下载安卓APP箭头
箭头给我发消息

客服QQ:3315713922

cisco访问控制列表ACL解析

作者:课课家教育  来源: http://www.kokojia.com点击数:3054发布时间:2017-04-17 09:00:58

  访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

一:访问控制列表概述

  ·访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。

  ·工作原理:它读取第三及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。

  ·实际应用:阻止某个网段访问服务器

  阻止A网段访问B网段,但B网段可以访问A网段。

  禁止某些端口进入网络,可达到安全性。

  基本定义

  访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

  访问控制列表(AccessControlLists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

  访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。

  此外,在路由器的许多其他配置任务中都需要使用访问控制列表,如网络地址转换(NetworkAddressTranslation,NAT)、按需拨号路由(DialonDemandRouting,DDR)、路由重分布(RoutingRedistribution)、策略路由(Policy-BasedRouting,PBR)等很多场合都需要访问控制列表。

  访问控制列表从概念上来讲并不复杂,复杂的是对它的配置和使用,许多初学者往往在使用访问控制列表时出现错误。

  二:标准ACL

  ·标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段,则该网段下所有主机以及所有协议都被禁止。如禁止了A网段,则A网段下所有的主机都不能访问服务器,而B网段下的主机却可以。

  用1----99之间数字作为表号

  一般用于局域网,所以最好把标准ACL应用在离目的地址最近的地方。

  ·标准ACL的配置:

  router(config)#Access-list表号deny(禁止)网段/IP地址反掩码

  ********禁止某各网段或某个IP

  router(config)#access-list表号permit(允许)any

  注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。

  router(config)#interface接口******进入想要应用此ACL的接口(因为访问控制列表只能应用在接口模式下)

  router(config-if)#ipaccess-group表号out/in*****设置在此接口下为OUT或为IN

  其中router(config)#access-list10deny192.168.0.10.0.0.0=

  router(config)#access-list10denyhost192.168.0.1

  router(config)#access-list10deny0.0.0.0255.255.255.255=

  router(config)#access-list10denyany

  router#showaccess-lists******查看访问控制列表。

  ·标准访问控制列表的工作原理。

  (每当数据进入路由器的每口接口下,都会进行以下进程。)

cisco访问控制列表ACL解析_访问控制列表_交换机配置_网络工程师_课课家

  注:当配置访问控制列表时,顺序很重要。要确保按照从具体到普遍的次序来排列条目。

  如:想要拒绝一个具体的主机地址并且允许其他主机,那么要确保有关这个具体主机的条目最新出现。

  三:扩展ACL

  ·扩展访问控制列表对数据包源地址、目的地址、源端口、目的端口都进行检查。若使用扩展访问控制列表禁止某网段访问别的网段,则A网段下所有主机不能访问B网段,而B网段下的主机可以访问A网段。

  用100----199之间数字作为表号

  一般用于外网,所以最好把扩展ACL应用在离源地址最近的地方。

  ·配置扩展访问控制列表。

  router(config)#access-list表号deny(禁止)协议源IP地址/网段反掩码目的IP地址/网段反掩码eq端口

  ******禁止A网段(源网段)下的某协议(或某端口)访问B网段(目的网段)

  router(config)#access-list表号permitipanyany

  注:扩展ACL默认情况下所有的网络也被设置为禁止,所以应该放行其他的网段。

  router(config)#interface接口**********进入想要应用此ACL的接口

  router(config-if)#ipaccess-group表号out/in******激活该接口下咋访问控制列表,并根据实际情况设置此接口为OUT/in。

  ·常用端口及所属协议。

router(config-if)#ipaccess-group表号out/in******激活该接口下咋访问控制列表,并根据实际情况设置此接口为OUT/in。    ·常用端口及所属协议。

  ·扩展访问控制列表的工作原理:

  (每当数据进入路由器的每口接口下,都会进行以下进程。)

扩展访问控制列表的工作原理:    (每当数据进入路由器的每口接口下,都会进行以下进程。)

      大家读完本篇文章后,学到不少知识吧?觉得这篇文章不错,可以分享给自己身边的朋友,还想了解更多的知识,那就赶快登陆课课家吧,这里面的知识很全面,对大家会有很大的帮助的哦~

赞(28)
踩(0)
评论(0
最新评论

暂无评论~

大数据课程