本文详细介绍了访问控制列表(ACL)的概念、工作原理及分类,特别是针对思科设备的标准访问控制列表。内容包括ACL如何基于IP地址过滤网络流量,以及如何在路由器接口上配置和应用ACL,以实现对数据包的准入控制。同时,提供了两种配置标准ACL的方法,并解释了配置顺序的重要性。最后,讨论了如何检查配置效果。
目录
一、访问控制列表
标准的访问控制列表ACL
- ACL的基本概念
主要是基于主机,通过IP设备进行标识·
1.1 概念
什么是访问控制列表
一种基于包过滤的访问控制技术、拆的是网络层IP地址,广泛应用于路由器和三层交换机中,有效的控制用户(主机)的访问,基于数据包的五元组进行过滤(源ip、目标ip、源端口、目的端口、协议)
读取三层和四层的流量,三层(网络层)主要读取源ip和目的IP,四层(传输层)主要读取源端口,目的端口
1.2 工作原理
路由器处理数据流量走向问题(确定路由器的入口或出口)
建议是将标准ACL一般配置在靠近源IP的位置,即入口,减少路由器路由的工作量
1.3 工作过程
数据包到达路由器后,查看访问控制列表,匹配规则,有没有源ip是xxx去往xx,如果有匹配,看是允许还是拒绝,如果没有匹配默认拒绝。有一条默认的ACL deny any any
1.4 访问控制列表分类(思科设备)
标准:基于源ip地址进行控制,表号1~99
扩展:基于源ip、目的ip、指定协议、端口号、标志位进行过滤。表号:100~199
命名:没有表号,使用名字作为表号,直接使用standard标识标准ACL、和extended标识扩展ACL
1.5 配置标准访问控制列表
搭建如下拓扑,完成ip地址的分配和设置,配置前确保所有主机能够互通
思路:在路由器上配置:拒绝PC2允许PC1,然后应用到接口,配置要注意先拒绝再配置允许的主机,因为ACL是从上往下匹配的。
1.5.1配置方法一
最常用的方式是写host
Router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
Router(config)#access-list 11 deny ? //此处11是ACL的表号
A.B.C.D Address to match
any Any source host
host A single host address
Router(config)#access-list 11 deny host 192.168.10.10
Router(config)#access-list 11 permit host 192.168.10.20
Router(config)#access-list 11 permit any //允许所有其他主机网段 标识主机要用32位子网
192.168.10.0 192.168.10.10
255.255.255.0 255.255.255.255
1.5.2 配置方式二
ACL配置采用反码
Router(config)#access-list 11 deny 192.168.10.10 0.0.0.0
Router(config)#access-list 11 permit 192.168.10.20 0.0.0.01.5.3 应用到接口
Router(config)#int g0/0
Router(config-if)#ip access-group ?
<1-199> IP access list (standard or extended)
WORD Access-list name
Router(config-if)#ip access-group 11 in
In 表示入口,g0/0对于PC2和PC1来讲是入口方向
总结:
access-list 表号 deny/permit host ip
access-list 表号 deny/permit ip 反掩码
int 接口
ip access-group 表号 in/out
in表示此接口为入口,一般配置在in
1.5.4 查看效果
3391
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
