資源描述:
《詳解cisco訪問控制列表acl》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1���、詳解cisco訪問控制列表ACL一:訪問控制列表概述?·訪問控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以通過��,哪些數(shù)據(jù)包需要拒絕��。?·工作原理:它讀取第三及第四層包頭中的信息�����,如源地址��、目的地址�����、源端口�、目的端口等。根據(jù)預(yù)先設(shè)定好的規(guī)則對包進行過濾�����,從而達到訪問控制的目的。?·實際應(yīng)用:??????????阻止某個網(wǎng)段訪問服務(wù)器�。???????????????????????????????????阻止A網(wǎng)段訪問B網(wǎng)段,但B網(wǎng)段可以訪問A網(wǎng)段�����。?????
2�����、???????????????????????????????禁止某些端口進入網(wǎng)絡(luò)�,可達到安全性����。?二:標準ACL?·?標準訪問控制列表只檢查被路由器路由的數(shù)據(jù)包的源地址。若使用標準訪問控制列表禁用某網(wǎng)段�����,則該網(wǎng)段下所有主機以及所有協(xié)議都被禁止���。?如禁止了A網(wǎng)段����,則?A網(wǎng)段下所有的主機都不能訪問服務(wù)器��,而B網(wǎng)段下的主機卻可以。??????用1----99之間數(shù)字作為表號????一般用于局域網(wǎng)���,所以最好把標準ACL應(yīng)用在離目的地址最近的地方����。??·標準ACL的配置:router(config)#ac
3���、cess-list??表號??deny(禁止)???網(wǎng)段/IP地址???反掩碼????????????????????????????????********禁止某各網(wǎng)段或某個IP?router(config)#access-list??表號??permit(允許)??any注:默認情況下所有的網(wǎng)絡(luò)被設(shè)置為禁止��,所以應(yīng)該放行其他的網(wǎng)段����。?router(config)#interface接口??????******進入想要應(yīng)用此ACL的接口(因為訪問控制列表只能應(yīng)用在接口模式下)?router(co
4����、nfig-if)#ip?access-group??表號????out/in??????*****設(shè)置在此接口下為OUT或為IN??其中router(config)#access-list10deny192.168.0.10.0.0.0???????????????????????????????????=????????router(config)#access-list10deny???host192.168.0.1???????????router(config)#access-list?1
5、0deny?0.0.0.0255.255.255.255?????????????????????????=??????????router(config)#access-list?10?deny??any?router#showaccess-lists????????????????******查看訪問控制列表����。???·標準訪問控制列表的工作原理。(每當數(shù)據(jù)進入路由器的每口接口下����,都會進行以下進程�����。)注:當配置訪問控制列表時���,順序很重要。要確保按照從具體到普遍的次序來排列條目�����。如:想要拒絕一個具
6����、體的主機地址并且允許其他主機��,那么要確保有關(guān)這個具體主機的條目最新出現(xiàn)����。?三:擴展ACL??·擴展訪問控制列表對數(shù)據(jù)包源地址、目的地址����、源端口、目的端口都進行檢查。若使用擴展訪問控制列表禁止某網(wǎng)段訪問別的網(wǎng)段���,則A網(wǎng)段下所有主機不能訪問B網(wǎng)段�����,而B網(wǎng)段下的主機可以訪問A網(wǎng)段�。????用100----199之間數(shù)字作為表號????一般用于外網(wǎng)��,所以最好把擴展ACL應(yīng)用在離源地址最近的地方����。?·配置擴展訪問控制列表。router(config)#access-list??表號????deny(禁止)?
7���、?協(xié)議??源IP地址/網(wǎng)段???反掩碼???目的IP地址/網(wǎng)段????反掩碼???eq?端口??????????????????????????????????????????????????????******禁止A網(wǎng)段(源網(wǎng)段)下的某協(xié)議(或某端口)訪問B網(wǎng)段(目的網(wǎng)段)?router(config)#access-list?表號????permit???ip?any?any注:擴展ACL默認情況下所有的網(wǎng)絡(luò)也被設(shè)置為禁止��,所以應(yīng)該放行其他的網(wǎng)段�����。?router(config)#interfa
8���、ce接口?????????**********進入想要應(yīng)用此ACL的接口?router(config-if)#ipaccess-group?表號?out/in?????????******激活該接口下咋訪問控制列表�,并根據(jù)實際情況設(shè)置此接口為OUT/in��。???·常用端口及所屬協(xié)議����。??·擴展訪問控制列表的工作原理:(每當數(shù)據(jù)進入路由器的每口接口下,都會進行以下進程���。)
