Cisco之访问控制列表(ACL)


访问控制列表(ACL)是应用在路由器接口的指令列表(即规则),这些规则表用来告诉路由器,哪些数据包可以接收,哪些包需要拒绝。其基本原理如下:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层和第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义的规则,对包进行过滤,从而达到访问控制的目的。 ACL可以分为以下两种基本类型:标准ACL:检查数据包的源地址,来决定是允许还是拒绝转发数据包,使用1-99之间的数字作为表号。扩展ACL:既能对数据包的源地址和目标地址进行检查,也能检查特定的协议、端口号及其它的参数。使用100-199之间的数字作为表号。 ACL是一组规则的集合,应用在路由器的某个接口上,因此对路由器的接口而言,ACL有两个方向:出:已经经过路由器的处理,离开路由器接口的数据包,检查顺序:先查路由表,再查出ACL。入:已经到达路由器接口的数据包,将要被路由器处理。检查顺序:先检查入ACL,再查询路由表。匹配规则:如果匹配第一条规则,则不再继续往下查,路由器将决定是允许或拒绝数据包通过。如果不匹配第一条规则,则依次往下检查,直到匹配一条规则,如果没有任何规则匹配,路由器默认会丢弃数据包。由以上规则可见,数据包要么被拒绝,要么被丢弃。如下图:
示例 1:标准访问控制列表ROUTE(config)#access-list 1 deny 192.168.3.0 0.0.0.255ROUTE(config)#int f1/0 #应用到入站方向ROUTE(config-if)#ip access-group 1 inROUTE#sh ip access-lists #查看ACLStandard IP access list 1 10 deny 192.168.3.0, wildcard bits 0.0.0.255C:Userswin7>ping 172.16.2.1正在 Ping 172.16.2.1 具有 32 字节的数据:来自 192.168.3.254 的回复: 无法访问目标主机。来自 192.168.3.254 的回复: 无法访问目标主机。来自 192.168.3.254 的回复: 无法访问目标主机。来自 192.168.3.254 的回复: 无法访问目标主机。
在接口上取消ACL应用ROUTE(config-if)#no ip access-group 1 inC:Userswin7>ping 172.16.2.1 #取消ACL后,可以ping通正在 Ping 172.16.2.1 具有 32 字节的数据:来自 172.16.2.1 的回复: 字节=32 时间=127ms TTL=252来自 172.16.2.1 的回复: 字节=32 时间=97ms TTL=252来自 172.16.2.1 的回复: 字节=32 时间=78ms TTL=252来自 172.16.2.1 的回复: 字节=32 时间=84ms TTL=252
删除ACL:ROUTE(config)#no access-list 1
仅允许某台主机访问ROUTE(config)#access-list 2 permit host 192.168.3.2ROUTE(config)#int f1/0ROUTE(config-if)#ip access-group 2 in
允许所有:ROUTE(config)#access-list 2 permit any或ROUTE(config)#access-list 2 permit 0.0.0.0 255.255.255.255
示例 2:扩展访问控制列表sw1(config)#access-list 101 deny tcp any host 172.16.1.1 eq wwwsw1(config)#int vlan 2sw1(config-if)#ip access-group 101 insw1#sh access-listsExtended IP access list 101 10 deny tcp any host 172.16.1.1 eq www (24 matches)sw1#sh ip int vlan 2Vlan2 is up, line protocol is up Internet address is 172.16.2.254/24 Broadcast addre免费云主机域名ss is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.5 224.0.0.6 Outgoing access list is not set Inbound access list is 101…客户端无法正常访问:在接口上取消ACL应用,即可正常访问:sw1(config-if)#int vlan 2 sw1(config-if)#no ip access-group 101 in
示例 3:命名访问控制列表sw1(config)#ip access-list extended namesw1(config-ext-nacl)#deny tcp any host 172.16.1.1 eq wwwsw1(config)#int vlan 2sw1(config-if)#ip access-group name insw1#sh ip access-lists nameExtended IP access list name 10 deny tcp any host 172.16.1.1 eq www
禁止后,从客户端已无法访问,取消后可正常访问:sw1(config)#ip access-list extended namesw1(config-ext-nacl)#no deny tcp any host 172.16.1.1 eq wwwsw1(config-ext-nacl)#11 deny tcp 172.16.2.0 0.0.0.255 host 172.16.1.1 eq wwwsw1(config-ext-nacl)#12 permit tcp 172.16.1.0 0.0.0.255 host 172.16.1.1 eq wwwsw1#sh ip access-listsExtended IP access list name 11 deny tcp 172.16.2.0 0.0.0.255 host 172.16.1.1 eq www (36 matches) 12 permit tcp 172.16.1.0 0.0.0.255 host 172.16.1.1 eq www
备注:在路由器的接口上每个方向只能有一个ACL,即每个接口只能有两个ACL,一个出方向ACL,一个入方向ACL。ACL只对穿越流量起作用,而对于路由器或三层交换机本身产生的流量不起作用。标准ACL尽可能靠尽目标,扩展ACL尽可能应用在靠近源服务器的位置。标准和扩展ACL如果要修改,需要删除整个ACL,而命名ACL可以通过增加或删除ACL语句来实现。

相关推荐: nginx配置优化实例分析

本文小编为大家详细介绍“nginx配置优化实例分析”,内容详细,步骤清晰,细节处理妥当,希望这篇“nginx配置优化实例分析”文章能帮助大家解决疑惑,下面跟着小编的思路慢慢深入,一起来学习新知识吧。代码如下:读到这里,这篇“nginx免费云主机域名配置优化实例…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 4天前
下一篇 4天前