CCNA 之 十 ACL 访问控制列表
ACL 访问控制列表
ACL(Access Control List) 接入控制列表
ACL 的量大主要功能:
- 流量控制
- 匹配感兴趣流量
标准访问控制列表
- 只能根据源地址做过滤
- 针对曾哥协议采取相关动作(允许或禁止)
扩展访问控制列表
- 能根据源、目的地址、端口号等等进行过滤
- 能允许或拒绝特定的协议
ACL的类型:
- Standard ACL
- ExtendedACL
- Two methods used to identify standard and extended ACLs
ACL入方向的操作
示意图:
ACL出站方向的操作
示意图:
ACL的标识
ACL的标识可以是两种,可以是十进制数或者是个字符串
这里是有区分的
1、标准的访问列表:1-99,1300-1999 区间的,路由器会默认理解为你在定义一个标准的访问ACL,也就是说只能限制源地址
2、扩展的访问列表:100-199, 2000-2699 区间的,路由器会默认理解为你在定义一个扩展的ACL,也就是说可以限制端口、协议、源地址、目标地址等
3、字符串的命名访问列表:路由器会默认理解为你在定义第三种的ACl,包含了标准和扩展访问列表的特性;
标准访问控制列表的配置
Router(config)#
access-list access-list-number {permit|deny} source [wildcard mask]
- 编号
access-list-number
选择1-99 - 通配符若无,默认0.0.0.0
- “弄access-list access-list-number” 将会删除整个ACL列表
应用到接口上:
Router(config-if)#
ip access-group access-list-number { in | out }
- 在接口中应用
- 应用时关联入口或出口方向
- 默认出站
- "no ip access-group access-list-number"可以出接口上应用的访问列表
- ACL的生效在路由上,那么不能对本地始发的流量做过滤,只能对穿越本地路由器的流量做过滤;
- 只能在某个接口的某个特定的方向( in | out ),只能应用一个ACL
扩展访问控制列表的配置:
Router(config)#
access-list access-list-number {permit | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]
应用于接口
ip access-group access-list-number { in | out }
- 在接口中应用
- 应用时关联入或者出方向
示例 3:
router(config)# access-list 100 deny ip 192.168.1.0 0.0.0.31 host 192.168.2.200
router(config)# access-list permit any
router(config)# interface e0
router(config-if)# ip access-group 100 in
示例 4:
router(config)# access-list 100 deny tcp any host 192.168.2.200 eq 23
router(config)# access-list permit any
router(config)# interface e1
router(config-if)# ip access-group 100 out
标准和扩展访问列表的缺点:
- 定义后,无法去编辑、删除、修改和添加条目
- 如果是删除的话,则是删除整个列表
- 使用数字编号,不直观、明显
而命名访问控制列表则可以解决上列所有问题。
命名访问控制列表的配置:
Router(config)#
ip access-list { standard | extended } name
Router(config {std- | ext-}nacl)#
[sequence-unmber] {permit|deny} {ip access list test conditions} {permit | deny} {ip access list test conditions}
- if not configured, sequence unmbers are generated automatically starting at 10 and incrementing by 10
- no sequence unmber removes the specific test from the named ACL
Router(config-if)#
ip access-group access-list-number { in | out }
总结:
- 1、每个接口,每个方向,每种协议,你只能设置1个ACL
- 2、组织好你的ACL的顺序,比如测试性的最好放在ACl的最顶部
- 3、标准和扩展的控制列表,你不可能从ACL中除去1行,除去1行意味你讲除去整个ACL,命名访问列表(named access list)例外
- 4、默认ACl结尾语句都是deny any,所以你要记住的是在ACL里至少要有1条permit语句
- 5、记得创建了ACL后要把它应用在需要过滤的接口上;
- 6、ACL是用于过滤经过router的数据包,它并不会过滤router本身产生的数据包
- 7、尽可能的吧IP标准ACL防止在离目标地址近的地方;尽可能的吧IP扩展ACL放置在离源地址近的地方;
CCNA 之 十 ACL 访问控制列表的更多相关文章
- 普通ACL访问控制列表
配置OSPF R1: R2: R3: R4: 在R1上查看OSPF的学习 测试R1与R4环回接口连通性 配置普通ACL访问控制列表: 先在R4配置密码用R1与R4建立telnet建立 密码huawei ...
- 高级ACL访问控制列表
实验拓扑: 配置: 基本配置做完之后搭建OSPF网络 R1: ospf 1 area 0 network 10.0.13.0 0.0.0.255 network 1.1.1.1 0.0.0.0 R2: ...
- Kong Gateway - 11 基于网关服务的ACL访问控制列表 黑名单
Kong Gateway - 11 基于网关服务的ACL访问控制列表 黑名单 同一服务名称 book 不允许即创建白名单访问控制列表又创建黑名单访问控制列表 启用服务的白名单&黑名单配置文件时 ...
- [转载]ACM(访问控制模型),Security Identifiers(SID),Security Descriptors(安全描述符),ACL(访问控制列表),Access Tokens(访问令牌)
对于<windows核心编程>中的只言片语无法驱散心中的疑惑.就让MSDN中的解释给我们一盏明灯吧.如果要很详细的介绍,还是到MSDN仔细的看吧,我只是大体用容易理解的语言描述一下. wi ...
- 交换路由中期测验20181226(动态路由配置与重分发、NAT转换、ACL访问控制列表)
测试拓扑: 接口配置信息 HostName 接口 IP地址 网关 Server 0 Fa0 172.16.15.1/24 172.16.15.254 Server 1 Fa0 100.2.15.200 ...
- ACL访问控制列表
acl是基于文件系统的,所以支不支持acl在于使用什么文件系统. FAT32文件系统不支持权限,也不区分大小写 如果一个分区不是安装系统时分的分区,是一个新的分区的话,默认是不支持acl CentOS ...
- ensp,acl访问控制列表
ACL分类: 基本ACL 编号范围: 2000-2999 参数:源ip地址 高级ACL 编号范围: 3000-3999 参数:源ip地址,目的ip地址,源端口,目的端口等 二层ACL ...
- CentOS 7 文件权限之访问控制列表(ACL)
Linux的ACL是文件权限访问的一种手段.当拥有者所属组其他人(own,group,other)不能满足给一个单独的用户设置单独的权限时,ACL的出现就很好的解决了该问题. 比如其他用户own,不属 ...
- 访问控制列表与SSH结合使用,为网络设备保驾护航,提高安全性
通过之前的文章简单介绍了华为交换机如何配置SSH远程登录,在一些工作场景,需要特定的IP地址段能够SSH远程访问和管理网络设备,这样又需要怎么配置呢?下面通过一个简单的案例带着大家去了解一下. 要实现 ...
随机推荐
- Caused by: org.springframework.context.annotation.ConflictingBeanDefinitionException 异常
Caused by: org.springframework.context.annotation.ConflictingBeanDefinitionException 报此异常是应为有相同的bean ...
- VMware Workstation 12 一些可用的序列号
任选一个即可: VF5XA-FNDDJ-085GZ-4NXZ9-N20E6 UC5MR-8NE16-H81WY-R7QGV-QG2D8 ZG1WH-ATY96-H80QP-X7PEX-Y30V4 AA ...
- 面向云原生的混沌工程工具-ChaosBlade
作者 | 肖长军(穹谷)阿里云智能事业群技术专家 导读:随着云原生系统的演进,如何保障系统的稳定性受到很大的挑战,混沌工程通过反脆弱思想,对系统注入故障,提前发现系统问题,提升系统的容错能力.Ch ...
- Python enumerate() 函数笔记
enumerate函数说明: 函数原型:enumerate(sequence, [start=0]) #第二个参数为指定索引 功能:将可循环序列sequence以start开始分别列出序列数据和数据 ...
- C语言I作业06
问题 答案 这个作业属于那个课程 C语言程序设计II 这个作业要求在哪里 https://edu.cnblogs.com/campus/zswxy/CST2019-4/homework/9888 我在 ...
- 关于 Java 中多线程的面试问题 详解
多线程细节: 1. 面试题: sleep 方法 和 wait 方法异同点是什么? 相同点: 可以让线程 处于 冻结状态. 不同点: 1. sleep 必须指定时间 wait 可以指定时间, 也可以不指 ...
- CSPS模拟 89
- 「CF630C」Lucky Numbers
更好的阅读体验 Portal Portal1: Codeforces Portal2: Luogu Description The numbers of all offices in the new ...
- PWM呼吸灯
1.PWM简介 PWM是 Pulse Width Modulation 的缩写,中文意思就是脉冲宽度调 制,简称脉宽调制.它是利用微处理器的数字输出来对模拟电路进行控 制的一种非常有效的技 ...
- C语言变量名和地址的关系【转载】//基础的东西
原文链接:http://blog.csdn.net/ssff1/archive/2009/12/13/4998787.aspx 变量名不占空间 变量:用来标识(identify)一块内存区域,这块区域 ...