ACL功能过滤:通过过滤经过路由器的数据包来管理IP流量,允许或拒绝经过路由器的数据包或控制是否可以到路由器VTY的访问等。。。
分类:标识流量以进行特殊处理。中;路由协议;NAT;QoS等。。。
◆概述:是一个有序的语言集,通过对比报文中的字段与ACL参数,来允许或拒绝报文通过接口
ACL语句组成:条件。用了匹配数据包中的字段
操作。条件匹配时,采取允许或拒绝的操作。
◆匹配规则:序列号自上而下逐条匹配,匹配上就执行操作,没有继续向下匹配。所以配置时要注意从上到下范围是逐级增大。 默认缺省有一条deny any any ,都没有匹配上就会被拒绝。
◆ACL类型标准:只检查源IP
扩展:可以检查源和目的,以及上层的端口号。
■标准ACL通常的功能:只能过滤IP数据包头的源IP限制通过VTY线路对路由器的访问(Telnet。ssh)
限制通过HTTP或https对路由器的访问
过滤路由更新
配置 编号或者命名
编号:access-list 1-99 permit/deny 源IP 掩码 命名:ip access-list standard 名字permit/deny 源IP 掩码
■扩展ACL用于扩展报文的过滤能力,可以精确匹配数据。源和目的IP、协议、源和目的端口以及特等报文字段中的允许特殊位比较的各种选项
配置 编号和命名编号 access-list 100-199 permit/deny protocol 源或目的IP 掩码 端口
命名 ip access-list extended 名字permit/deny protocol 源或目的IP 掩码 端口◆ACL放置原则扩展ACL置于离源设备较近的位置。因为基于源和目的控制,避免放到目的设备浪费链路资源
标准ACL置于离目的设备近的位置,因为只能基于源IP控制,放到源设备的话,沿途链路的设备都会 受影响,为了避免影响范围过大,放置到近目的位置
◆ACL指导原则每个接口、协议(IP ;ipx;appletalk)、方向只允许有一个ACL
ACL最具体的语句必须位于列表顶部
ACL最后有一条隐式拒绝所有,因此每个列表需要至少一条permit语句
ACL会影响通过接口的流量和速度,但不会过滤路由器本身产生的流量
ACL只匹配穿过路由器的流量,忽略本身产生的。
例子:上图全网跑eigrp协议,宣告直连和loopback口路由器上过滤VTY5个虚拟通道(0-4)
路由器的vty端口可以过滤数据
在路由器上执行VTY的访问控制
■标准ACL实例: R3:access-list 12 permit 1.1.1.0 0.0.0.255 line vty 0 4 pass cisco access-class 12 in R1:int lo0 ip add 1.1.1.1 255.255.255.255 telnet 23.1.1.3 被拒绝 telnet 23.1.1.3 /source-interface loopback 0 可通!!!■扩展ACL实例:需求,R1用源是1.1.1.1 ping免费云主机域名 R3 可以通;R1用源是1.1.1.1 telnet R3不通 R2:access-list 100 permit icmp host 1.1.1.1 host 23.1.1.3 access-list 100 deny tcp host 1.1.1.1 host 23.1.1.3 eq 23 access-list 100 permit eigrp any any int f0/0 ip access-group 100 in查看,看配置 show access-list 看接口应用 show ip access-group
默认以10为基数逐条增加,如果要在中间插入ip access-list extend 100 15 permint any any◆通配符位(反掩码) 0:(精确匹配)表示匹配对应地址位的值 1:(任意匹配)表示忽略对应地址位的值 any: 0.0.0.0 1.1.1.1 host:172.1.1.1 0.0.0.0
例:匹配172.30.16.0/24–172.30.31.0/24 通配符172.30.16.0 0.0.15.255
os:centos6.4x64software:ettercapREQUIREDLIBRARIES:MANDATORY:-libpcap>=0.8.1-libnet>=1.1.2.1-libpthread-zlibOPTIONAL:Toenable…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
