網(wǎng)絡(luò)工程師:詳解cisco訪問控制列表ACL

字號:

一:訪問控制列表概述
    ·訪問控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以通過,哪些數(shù)據(jù)包需要拒絕。
    ·工作原理:它讀取第三及第四層包頭中的信息,如源地址、目的地址、源端口、目的端口等。根據(jù)預(yù)先設(shè)定好的規(guī)則對包進行過濾,從而達到訪問控制的目的。
    ·實際應(yīng)用:      阻止某個網(wǎng)段訪問服務(wù)器。
    阻止A網(wǎng)段訪問B網(wǎng)段,但B網(wǎng)段可以訪問A網(wǎng)段。
    禁止某些端口進入網(wǎng)絡(luò),可達到安全性。
    二:標準ACL
    · 標準訪問控制列表只檢查被路由器路由的數(shù)據(jù)包的源地址。若使用標準訪問控制列表禁用某網(wǎng)段,則該網(wǎng)段下所有主機以及所有協(xié)議都被禁止。如禁止了A網(wǎng)段,則A網(wǎng)段下所有的主機都不能訪問服務(wù)器,而B網(wǎng)段下的主機卻可以。
    用1----99之間數(shù)字作為表號
    一般用于局域網(wǎng),所以把標準ACL應(yīng)用在離目的地址最近的地方。
    ·標準ACL的配置:
    router(config)#access-list  表號  deny(禁止)  網(wǎng)段/IP地址  反掩碼
    ********禁止某各網(wǎng)段或某個IP
    router(config)#access-list  表號  permit(允許)  any
    注:默認情況下所有的網(wǎng)絡(luò)被設(shè)置為禁止,所以應(yīng)該放行其他的網(wǎng)段。
    router(config)#interface 接口    ******進入想要應(yīng)用此ACL的接口(因為訪問控制列表只能應(yīng)用在接口模式下)
    router(config-if)#ip access-group  表號   out/in    ***** 設(shè)置在此接口下為OUT或為IN
    其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0
    router(config)#access-list 10 deny  host 192.168.0.1
    router(config)#access-list 10 deny 0.0.0.0 255.255.255.255
    router(config)#access-list 10 deny  any
    router#show access-lists         ******查看訪問控制列表。
    ·標準訪問控制列表的工作原理。
    (每當數(shù)據(jù)進入路由器的每口接口下,都會進行以下進程。)
    
    注:當配置訪問控制列表時,順序很重要。要確保按照從具體到普遍的次序來排列條目。
    如:想要拒絕一個具體的主機地址并且允許其他主機,那么要確保有關(guān)這個具體主機的條目最新出現(xiàn)。
    三:擴展ACL
    ·擴展訪問控制列表對數(shù)據(jù)包源地址、目的地址、源端口、目的端口都進行檢查。若使用擴展訪問控制列表禁止某網(wǎng)段訪問別的網(wǎng)段,則A網(wǎng)段下所有主機不能訪問B網(wǎng)段,而B網(wǎng)段下的主機可以訪問A網(wǎng)段。
    用100----199之間數(shù)字作為表號
    一般用于外網(wǎng),所以把擴展ACL應(yīng)用在離源地址最近的地方。
    ·配置擴展訪問控制列表。
    router(config)#access-list  表號   deny(禁止)  協(xié)議  源IP地址/網(wǎng)段  反掩碼  目的IP地址/網(wǎng)段   反掩碼  eq 端口
    ******禁止A網(wǎng)段(源網(wǎng)段)下的某協(xié)議(或某端口)訪問B網(wǎng)段(目的網(wǎng)段)
    router(config)#access-list 表號   permit  ip any any
    注:擴展ACL默認情況下所有的網(wǎng)絡(luò)也被設(shè)置為禁止,所以應(yīng)該放行其他的網(wǎng)段。
    router(config)#interface 接口     **********進入想要應(yīng)用此ACL的接口
    router(config-if)#ip access-group 表號 out/in     ******激活該接口下咋訪問控制列表,并根據(jù)實際情況設(shè)置此接口為OUT/in。
    ·常用端口及所屬協(xié)議。
    
    ·擴展訪問控制列表的工作原理:
    (每當數(shù)據(jù)進入路由器的每口接口下,都會進行以下進程。