文档章节

CISCO ACL配置(目前)

o
 osc_a22drz29
发布于 2019/03/21 20:16
字数 1511
阅读 69
收藏 0

精选30+云产品,助力企业轻松上云!>>>

什么是ACL?

访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

 

ACL的原理

对路由器来说有两个方向

出:已经经路由器的处理,正离开路由器接口的数据包

入:已经到达路由器接口的数据包,将被路由器处理

顺序为:自下而上,依次匹配。 默认为拒绝

 

ACL的使用原则

 

1、最小特权原则
只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则
所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则
在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。

一、标准访问列表
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL。

它的具体格式:
access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]
access-list-number 为1-99 或者 1300-1999之间的数字,这个是访问列表号。

拿下面这个例子来具体说说

一台路由器,一台PC和一台服务器。分别给PC和服务器配置好IP地址和默认网关。他们分别在不同的网段,配置好服务器是PC和服务器ping通。目的是拒绝192.168.1.0网段的主机从f0/0出去。

配置步骤:

access-list 10 deny 192.168.1.0   0.0.0.255          //丢弃所有来自源地址192.168.1.0的数据包

access-list 10 permit  any           //使除了1.0网段之外的其他网段可通  (这一步非常重要)

int f0/0                      //进入相应端口

ip access-list 10 out        //将ACL应用至端口,如无此步骤,那么一切都没用

可见路由器将来自192.168.1.0 的数据拒绝访问了。

 有值得注意的地方:

1.标准ACL应配置尽量靠近目的端

2.一定要加permit any使其他网络可通

3.访问列表使从上到下逐条进行匹配的,所以在设置访问列表的时候要注意顺序。如果从第一条匹配到最后一条还是不知道怎么做,路由器就会丢弃这个数据包(默认),也就是为什么要加permit  any。

 

删除已建立的标准ACL

no access-list + [access-list number]

对于标准的ACL 来说,不能删除单个ACL语句,只能删除整个ACL。

 

二、扩展访问控制列表
上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号为100到199。

扩展访问控制列表的格式:
access-list access-list number {permit/deny} protocol +源地址+反码 +目标地址+反码+operator operan(It小于,gt大于,eq等于,neq不等于.具体可?)+端口号

注意事项:

1.扩展ACL的列表号范围使100-199或2000-2699

2.因为默认情况下,每个访问控制列表的末尾隐含deny all,所以在每个扩展访问控制列表里面必须有:access-list number permit ip any any

3.不同的服务要使用不同的协议,比如TFTP使用的是UDP协议

 

例如路由器连接了两个网段(可参照上面的拓扑),禁止192.168.1.0的PC访问192.168.2.0的PC包括服务器,不过唯独可以访问192.168.2.10的www服务(端口号为80),而其它服务不能访问。

配置如下:

access-list 101 permit tcp any 192.168.2.10  0.0.0.255 eq 80       //设置ACL101,允许源地址为任意ip,目的地址为192.168.2.10主机的80端口。思科默认deny 阿拉蕾,此处只写这句就够了。

int f0/0             //进入端口

ip access-group 101 out         //将ACL101应用到端口

 

删除和标准ACL一样,不能单条删除,只能删除整个ACL

 

三、命名访问控制列表
不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。这一个缺点影响了我们的工作,为我们带来了繁重的负担。不过我们可以用基于名称的访问控制列表来解决这个问题。

例如:

ip access-list [standard/extened] access-list-name

ip access-list standard killer         //建立一个名为killer的标准访问控制列表

使用方法:

ip access-list standard + name

11 permit host + ip            //默认第一条是10 ,第二条20

deny any

删除命名ACL,可以向之前的ACL插入ACL,也可以删除单条ACL

ip access-list standard benet

no 11

使用show access-list 可查看配置的ACL信息

o
粉丝 0
博文 500
码字总数 0
作品 0
私信 提问
加载中
请先登录后再评论。
Cisco Template Manager 0.3.2 发布

Cisco Template Manager (CTM) 是一组用来管理 Cisco 配置模板的工具集合。使用 CTM 你可以定义一个统一的网络配置,用来构建稳定和安全的业务。预定义的模板支持正则表达式。目前支持的 Ci...

红薯
2012/01/10
570
0
各种设备上snmp的配置

最近学习Solarwinds,大家有空多交流哈。 cisco上snmp的配置 CISCO#conf t CISCO(config)#snmp-server community ybud ro 配置只读通信字符串 CISCO(config)#snmp-server community ybux rw ......

wbf961127
2017/11/12
0
0
利用NBAR限制P2P等业务

用户疯狂bt(p2p软件)对网络的使用造成了极大危害,目前常用的办法是: 方法1、采用 Cisco公司的nbar来限制; 配置步骤如下: ------------定义Class-map-------------; ! class-map match-...

lcw410
2008/11/27
0
0
二层交换机MAC地址过滤

一、IOS版本的Cisco交换机(二层): 1、Config模式下,配置Mac Access-list Switch#conf t Switch(config)#mac access-list extended XXXX Switch(config-ext-macl)#deny any host MAC-Add ......

siutung
2015/05/21
1
0
CBAC

一、Cisco IOS安全技术 Cisco IOS防火墙特性集作为Cisco IOS软件的一个选项,提供了一个先进的安 全解决方案,这种集成化路由器安全解决方案是Cisco Systems安全解决方案系 统中的一个部件。...

tang210
2008/12/26
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Hacker News 简讯 2020-07-10

更新时间: 2020-07-10 01:15 US Supreme Court deems half of Oklahoma a Native American Reservation - (reuters.com) 美国最高法院认为俄克拉荷马州的一半是印第安人保留地 得分:131 | 评...

FalconChen
55分钟前
16
0
OSChina 周五乱弹 —— 求求你吃了我吧,不要再玩弄食物的感情了

Osc乱弹歌单(2020)请戳(这里) 【今日歌曲】 @巴拉迪维 :张喆的单曲《陷阱 》 这首歌已经在网易找不到原唱了,不知道被哪家买了版权。#今日歌曲推荐# 《陷阱 》- 张喆 手机党少年们想听歌...

小小编辑
今天
26
1
清华陈文光教授:AI 超算基准测试的最新探索和实践。

道翰天琼认知智能平台为您揭秘新一代人工智能。 无规矩不成方圆。放在超级计算机的研发领域,没有一个大家普遍接受的算力评测指标,便难以推动超算迅猛发展。 而现在伴随着人工智能的发展,大...

jackli2020
今天
7
0
@RequestMapping, consumes 提交简单有意思的测试

getParm @GetMapping("getParm")public Result getParm(String id){ System.out.println(); return ResultFactory.success(id);} 等同于 == bodyParm @PostMapping("bodyParm......

莫库什勒
今天
25
0
63. Unique Paths II

题目: 63. Unique Paths II A robot is located at the top-left corner of a m x n grid (marked 'Start' in the diagram below). The robot can only move either down or right at any p......

JiaMing
今天
55
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部