第八章:ACL 路由器的访问控制列表

最新推荐文章于 2023-05-28 13:52:21 发布
最新推荐文章于 2023-05-28 13:52:21 发布
阅读量1.6k 收藏 9
点赞数 2
分类专栏: 计算机网络
JaweG
本文链接:https://blog.csdn.net/weixin_36750623/article/details/94847324
版权

目录

怎么配置标准的ACL(访问控制列表)

ACL作用

路由器的访问控制列表ACL的作用是(B)
  A. ACL可以监控交换的字节数   B. ACL提供路由过滤功能
  C. ACL可以检测网络病毒       D. ACL可以提高网络的利用率

    通过路由器提供的访问控制列表可以根据一些准则过滤不安全的数据包,如攻击包、病毒包等,以保证网络的可靠性和安全性。ACL适合于所有网络层协议,如IP/IPX/AppleTalk等协议。ACL的定义也是基于每一种协议的,但实际网络应用中,特别是在Internet上,都使用TCP/IP协议,因此基于IP协议的ACL的应用即为普遍。

总结:IP访问控制列表的主要功能
(1) 过滤流入和流出路由器接口的数据包。
(2) 带宽控制、控制对虚拟终端(VTY)的访问(Telnet)
(3) 限定路由更新内容、重新分配路由、触发按需拨号(Dial-on-Demand Routing,DDR)呼叫
(4) 限制诊断(debug)输出和为质量保证服务(QoS)识别、分类流量等。

IP访问控制列表的分类

IP访问控制列表的分为两类:一类是标准访问控制列表、扩展访问控制列表。
在这里插入图片描述
(1)标准访问控制列表(IP StandardAccess Lists)
    只允许过滤数据包的源地址,根据源网络、子网或主机的IP地址来决定对数据包的过滤,比如拒绝接收还是允许接收。
    标准访问控制列表的表号范围是1~99,补充的表号是1300~1999。

    举例:当需要配置对虚拟在终端(VTY)的访问控制权限,可以使用标准访问控制列表,设定凡是来自网络管理员的IP地址可以允许通过vty line远程登录到路由器,而来自所有其它地址的数据拒绝通过vty line 进入路由器。

(2)扩展访问控制列表(IP ExtendedAccesss Lists)
    允许用户根据以下内容过滤报文:源地址和目的地址,根据源网络或目的网络、子网、主机的IP地址决定数据包的过滤操作,还可以检查指定的协议,根据数据包头中的协议类型进行过滤,如IP协议、TCP协议、和UDP协议等。
    扩展访问控制列表的表号范围是100~199,补充的表号是2000~2699。

    举例:在发生利用ICMP协议攻击网络的情况下,可以使用扩展访问控制列表设置拒绝所有ICMP协议的数据包通过路由器。此外还可以检查端口号,根据端口号对数据包进行过滤。
    举例:为防止“冲击波”蠕虫病毒的传播,可以使用设定拒绝TCP协议的4444端口的所有数据包通过路由器。由于扩展访问列表具有更强的功能、更灵活的配置、更精确的控制和更好的扩展性等优点,因此应用广泛。

IP访问控制列表的过滤准则

(1)特别要注意的是ACL语句的匹配顺序,ACL按照条件语句的顺序从第一条开始执行,数据包只有在跟第一个判断条件不匹配时,才能被交给ACL中的下一条件语句进行比较。当若当匹配成功后,将直接对该条数据执行相应的permit或deny操作。

(2)在CIsco IOS操作系统上,所有的ACL默认拒绝所有,也就是说,如果你书写了一个空的列表,该列表会匹配所有内容,并标记为deny。

(3)IP访问控制列表是一个连续的列表,至少有一个“permit”(允许)语句和一个或多个“deny”(拒绝)语句组成。不写明permit或deny时,默认为deny。

(4)使用ACL匹配IP地址,结合通配符掩码可以匹配一定范围内的IP地址。
      注意:通配符掩码的作用与子网掩码的作用刚好相反。0表示匹配,1表示不匹配。

(5)IP访问控制列表的定义格式:access-list 或 ip access-list。

(6)access list命令要求只能使用表号标识列表,在建立控制列表的同一语句中,同时配置过滤规则;

(7)ip access-list命令,既可以使用表号,也可以使用名字标识一个访问控制列表。在访问控制列表建立并配置号规则之后,列表并不能马上生效,必须将控制列表应用于一个接口、一个VTY line或被其他命令引用之后,列表才能生效。

实战案例1:配置标准IP访问控制列表

全局配置模式下配置,命令格式:
    access-list access-list-number {permit|deny} source wildcard-mask
                      表号                             子网掩码的反码

示例1:只允许源地址为211.105.130.0 255.255.255.0子网上的主机登录到路由器

     Router(config) #access-list 10 permit 211.105.130.0 0.0.0.255
     Router(config) #

配置应用接口:

     Router(config) #line vty 0 5
     Router(config-line) #access-class 10 in

查看访问控制列表的配置信息:

在特权用户模式下:

     Router #show configuration
     !
     access-list 10 permit 211.105.130.0 0.0.0.255
     !
     !
     line vty 0 5
     access-class 10 in
     password 7 01090A1D0A52525C701E18
     login
     !

查看访问控制列表:

在特权用户模式下:

    Router # sh access-lists
    Standard IP access list 10
    permit 211.105.130.0, wildcard bits 0.0.0.255(74 matches)

示例2:只允许源地址为182.105.130.111和222.112.7.56的两台主机登录路由器。

在全局配置模式下:

      Router(config) #access-list 20 permit 182.105.130.111
      Router(config) #access-list 20 permit 222.112.7.56
      Router(config) #access-list 20 deny any              //any代表所有的主机

配置应用接口:

     Router(config) #line vty 0 5
     Router(config-line) #access-class 20 in

示例3:禁止源地址为非法地址的数据包进入路由器或从路由器输出。

在全局配置模式下:

     Router(config) #access-list 30 deny 10.0.0.0 0.255.255.255 log
     Router(config) #access-list 30 deny 192.168.0.0 0.0.255.255
     Router(config) #access-list 30 deny 127.0.0.0 0.255.255.255
     Router(config) #access-list 30 deny 172.16.0.0 0.15.255.255
     Router(config) #access-list 30 permit any

配置应用接口:

    Router(config) #interface g0/1
    Router(config-if) #ip access-group 30 in  将ACL调用在接口上
实战案例2:配置扩展IP访问控制列表
case1:使用access-list命令

在全局配置模式下,命令格式:
    access-list access-list-number {permit|deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]
    说明:其中operator操作,有“lt”小于、“gt”大于、“eq”等于、“neq”不等于。operand操作数指的是端口号。

示例1:拒绝转发所有IP地址进出的,端口号为1434的UDP协议数据包。

在全局配置模式下:

    Router(config) #access-list 130 deny udp any any eq 1434
    Router(config) #access-list 130 permit ip any any
    Router(config) #

配置应用接口:

    Router(config) #interface g0/1
    Router(config-if) #ip access-group 130 in
    Router(config-if) #ip access-group 130 out
    Router(config-if) #

示例2:封禁某一台主机。

在全局配置模式下: //log如果有这种情况发生就在控制台报送一条信息。

    Router(config) #access-list 110 deny ip host 202.112.60.230 any log
    Router(config) #access-list 110 deny ip any host 202.112.60.230 log
    Router(config) #access-list 110 permit ip any any

配置应用接口:

   Router(config) #interface g0/1
   Router(config-if) #ip access-group 110 in
   Router(config-if) #ip access-group 110 out
   Router(config-if) #

示例3:封禁ICMP协议,只允许162.105.141.0/24和202.38.97.0/24子网的ICMP数据包通过路由器。

在全局配置模式下;

   Router(config) #access-list 198 permit icmp 162.105.141.0 255.255.255.0 any
   Router(config) #access-list 198 permit icmp 202.38.97.0 255.255.255.0 any
   Router(config) #access-list 198 deny icmp any any
   Router(config) #access-list 198 permit ip any any
   Router(config) #

配置应用接口:

  Router(config) #interface g0/1
  Router(config-if) #ip access-group 198 in
  Router(config-if) #ip access-group 198 out
  Router(config-if) #
case2:使用ip access-list命令

在全局模式下,命令格式:ip access-list extended|standard access-list-number|name

注:在扩展或标准访问控制模式下(如:router(config-ext-nacl)#),配置过滤规则,命令格式:
{permit|deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]

示例:拒绝转发所有IP地址进与出方向的,端口号为1434的UDP协议数据包。

  Router(config) #ip access-list extended 130   //进入扩展访问控制列表配置模式
  Router(config-ext-nacl) #
  Router(config-ext-nacl) #deny udp any any eq 1434
  Router(config-ext-nacl) #permit ip any any
  Router(config-ext-nacl) #

配置应用接口:

  Router(config) #interface g0/1
  Router(config-if) #ip access-group 130 in
  Router(config-if) #ip access-group 130 out
  Router(config-if) #
粪逗er
关注
专栏目录
锐捷RSR系列路由器_安全_ACL访问控制列表
君逍遥o
08-31 2421
ACL 的全称为访问控制列表(Access Control Lists),俗称为防火墙,还称之为包过滤。ACL通过定义一些规则,对网络设备接口上的数据报文进行控制,根据匹配条件,决定是允许其通过(Permit) 还是丢弃(Deny) 。
网络基础学习(第八章):ACL原理及配置
最新发布
weixin_42054864的博客
06-06 2678
一、ACL访问控制列表1.1 ACL的两种作用:● 用来对数据包做访问控制(丢弃或者放行)● 结合其他协议,用来匹配范围1.2 访问控制列表● 读取第三层,第四层包头信息● 根据预先定义好的规则对包进行过滤1.3 访问控制列表在接口应用的方向● 出: 已经过路由器的处理,正离开路由器接口的数据包。● 入:已到达路由器接口的数据包,即将被被处理。注:数据是有去又回的,进的是进口,回来的时候就是出口,出的是出口,回来的时候就是进口。
路由器访问控制列表基础知识问答
weixin_34306446的博客
12-13 176
1、什么是访问控制列表访问控制列表在Cisco IOS软件中是一个可选机制,可以配置成过滤器来控制数据包,以决定该数据包是继续向前传递到它的目的地还是丢弃。 2、为什么要使用访问控制列表? 最初的网络只是连接有限的LAN和主机,随着路由器连接内部和外部的网络,加上互联网的普及,控制访问成为新的挑战,网络管理员面临两难的局面:如何拒绝不期望的访问而允许需要的访问...
第十四章 处理NAT
至虛極,守靜篤
10-25 1879
NAT(Network Address Translation,网络地址转换)是时代原因遗留的最大问题:它源自互联网没有广泛使用,恐龙自由漫游的年代。那时候…大约是20年前?网络地址资源非常充足(通常分配一个C类网络地址,有254个公共互联网可路由地址。我个人拥有两个C类地址,一个用于iol.it,另一个用于matrice.it),没有人意识到IPV4地址资源池会永远耗尽。因此,互...
Packet Tracer - 配置 IP ACL 来缓解攻击
傻傻的心动的博客
05-06 4421
Packet Tracer - 配置 IP ACL 来缓解攻击
Packet Tracer - 在 VTY 线路上配置 ACL
傻傻的心动的博客
05-28 2543
Packet Tracer - 在 VTY 线路上配置 ACL
路由器及其配置
dianying7959的博客
03-28 780
路由器及其配置 Internet就是用路由器加专线的方法连接了成千上万个网络而构成的 路由选择的核心就是确定下一跳路由器的IP地址路由表 路由表主要内容:目的网络地址,下一跳路由器地址和目的端口等信息,缺省路由信息 分组转发通常称分组交换 缺省路由又称缺省网关,一般路由器的缺省网关是指向连往Internet出口的路由器 几种路由协议管理距离: 直接连接:0...
路由器ACL访问控制列表概念及常用命令
Parhoia的博客
10-15 3496
ACL访问控制列表 常用的端口号及其功能 端口 协议 说明 21 FTP FTP服务器所开放的控制端口 23 TELNET 用于远程登录,可以远程控制管理目标计算器 25 SMTP SMTP服务器开放的端口,用于发送邮件 80 HTTP 超文本传输协议 110 POP3 用于邮件的接收 69 TFTP 简单文本传输协议 111 RPC 远程过程调用 12...
第五章 访问控制列表ACL——标准ACL实验
沐一清
09-02 4046
一、理论 1.简述ACL的作用。 ACL可以提供网络访问的基本手段。可用于Qos,控制数据流量。控制通信量。 2.简述标准ACL和扩展ACL的不同点。 标准ACL是检查源地址,而扩展ACL不仅仅检查源地址,还检查目的地址。 标准ACL允许或拒绝整个协议簇,而扩展ACL允许或拒绝特定协议或应用程序。扩展ACL比标准ACL更精细一些。 标准ACL的编号为1-99,而扩展ACL的编号是100-199。 ...
访问控制列表ACL
L_R_Y_v的博客
12-20 2515
访问控制列表ACL访问控制列表(Access Control List)访问控制列表的分类ACL工作原理3P原则 访问控制列表(Access Control List,简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能,在现实中应用广泛。 ACL根据功能的不同分为标准ACL和扩展ACL。 (1)标准ACL只能过滤报文的源IP地址; (2)扩展ACL可以过滤源IP、目的IP、协议类型、端口号等。 ACL配置主要分为两个步骤: (1)根
3.0-LAB1-C1 实验
agonilw的博客
10-21 1137
1、二层配置 2、IGP配置 3、MPLS-v-pn跨域配置 4、HA部分 5、QOS部分 6、IPV6部分
telnet成功_网络安全访问控制列表ACL控制telnet登录,一分钟了解下
weixin_39720662的博客
11-21 925
一、需求 1.路由器名为:cisco1、cisco2; 2.cisco1的S0端口与cisco2的S0端口相连,IP地址如图所示,在cisco2上设置特权密码为cisco,线路密码为cisco; 3.从cisco1使用PING命令测试到cisco2的连通性,结果可达,但却不可以 TELNET到cisco2。二、拓扑三、步骤有两种方法实现方法一:使用扩展ACL1.检测基本配置cisco2(confi...
(NCRE网络技术)路由器及其配置-知识点
理想的博客
11-15 1381
欢迎您阅读此系列文章,文章参考自《全国计算机等级考试三级教程.网络技术》。内容为NCRE三级网络技术主要知识点以及常考点,此知识点总结参照《三级网络技术考试大纲(2018年版)》。阅读此系列文章可以帮助您快速、轻松考取相应证书!祝您阅读愉快,获取知识点电子文档地址:https://gitee.com/yjs0612/ncre 。整理不易,希望可以帮助到你! 文章地图前言路由器基础路由表结构路由器结构及其工作模式路由器基本操作路由器基本配置及公用命令路由器接口配置静态路由配置动态路由协议配置DHCP功能及.
访问控制列表 ACL
centos的博客
10-17 6264
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。其目的是为了对某种访问进行控制。 作用        ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一
路由器in and out解释
zhjcyn的专栏
07-16 1472
困扰了很久的IN和OUT..91LAB上面看到一个很形象的比喻,摘抄出来:in和out是相对的,比如:A(s0)-----(s0)B(s1)--------(s1)C假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这
access-group和access-class的区别
weixin_34240657的博客
11-20 1710
ip access-group用在接口下;access-class用在VTY线下 access-class命令前面没有“ip” 例子: 先配置access-list: access-list 1 permit host 192.168.1.1 access-list 1 permit host 192.168.2.1 情况一:line vty 0 4(最多允许5...
扩展ACL(Extended ACL)
weixin_33843947的博客
11-15 1326
实验来源:工大瑞普Cisco网络技术论坛要求: 1.禁止r1 telnet r42.禁止r2 ping r43.其它访问均允许 1.按照拓扑配置好各个路由器的接口IP地址;2.在每台路由器配置OSPF路由协议(有不会的清看上一次的标准ACL的有关OSPF的基本配置)3.3.设置ACL(注:标准ACL应该在距离目标近的地方设置,扩展ACL应该在距离源较...
思科路由器限速实例
Galdys的专栏
07-07 2182
例一 : Cisco路由器中的rate-limit命令就可以有效地对这部分用户的带宽进行限制。假设学生上机的网段为192.168.6.*,我们以Cisco 2600为例来进行设置。 在Cisco设备中,只有支持CEF(Cisco Express Forward)的路由器或交换机
CCNA--LAB-6:配置ACL(访问控制列表-经典实例)
weixin_34112900的博客
11-30 172
拓扑如上:两台路由器,已经配置好了IP地址,并且都已经启用了TELNET,密码为cisco . 实验一:我们都知道PING是双向的,但我们灵活应用ACL使R1可以拼通R2,但是R2不能拼通R1 ! 步骤1:测试在R1拼R2与在R2拼R1 r1#ping 12.1.1.2 Type escape se...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值