
ACL的拓展配置及应用
热门推荐
weixin_64051859的博客
12-25 2万+
以华为的ensp为例 首先进行IP地址的划分 接下来在每个接口上配IP,并且给最下面两个路由器写缺省,下一跳都指向R1的GE0/0/0接口以此来充当两台电脑 [R1]interface GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.2.1 24 [R1]interface GigabitEthernet 0/0/1 [R1-GigabitEthernet0/0/1]ip add 192.168.3.1 24 [..
CCNA课堂练习:控制访问列表(ACCESS LIST)
weixin_34178244的博客
11-16 1133
大家今天介绍一下访问控制列表,那为什么要用访问控制列表呢?比如说公司里不想让公司以外的人telnet本公司电脑可以用ACL、不想让别人ping通ip可以用ACL、不想…… 老师说挺好用的我在这和大家分享一下,废话少说,我们开始,先来介绍一下ACL。 那使用ACL的目的是什么呢?在性能和安全上介绍一下: •性能 对网络设计中特定的用户进行控制 拒绝网络...
思科模拟器 | 访问控制列表ACL实现网段精准隔绝
做技术人 · 产优质博客 · 找好工作
05-08 8040
访问控制列表ACL实现网段精准隔绝,灵活控制IP的访问接入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值