本文为大家介绍访问控制列表acl配置 实例(访问控制列表(acl)),下面和小编一起看看详细内容吧。
访问控制列表acl 和配置
访问控制列表:
acl: www.ttep.cn
(访问控制列表)
适用于所有路由协议:ip、ipx、appletalk
有两种类型的控制列表:
1.标准访问控制列表:检查路由数据包的源地址,1~99代表编号
2、扩展访问控制列表:检查数据包的源地址和目的地址。
访问控制列表最常见的用途是作为数据包过滤器。
其他用途;可以指定某类数据包的优先级,对某类数据包给予优先级
识别触发按需拨号路由(ddr) 的相关流量
路线图的基本组成部分
acl 可用于:
提供网络访问的基本安全措施
访问控制列表可以用于qos(quality of service,服务质量)来控制数据流。
可以指定某类数据包的优先级,对某类数据包进行优先级限制,以限制网络流量,减少网络拥塞
www.ttep.cn的作用
提供对流量的控制
访问控制列表对自己产生的数据包没有影响,比如一些路由更新报文
路由器对访问控制列表的处理:
(1) 如果接口上没有acl,报文会继续正常处理
(2) 如果接口应用了访问控制列表,一系列与接口相关的访问控制列表语句组合会检测到:
*如果第一个语句不匹配,则继续判断,直到有一个语句匹配,则不再继续判断。
路由器将决定是否允许或拒绝数据包
*如果末尾的语句都不匹配,则路由器按照默认的处理方式丢弃该数据包。
*根据acl 的测试条件,数据包被允许或拒绝。
(3)访问控制列表的出入,
使用命令ip access-group 将访问控制列表应用到某个接口。
in 或out 表示访问控制列表是否控制最近的或外出的数据包
[接口的一个方向,只能应用一个access-list]
路由器首先检查传入数据包的访问控制列表,只查询路由表中允许传输的数据包。
对于外出的数据包,首先检查路由表,确定目的接口后,再检查访问控制列表。
=======================================================================
您应该尝试将发布控制列表应用于入站接口,因为它比将其应用于出站接口更有效:
即将丢弃的数据包在路由器唤醒路由表查找过程之前拒绝它
(4)访问控制列表中的deny和permit
全局访问列表命令的一般形式:
路由器(配置)#access-list access-list-number {permit |拒绝} {测试条件}
这里的语句通过访问列表表号来标识访问控制列表。此编号还指示访问列表的类别。
1.创建访问控制列表
访问列表1 拒绝172.16.4.13 0.0.0.0(标准访问控制列表)
access-list 1 permit 172.16.0.0 0.0.255.255(允许网络172.16.0.0的所有流量)通过
access-list 1 permit 0.0.0.0 255.255.255.255(允许任何流量通过,如果不允许,则只允许172.16.0.0
交通通过)
2、应用于接口e0的出方向:
接口更快hernet 0/0
ip access-group 1 out(接口绑定acl)
要删除访问控制列表,首先在接口模式下输入命令:
没有ip 访问组
然后在全局模式下输入命令
没有访问列表
并获取其所有参数
?〖访问控制列表的通配符〗
0.0.0.0 255.255.255.255=====任意
路由器(配置)#access-list 1 permit 172.30.16.29 0.0.0.0
======路由器(配置)#access-list 1 permit host 172.30.16.29
++++++++++++++++++++++++++++++++++==
访问控制列表的类型
++++++++++++++++++++++++++++
标准ip 访问列表只过滤源ip 地址。
扩展访问控制列表不仅过滤源ip地址,还过滤目的ip地址、源端口、目的端口
尽量将扩展acl 应用到离要拒绝的通信流量源头最近的地方,以减少不必要的通信流量。
最好应用离目的地最近的标准acl
标准acl 根据数据包的源ip 地址允许或拒绝数据包。
配置访问控制列表时,顺序很重要。
!
标准访问控制列表的应用和配置
在扩展acl中,命令access-list是完整的
语法格式如下:
router(config)#access-list access-list-number {permit|deny} protocol [source source-
wildcard destination destination-wildcard ]
[operator operan ] [established] [log]
access-list-number 访问控制列表表号 100~199
permit|deny 表示在满足测试条件的情况下,该入口是允许还是拒绝后面指定地址的通信流量
protocol 用来指定协议类型,如ip/tcp/udp/icmp/gre/igrp
source destination 源和目的,分别用来标识源地址和目的地址
source-wildcard、destination-wildcard---反码
operator operan---lt(小于)、gt(大于)、eq(等于)、neq(不等于)、和一个端口号
esablished------如果数据包使用一个已建立连接。便可以允许tcp信息量通过
例如:
拒绝所有从172.16.4.0到172.16.3.0的ftp通信流量通过e0
1.创建acl
router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
router(config)#access-list 101 permit ip any any
2.应用到接口上
router(config)#interface fastethernet 0/0
router(config-if)#ip access-group 101 out
拒绝来自指定子网的telnet通信流量
router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23
router(config)#access-list 101 permit ip any any
应用到接口:
router(config)#interface fastethernet 0/0
router(config-if)#ip access-group 101 out
命名访问控制列表
可以使用一个字母数字组合的字符代替前面所使用的数字来表示acl,称为命名acl
可以在下列情况下使用命名acl
需要通过一个字母数字串组成的名字来直观的表示特定的acl
好了,访问控制列表acl配置 实例(访问控制列表(acl))的介绍到这里就结束了,想知道更多相关资料可以收藏我们的网站。