資源描述:
《詳解cisco訪問控制列表acl》由會(huì)員上傳分享�����,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�����。
1��、詳解cisco訪問控制列表ACL發(fā)布時(shí)間:2009-7-16????閱讀:376詳解cisco訪問控制列表ACL作者: 發(fā)布時(shí)間:2008-12-0314:23:45 來源:一:訪問控制列表概述 ·訪問控制列表(ACL)是應(yīng)用在路由器接口的指令列表�����。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以通過���,哪些數(shù)據(jù)包需要拒絕�?! すぷ髟恚核x取第三及第四層包頭中的信息,如源地址����、目的地址、源端口�����、目的端口等�����。根據(jù)預(yù)先設(shè)定好的規(guī)則對(duì)包進(jìn)行過濾�,從而達(dá)到訪問控制的目的?�! ?shí)際應(yīng)用: 阻止某個(gè)網(wǎng)段訪問服務(wù)器?�! ∽柚笰網(wǎng)段訪問B網(wǎng)段���,但B網(wǎng)段可以訪問A網(wǎng)段��?����! 〗鼓承┒?/p>
2���、口進(jìn)入網(wǎng)絡(luò),可達(dá)到安全性�。 二:標(biāo)準(zhǔn)ACL · 標(biāo)準(zhǔn)訪問控制列表只檢查被路由器路由的數(shù)據(jù)包的源地址����。若使用標(biāo)準(zhǔn)訪問控制列表禁用某網(wǎng)段,則該網(wǎng)段下所有主機(jī)以及所有協(xié)議都被禁止�。如禁止了A網(wǎng)段,則A網(wǎng)段下所有的主機(jī)都不能訪問服務(wù)器�,而B網(wǎng)段下的主機(jī)卻可以�����。 用1----99之間數(shù)字作為表號(hào) 一般用于局域網(wǎng)�,所以最好把標(biāo)準(zhǔn)ACL應(yīng)用在離目的地址最近的地方?��! ?biāo)準(zhǔn)ACL的配置: router(config)#access-list 表號(hào) deny(禁止) 網(wǎng)段/IP地址 反掩碼 ********禁止某各網(wǎng)段或某個(gè)IP router(config)#acces
3�����、s-list 表號(hào) permit(允許) any 注:默認(rèn)情況下所有的網(wǎng)絡(luò)被設(shè)置為禁止��,所以應(yīng)該放行其他的網(wǎng)段��?����! outer(config)#interface接口 ******進(jìn)入想要應(yīng)用此ACL的接口(因?yàn)樵L問控制列表只能應(yīng)用在接口模式下) router(config-if)#ip access-group 表號(hào) out/in *****設(shè)置在此接口下為OUT或?yàn)镮N 其中router(config)#access-list10deny192.168.0.10.0.0.0 router(config)#access-list10deny hos
4����、t192.168.0.1 router(config)#access-list 10deny 0.0.0.0255.255.255.255 router(config)#access-list 10 deny any router#showaccess-lists ******查看訪問控制列表��?! ?biāo)準(zhǔn)訪問控制列表的工作原理�?! 。慨?dāng)數(shù)據(jù)進(jìn)入路由器的每口接口下����,都會(huì)進(jìn)行以下進(jìn)程。) 注:當(dāng)配置訪問控制列表時(shí)�����,順序很重要���。要確保按照從具體到普遍的次序來排列條目����?����! ∪纾合胍芙^一個(gè)具體的主機(jī)地址并且允許其他主機(jī)�,那么要確保有關(guān)這個(gè)具體主機(jī)的條目最新
5、出現(xiàn)�����?��!∪簲U(kuò)展ACL ·擴(kuò)展訪問控制列表對(duì)數(shù)據(jù)包源地址�、目的地址�、源端口、目的端口都進(jìn)行檢查�。若使用擴(kuò)展訪問控制列表禁止某網(wǎng)段訪問別的網(wǎng)段,則A網(wǎng)段下所有主機(jī)不能訪問B網(wǎng)段���,而B網(wǎng)段下的主機(jī)可以訪問A網(wǎng)段�?�! ∮?00----199之間數(shù)字作為表號(hào) 一般用于外網(wǎng)�,所以最好把擴(kuò)展ACL應(yīng)用在離源地址最近的地方?��! づ渲脭U(kuò)展訪問控制列表��?! outer(config)#access-list 表號(hào) deny(禁止) 協(xié)議 源IP地址/網(wǎng)段 反掩碼 目的IP地址/網(wǎng)段 反掩碼 eq 端口 ******禁止A網(wǎng)段(源網(wǎng)段)下的某協(xié)議(或某端口)訪問B網(wǎng)段(目
6��、的網(wǎng)段) router(config)#access-list 表號(hào) permit ip any any 注:擴(kuò)展ACL默認(rèn)情況下所有的網(wǎng)絡(luò)也被設(shè)置為禁止,所以應(yīng)該放行其他的網(wǎng)段����。 router(config)#interface接口 **********進(jìn)入想要應(yīng)用此ACL的接口 router(config-if)#ipaccess-group 表號(hào) out/in ******激活該接口下咋訪問控制列表����,并根據(jù)實(shí)際情況設(shè)置此接口為OUT/in?����! こS枚丝诩八鶎賲f(xié)議����。 ·擴(kuò)展訪問控制列表的工作原理: ?���。慨?dāng)數(shù)據(jù)進(jìn)入路由器的每口接口下,都
7�����、會(huì)進(jìn)行以下進(jìn)程����。????育路網(wǎng)
