資源描述:
《【轉(zhuǎn)帖】cisco路由器配置acl詳解》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1��、.【轉(zhuǎn)帖】cisco路由器配置ACL詳解如果有人說(shuō)路由交換設(shè)備主要就是路由和交換的功能�,僅僅在路由交換數(shù)據(jù)包時(shí)應(yīng)用的話他一定是個(gè)門(mén)外漢。如果僅僅為了交換數(shù)據(jù)包我們使用普通的HUB就能勝任���,如果只是使用路由功能我們完全可以選擇一臺(tái)WINDOWS服務(wù)器來(lái)做遠(yuǎn)程路由訪問(wèn)配置�����。實(shí)際上路由器和交換機(jī)還有一個(gè)用途��,那就是網(wǎng)絡(luò)管理����,學(xué)會(huì)通過(guò)硬件設(shè)備來(lái)方便有效的管理網(wǎng)絡(luò)是每個(gè)網(wǎng)絡(luò)管理員必須掌握的技能��。今天我們就為大家簡(jiǎn)單介紹訪問(wèn)控制列表在CISCO路由交換設(shè)備上的配置方法與命令����。什么是ACL?訪問(wèn)控制列表簡(jiǎn)稱(chēng)為ACL�����,訪問(wèn)控制列表使用包過(guò)濾技術(shù),在路由器上讀取
2����、第三層及第四層包頭中的信息如源地址,目的地址�����,源端口����,目的端口等,根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾�����,從而達(dá)到訪問(wèn)控制的目的����。該技術(shù)初期僅在路由器上支持,近些年來(lái)已經(jīng)擴(kuò)展到三層交換機(jī)���,部分最新的二層交換機(jī)也開(kāi)始提供ACL的支持了�。訪問(wèn)控制列表使用原則由于ACL涉及的配置命令很靈活����,功能也很強(qiáng)大,所以我們不能只通過(guò)一個(gè)小小的例子就完全掌握全部ACL的配置����。在介紹例子前為大家將ACL設(shè)置原則羅列出來(lái),方便各位讀者更好的消化ACL知識(shí)�����。1�、最小特權(quán)原則只給受控對(duì)象完成任務(wù)所必須的最小的權(quán)限。也就是說(shuō)被控制的總規(guī)則是各個(gè)規(guī)則的交集�����,只滿足部分條件的是不容
3���、許通過(guò)規(guī)則的�����。2�����、最靠近受控對(duì)象原則所有的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制���。也就是說(shuō)在檢查規(guī)則時(shí)是采用自上而下在ACL中一條條檢測(cè)的��,只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)�,而不繼續(xù)檢測(cè)下面的ACL語(yǔ)句���。3��、默認(rèn)丟棄原則在CISCO路由交換設(shè)備中默認(rèn)最后一句為ACL中加入了DENYANY...ANY����,也就是丟棄所有不符合條件的數(shù)據(jù)包���。這一點(diǎn)要特別注意���,雖然我們可以修改這個(gè)默認(rèn),但未改前一定要引起重視�。由于ACL是使用包過(guò)濾技術(shù)來(lái)實(shí)現(xiàn)的,過(guò)濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息,這種技術(shù)具有一些固有的局限性��,如無(wú)法識(shí)別到具體的人���,無(wú)法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等
4、�。因此,要達(dá)到端到端的權(quán)限控制目的�,需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問(wèn)權(quán)限控制結(jié)合使用。標(biāo)準(zhǔn)訪問(wèn)列表:訪問(wèn)控制列表ACL分很多種����,不同場(chǎng)合應(yīng)用不同種類(lèi)的ACL。其中最簡(jiǎn)單的就是標(biāo)準(zhǔn)訪問(wèn)控制列表��,標(biāo)準(zhǔn)訪問(wèn)控制列表是通過(guò)使用IP包中的源IP地址進(jìn)行過(guò)濾����,使用的訪問(wèn)控制列表號(hào)1到99來(lái)創(chuàng)建相應(yīng)的ACL標(biāo)準(zhǔn)訪問(wèn)控制列表的格式訪問(wèn)控制列表ACL分很多種,不同場(chǎng)合應(yīng)用不同種類(lèi)的ACL���。其中最簡(jiǎn)單的就是標(biāo)準(zhǔn)訪問(wèn)控制列表��,他是通過(guò)使用IP包中的源IP地址進(jìn)行過(guò)濾��,使用的訪問(wèn)控制列表號(hào)1到99來(lái)創(chuàng)建相應(yīng)的ACL���。標(biāo)準(zhǔn)訪問(wèn)控制列表是最簡(jiǎn)單的ACL���。它的具體格式如下:acc
5、ess-listACL號(hào)permit
6��、denyhostip地址例如:access-list10denyhost192.168.1.1這句命令是將所有來(lái)自192.168.1.1地址的數(shù)據(jù)包丟棄��。當(dāng)然我們也可以用網(wǎng)段來(lái)表示��,對(duì)某個(gè)網(wǎng)段進(jìn)行過(guò)濾�。命令如下:access-list10deny192.168.1.00.0.0.255通過(guò)上面的配置將來(lái)自192.168.1.0/24的所有計(jì)算機(jī)數(shù)據(jù)包進(jìn)行過(guò)濾丟棄。為什么后頭的子網(wǎng)掩碼表示的是0.0.0.255呢�����?這是因?yàn)镃ISCO規(guī)定在ACL中用反向掩瑪表示子網(wǎng)掩碼�����,反向掩碼為0.0.0.255的代表他的子
7�、網(wǎng)掩碼為255.255.255.0。小提示:對(duì)于標(biāo)準(zhǔn)訪問(wèn)控制列表來(lái)說(shuō)�,默認(rèn)的命令是HOST,也就是說(shuō)access-list10deny...192.168.1.1表示的是拒絕192.168.1.1這臺(tái)主機(jī)數(shù)據(jù)包通訊,可以省去我們輸入host命令�����。標(biāo)準(zhǔn)訪問(wèn)控制列表實(shí)例一我們采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)���。路由器連接了二個(gè)網(wǎng)段,分別為172.16.4.0/24��,172.16.3.0/24���。在172.16.4.0/24網(wǎng)段中有一臺(tái)服務(wù)器提供WWW服務(wù)�����,IP地址為172.16.4.13��。實(shí)例1:禁止172.16.4.0/24網(wǎng)段中除172.16.4.13這臺(tái)計(jì)
8��、算機(jī)訪問(wèn)172.16.3.0/24的計(jì)算機(jī)����。172.16.4.13可以正常訪問(wèn)172.16.3.0/24��。路由器配置命令access-list1permithost172.16.4.13設(shè)置ACL���,容許172.16.4.13的數(shù)據(jù)包通過(guò)���。access-list1denyany設(shè)置ACL���,阻止其他一切IP地址進(jìn)行通訊傳輸。inte1進(jìn)入E1端口��。ipaccess-group1in將ACL1宣告�����。經(jīng)過(guò)設(shè)置后E1端口就只容許來(lái)自172.16.4.13這個(gè)IP地址的數(shù)據(jù)包傳輸出去了����。來(lái)自其他IP地址的數(shù)據(jù)包都無(wú)法通過(guò)E1傳輸。小提示:由于CISCO默認(rèn)
9����、添加了DENYANY的語(yǔ)句在每個(gè)ACL中,所以上面的access-list1denyany這句命令可以省略��。另外在路由器連接網(wǎng)絡(luò)不多的情況下也可以在E
