CCNA 之 十 ACL 访问控制列表
ACL 访问控制列表
ACL(Access Control List) 接入控制列表
ACL 的量大主要功能:
- 流量控制
- 匹配感兴趣流量

标准访问控制列表
- 只能根据源地址做过滤
- 针对曾哥协议采取相关动作(允许或禁止)

扩展访问控制列表
- 能根据源、目的地址、端口号等等进行过滤
- 能允许或拒绝特定的协议

ACL的类型:
- Standard ACL
- ExtendedACL
- Two methods used to identify standard and extended ACLs
ACL入方向的操作
示意图:

ACL出站方向的操作
示意图:

ACL的标识
ACL的标识可以是两种,可以是十进制数或者是个字符串
这里是有区分的
1、标准的访问列表:1-99,1300-1999 区间的,路由器会默认理解为你在定义一个标准的访问ACL,也就是说只能限制源地址
2、扩展的访问列表:100-199, 2000-2699 区间的,路由器会默认理解为你在定义一个扩展的ACL,也就是说可以限制端口、协议、源地址、目标地址等
3、字符串的命名访问列表:路由器会默认理解为你在定义第三种的ACl,包含了标准和扩展访问列表的特性;
标准访问控制列表的配置
Router(config)#
access-list access-list-number {permit|deny} source [wildcard mask]
- 编号
access-list-number选择1-99 - 通配符若无,默认0.0.0.0
- “弄access-list access-list-number” 将会删除整个ACL列表
应用到接口上:
Router(config-if)#
ip access-group access-list-number { in | out }
- 在接口中应用
- 应用时关联入口或出口方向
- 默认出站
- "no ip access-group access-list-number"可以出接口上应用的访问列表
- ACL的生效在路由上,那么不能对本地始发的流量做过滤,只能对穿越本地路由器的流量做过滤;
- 只能在某个接口的某个特定的方向( in | out ),只能应用一个ACL
扩展访问控制列表的配置:
Router(config)#
access-list access-list-number {permit | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]
应用于接口
ip access-group access-list-number { in | out }
- 在接口中应用
- 应用时关联入或者出方向
示例 3:

router(config)# access-list 100 deny ip 192.168.1.0 0.0.0.31 host 192.168.2.200
router(config)# access-list permit any
router(config)# interface e0
router(config-if)# ip access-group 100 in
示例 4:

router(config)# access-list 100 deny tcp any host 192.168.2.200 eq 23
router(config)# access-list permit any
router(config)# interface e1
router(config-if)# ip access-group 100 out
标准和扩展访问列表的缺点:
- 定义后,无法去编辑、删除、修改和添加条目
- 如果是删除的话,则是删除整个列表
- 使用数字编号,不直观、明显
而命名访问控制列表则可以解决上列所有问题。
命名访问控制列表的配置:
Router(config)#
ip access-list { standard | extended } name
Router(config {std- | ext-}nacl)#
[sequence-unmber] {permit|deny} {ip access list test conditions} {permit | deny} {ip access list test conditions}
- if not configured, sequence unmbers are generated automatically starting at 10 and incrementing by 10
- no sequence unmber removes the specific test from the named ACL
Router(config-if)#
ip access-group access-list-number { in | out }
总结:
- 1、每个接口,每个方向,每种协议,你只能设置1个ACL
- 2、组织好你的ACL的顺序,比如测试性的最好放在ACl的最顶部
- 3、标准和扩展的控制列表,你不可能从ACL中除去1行,除去1行意味你讲除去整个ACL,命名访问列表(named access list)例外
- 4、默认ACl结尾语句都是deny any,所以你要记住的是在ACL里至少要有1条permit语句
- 5、记得创建了ACL后要把它应用在需要过滤的接口上;
- 6、ACL是用于过滤经过router的数据包,它并不会过滤router本身产生的数据包
- 7、尽可能的吧IP标准ACL防止在离目标地址近的地方;尽可能的吧IP扩展ACL放置在离源地址近的地方;
CCNA 之 十 ACL 访问控制列表的更多相关文章
- 普通ACL访问控制列表
配置OSPF R1: R2: R3: R4: 在R1上查看OSPF的学习 测试R1与R4环回接口连通性 配置普通ACL访问控制列表: 先在R4配置密码用R1与R4建立telnet建立 密码huawei ...
- 高级ACL访问控制列表
实验拓扑: 配置: 基本配置做完之后搭建OSPF网络 R1: ospf 1 area 0 network 10.0.13.0 0.0.0.255 network 1.1.1.1 0.0.0.0 R2: ...
- Kong Gateway - 11 基于网关服务的ACL访问控制列表 黑名单
Kong Gateway - 11 基于网关服务的ACL访问控制列表 黑名单 同一服务名称 book 不允许即创建白名单访问控制列表又创建黑名单访问控制列表 启用服务的白名单&黑名单配置文件时 ...
- [转载]ACM(访问控制模型),Security Identifiers(SID),Security Descriptors(安全描述符),ACL(访问控制列表),Access Tokens(访问令牌)
对于<windows核心编程>中的只言片语无法驱散心中的疑惑.就让MSDN中的解释给我们一盏明灯吧.如果要很详细的介绍,还是到MSDN仔细的看吧,我只是大体用容易理解的语言描述一下. wi ...
- 交换路由中期测验20181226(动态路由配置与重分发、NAT转换、ACL访问控制列表)
测试拓扑: 接口配置信息 HostName 接口 IP地址 网关 Server 0 Fa0 172.16.15.1/24 172.16.15.254 Server 1 Fa0 100.2.15.200 ...
- ACL访问控制列表
acl是基于文件系统的,所以支不支持acl在于使用什么文件系统. FAT32文件系统不支持权限,也不区分大小写 如果一个分区不是安装系统时分的分区,是一个新的分区的话,默认是不支持acl CentOS ...
- ensp,acl访问控制列表
ACL分类: 基本ACL 编号范围: 2000-2999 参数:源ip地址 高级ACL 编号范围: 3000-3999 参数:源ip地址,目的ip地址,源端口,目的端口等 二层ACL ...
- CentOS 7 文件权限之访问控制列表(ACL)
Linux的ACL是文件权限访问的一种手段.当拥有者所属组其他人(own,group,other)不能满足给一个单独的用户设置单独的权限时,ACL的出现就很好的解决了该问题. 比如其他用户own,不属 ...
- 访问控制列表与SSH结合使用,为网络设备保驾护航,提高安全性
通过之前的文章简单介绍了华为交换机如何配置SSH远程登录,在一些工作场景,需要特定的IP地址段能够SSH远程访问和管理网络设备,这样又需要怎么配置呢?下面通过一个简单的案例带着大家去了解一下. 要实现 ...
随机推荐
- Nexus 离线更新中央仓库索引
nexus可以在线更新中央仓库索引,但是更新速度慢,而且很有可能下载的索引不全.下面介绍一种离线更新中央仓库索引的方式,速度快并且可靠. 1.访问http://repo.maven.apache.or ...
- Android自定义控件:图形报表的实现(折线图、曲线图、动态曲线图)(View与SurfaceView分别实现图表控件)
图形报表很常用,因为展示数据比较直观,常见的形式有很多,如:折线图.柱形图.饼图.雷达图.股票图.还有一些3D效果的图表等. Android中也有不少第三方图表库,但是很难兼容各种各样的需求. 如果第 ...
- .NET项目中实现多工程文件共用的方法
一处开发,多处同步编辑使用,并且发布时各个项目均可独立 一.直接编辑项目工程文件 .csproj 具体实现为:编辑 .csproj 文件,在<ItemGroup>中添加新的 <Con ...
- Azure上MySQL的离线备份:将备份拷贝到Azure Blob上
公司在Azure的Iaas虚拟机上部署有好几台MySQL数据库,至于没有选择Azure Database for MySQL,是因为预算有限(钱不够啊!说多了也是泪,坑的还是DBA自己).选择了Iaa ...
- ApplicationContext refresh 过程及一些重要的 processor 解析
回顾 上文 其实我们已经实现了一个简单的 BeanFactory 它具的功能有 注册 Bean 到容器,通过限定名获取 Bean 可以拦截 Bean 初始化前后的处理 可以在 Bean 属性注入后和即 ...
- 关于GC(上):Apache的POI组件导致线上频繁FullGC问题排查及处理全过程
某线上应用在进行查询结果导出Excel时,大概率出现持续的FullGC.解决这个问题时,记录了一下整个的流程,也可以作为一般性的FullGC问题排查指导. 1. 生成dump文件 为了定位FullGC ...
- 02-MyBatis执行Sql的流程分析
目录 获取Mapper 简单总结 重要类 参考 本博客着重介绍MyBatis执行Sql的流程,关于在执行过程中缓存.动态SQl生成等细节不在本博客中体现,相应内容后面再单独写博客分析吧. 还是以之前的 ...
- js调用浏览器“打印”与“打印预览”
用到html <object>标签,具体做法如下: 1.在html文档任意位置添加<object>标签: <div style="border: 1px sol ...
- 初识JSP:JSP的注释、脚本、声明、表达式
1.JSP的注释 在HTML当中,如果使用传统的注释我们可以在客户端,也就是网页上右键查看源代码里面看得到该注释,但是JSP注释无法在客户端里看到.源码里面会只会看到JSP注释的地方空出来. 使用方法 ...
- Live CD
Live CD,又译为自生系统,是事先存储于某种可移动存储设备上,可不特定于计算机硬件(non-hardware-specific)而启动的操作系统(通常亦包括一些其他软件),不需安装至计算机的本地外 ...