資源描述:
《cisco路由器配置acl詳解》由會(huì)員上傳分享��,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)���。
1�、.cisco路由器配置ACL詳解??什么是ACL�???訪問控制列表簡(jiǎn)稱為ACL,訪問控制列表使用包過濾技術(shù)�����,在路由器上讀取第三層及第四層包頭中的信息如源地址���,目的地址����,源端口,目的端口等�����,根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾����,從而達(dá)到訪問控制的目的。該技術(shù)初期僅在路由器上支持���,近些年來已經(jīng)擴(kuò)展到三層交換機(jī)��,部分最新的二層交換機(jī)也開始提供ACL的支持了�。??訪問控制列表使用原則??由于ACL涉及的配置命令很靈活���,功能也很強(qiáng)大��,所以我們不能只通過一個(gè)小小的例子就完全掌握全部ACL的配置���。在介紹例子前為大家將ACL設(shè)置原則羅列出來,方便各位讀者更好的消化ACL知識(shí)����。??1�����、
2、最小特權(quán)原則只給受控對(duì)象完成任務(wù)所必須的最小的權(quán)限�����。也就是說被控制的總規(guī)則是各個(gè)規(guī)則的交集�,只滿足部分條件的是不容許通過規(guī)則的。??2�����、最靠近受控對(duì)象原則??所有的網(wǎng)絡(luò)層訪問權(quán)限控制��。也就是說在檢查規(guī)則時(shí)是采用自上而下在ACL中一條條檢測(cè)的�,只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā),而不繼續(xù)檢測(cè)下面的ACL語(yǔ)句���。??3����、默認(rèn)丟棄原則??在CISCO路由交換設(shè)備中默認(rèn)最后一句為ACL中加入了DENYANYANY,也就是丟棄所有不符合條件的數(shù)據(jù)包�����。這一點(diǎn)要特別注意�����,雖然我們可以修改這個(gè)默認(rèn)�����,但未改前一定要引起重視��。??由于ACL是使用包過濾技術(shù)來實(shí)現(xiàn)的�����,過濾的依據(jù)又僅僅只是第三層
3�、和第四層包頭中的部分信息,這種技術(shù)具有一些固有的局限性�,如無法識(shí)別到具體的人,無法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等����。因此�����,要達(dá)到端到端的權(quán)限控制目的��,需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問權(quán)限控制結(jié)合使用���。??標(biāo)準(zhǔn)訪問列表:??訪問控制列表ACL分很多種����,不同場(chǎng)合應(yīng)用不同種類的ACL。其中最簡(jiǎn)單的就是標(biāo)準(zhǔn)訪問控制列表��,標(biāo)準(zhǔn)訪問控制列表是通過使用IP包中的源IP地址進(jìn)行過濾����,使用的訪問控制列表號(hào)1到99來創(chuàng)建相應(yīng)的ACL??標(biāo)準(zhǔn)訪問控制列表的格式??標(biāo)準(zhǔn)訪問控制列表是最簡(jiǎn)單的ACL。??它的具體格式如下:access-listACL號(hào)permit
4��、denyhost...ip地址??例
5���、如:access-list10denyhost192.168.1.1這句命令是將所有來自192.168.1.1地址的數(shù)據(jù)包丟棄�。??當(dāng)然我們也可以用網(wǎng)段來表示��,對(duì)某個(gè)網(wǎng)段進(jìn)行過濾。命令如下:access-list10deny192.168.1.00.0.0.255??通過上面的配置將來自192.168.1.0/24的所有計(jì)算機(jī)數(shù)據(jù)包進(jìn)行過濾丟棄�����。為什么后頭的子網(wǎng)掩碼表示的是0.0.0.255呢����?這是因?yàn)镃ISCO規(guī)定在ACL中用反向掩瑪表示子網(wǎng)掩碼,反向掩碼為0.0.0.255的代表他的子網(wǎng)掩碼為255.255.255.0�����。??小提示:對(duì)于標(biāo)準(zhǔn)訪問控制列表來說��,默
6����、認(rèn)的命令是HOST,也就是說access-list10deny192.168.1.1表示的是拒絕192.168.1.1這臺(tái)主機(jī)數(shù)據(jù)包通訊���,可以省去我們輸入host命令��。??標(biāo)準(zhǔn)訪問控制列表實(shí)例一??我們采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)�����。路由器連接了二個(gè)網(wǎng)段�����,分別為172.16.4.0/24�����,172.16.3.0/24����。在172.16.4.0/24網(wǎng)段中有一臺(tái)服務(wù)器提供WWW服務(wù)��,IP地址為172.16.4.13���。??實(shí)例1:禁止172.16.4.0/24網(wǎng)段中除172.16.4.13這臺(tái)計(jì)算機(jī)訪問172.16.3.0/24的計(jì)算機(jī)���。172.16.4.13可以正常訪問172.
7、16.3.0/24���。??路由器配置命令??access-list1permithost172.16.4.13??設(shè)置ACL����,容許172.16.4.13的數(shù)據(jù)包通過。??access-list1denyany??設(shè)置ACL����,阻止其他一切IP地址進(jìn)行通訊傳輸。??inte1??進(jìn)入E1端口����。??ipaccess-group1in??將ACL1宣告。??經(jīng)過設(shè)置后E1端口就只容許來自172.16.4.13這個(gè)IP地址的數(shù)據(jù)包傳輸出去了��。來自其他IP地址的數(shù)據(jù)包都無法通過E1傳輸���。??小提示:由于CISCO默認(rèn)添加了DENYANY的語(yǔ)句在每個(gè)ACL中�����,所以上面的acces
8����、s-list1denyany這句命令可以省略�。另外在路由器連接網(wǎng)絡(luò)不多的情況下也可以在E0端口使用ipaccess-group1out命令來宣告,宣告結(jié)果和上面最后兩句命令效果一樣�。??標(biāo)準(zhǔn)訪問控制列表實(shí)例二??...配置任務(wù):禁止172.16.4.13這個(gè)計(jì)算機(jī)對(duì)172.16.3.0/24網(wǎng)段的訪問,而172.16.4.0/24中的其他計(jì)算機(jī)可以正常訪問。??路由器配置命令:??access-list1denyhost172.16.4.13??設(shè)置ACL�,禁止172.16.4.13的數(shù)據(jù)包通過??access-list1permitany??設(shè)置ACL,容許其他
9����、地址的計(jì)算
