訪問(wèn)控制列表acl配置 實(shí)例(訪問(wèn)控制列表(acl))

發(fā)布時(shí)間：2024-03-30

本文為大家介紹訪問(wèn)控制列表acl配置 實(shí)例(訪問(wèn)控制列表(acl))，下面和小編一起看看詳細(xì)內(nèi)容吧。
訪問(wèn)控制列表acl 和配置
訪問(wèn)控制列表：
acl: www.ttep.cn
（訪問(wèn)控制列表）
適用于所有路由協(xié)議：ip、ipx、appletalk
有兩種類(lèi)型的控制列表：
1.標(biāo)準(zhǔn)訪問(wèn)控制列表：檢查路由數(shù)據(jù)包的源地址，1~99代表編號(hào)
2、擴(kuò)展訪問(wèn)控制列表：檢查數(shù)據(jù)包的源地址和目的地址。
訪問(wèn)控制列表最常見(jiàn)的用途是作為數(shù)據(jù)包過(guò)濾器。
其他用途；可以指定某類(lèi)數(shù)據(jù)包的優(yōu)先級(jí)，對(duì)某類(lèi)數(shù)據(jù)包給予優(yōu)先級(jí)
識(shí)別觸發(fā)按需撥號(hào)路由(ddr) 的相關(guān)流量
路線圖的基本組成部分
acl 可用于：
提供網(wǎng)絡(luò)訪問(wèn)的基本安全措施
訪問(wèn)控制列表可以用于qos（quality of service，服務(wù)質(zhì)量）來(lái)控制數(shù)據(jù)流。
可以指定某類(lèi)數(shù)據(jù)包的優(yōu)先級(jí)，對(duì)某類(lèi)數(shù)據(jù)包進(jìn)行優(yōu)先級(jí)限制，以限制網(wǎng)絡(luò)流量，減少網(wǎng)絡(luò)擁塞
www.ttep.cn的作用
提供對(duì)流量的控制
訪問(wèn)控制列表對(duì)自己產(chǎn)生的數(shù)據(jù)包沒(méi)有影響，比如一些路由更新報(bào)文
路由器對(duì)訪問(wèn)控制列表的處理：
(1) 如果接口上沒(méi)有acl，報(bào)文會(huì)繼續(xù)正常處理
(2) 如果接口應(yīng)用了訪問(wèn)控制列表，一系列與接口相關(guān)的訪問(wèn)控制列表語(yǔ)句組合會(huì)檢測(cè)到：
*如果第一個(gè)語(yǔ)句不匹配，則繼續(xù)判斷，直到有一個(gè)語(yǔ)句匹配，則不再繼續(xù)判斷。
路由器將決定是否允許或拒絕數(shù)據(jù)包
*如果末尾的語(yǔ)句都不匹配，則路由器按照默認(rèn)的處理方式丟棄該數(shù)據(jù)包。
*根據(jù)acl 的測(cè)試條件，數(shù)據(jù)包被允許或拒絕。
(3)訪問(wèn)控制列表的出入，
使用命令ip access-group 將訪問(wèn)控制列表應(yīng)用到某個(gè)接口。
in 或out 表示訪問(wèn)控制列表是否控制最近的或外出的數(shù)據(jù)包
[接口的一個(gè)方向，只能應(yīng)用一個(gè)access-list]
路由器首先檢查傳入數(shù)據(jù)包的訪問(wèn)控制列表，只查詢(xún)路由表中允許傳輸?shù)臄?shù)據(jù)包。
對(duì)于外出的數(shù)據(jù)包，首先檢查路由表，確定目的接口后，再檢查訪問(wèn)控制列表。
=======================================================================
您應(yīng)該嘗試將發(fā)布控制列表應(yīng)用于入站接口，因?yàn)樗葘⑵鋺?yīng)用于出站接口更有效：
即將丟棄的數(shù)據(jù)包在路由器喚醒路由表查找過(guò)程之前拒絕它
(4)訪問(wèn)控制列表中的deny和permit
全局訪問(wèn)列表命令的一般形式：
路由器（配置）#access-list access-list-number {permit |拒絕} {測(cè)試條件}
這里的語(yǔ)句通過(guò)訪問(wèn)列表表號(hào)來(lái)標(biāo)識(shí)訪問(wèn)控制列表。此編號(hào)還指示訪問(wèn)列表的類(lèi)別。
1.創(chuàng)建訪問(wèn)控制列表
訪問(wèn)列表1 拒絕172.16.4.13 0.0.0.0（標(biāo)準(zhǔn)訪問(wèn)控制列表）
access-list 1 permit 172.16.0.0 0.0.255.255（允許網(wǎng)絡(luò)172.16.0.0的所有流量）通過(guò)
access-list 1 permit 0.0.0.0 255.255.255.255（允許任何流量通過(guò)，如果不允許，則只允許172.16.0.0
交通通過(guò)）
2、應(yīng)用于接口e0的出方向：
接口更快hernet 0/0
ip access-group 1 out（接口綁定acl）
要?jiǎng)h除訪問(wèn)控制列表，首先在接口模式下輸入命令：
沒(méi)有ip 訪問(wèn)組
然后在全局模式下輸入命令
沒(méi)有訪問(wèn)列表
并獲取其所有參數(shù)
?〖訪問(wèn)控制列表的通配符〗
0.0.0.0 255.255.255.255=====任意
路由器（配置）#access-list 1 permit 172.30.16.29 0.0.0.0
======路由器（配置）#access-list 1 permit host 172.30.16.29
++++++++++++++++++++++++++++++++++==
訪問(wèn)控制列表的類(lèi)型
++++++++++++++++++++++++++++
標(biāo)準(zhǔn)ip 訪問(wèn)列表只過(guò)濾源ip 地址。
擴(kuò)展訪問(wèn)控制列表不僅過(guò)濾源ip地址，還過(guò)濾目的ip地址、源端口、目的端口
盡量將擴(kuò)展acl 應(yīng)用到離要拒絕的通信流量源頭最近的地方，以減少不必要的通信流量。
最好應(yīng)用離目的地最近的標(biāo)準(zhǔn)acl
標(biāo)準(zhǔn)acl 根據(jù)數(shù)據(jù)包的源ip 地址允許或拒絕數(shù)據(jù)包。
配置訪問(wèn)控制列表時(shí)，順序很重要。
！
標(biāo)準(zhǔn)訪問(wèn)控制列表的應(yīng)用和配置
在擴(kuò)展acl中，命令access-list是完整的
語(yǔ)法格式如下：
router(config)#access-list access-list-number {permit|deny} protocol [source source-
wildcard destination destination-wildcard ]
[operator operan ] [established] [log]
access-list-number 訪問(wèn)控制列表表號(hào) 100~199
permit|deny 表示在滿(mǎn)足測(cè)試條件的情況下，該入口是允許還是拒絕后面指定地址的通信流量
protocol 用來(lái)指定協(xié)議類(lèi)型，如ip/tcp/udp/icmp/gre/igrp
source destination 源和目的，分別用來(lái)標(biāo)識(shí)源地址和目的地址
source-wildcard、destination-wildcard---反碼
operator operan---lt(小于)、gt(大于)、eq(等于)、neq(不等于)、和一個(gè)端口號(hào)
esablished------如果數(shù)據(jù)包使用一個(gè)已建立連接。便可以允許tcp信息量通過(guò)
例如:
拒絕所有從172.16.4.0到172.16.3.0的ftp通信流量通過(guò)e0
1.創(chuàng)建acl
router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
router(config)#access-list 101 permit ip any any
2.應(yīng)用到接口上
router(config)#interface fastethernet 0/0
router(config-if)#ip access-group 101 out
拒絕來(lái)自指定子網(wǎng)的telnet通信流量
router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23
router(config)#access-list 101 permit ip any any
應(yīng)用到接口:
router(config)#interface fastethernet 0/0
router(config-if)#ip access-group 101 out
命名訪問(wèn)控制列表
可以使用一個(gè)字母數(shù)字組合的字符代替前面所使用的數(shù)字來(lái)表示acl,稱(chēng)為命名acl
可以在下列情況下使用命名acl
需要通過(guò)一個(gè)字母數(shù)字串組成的名字來(lái)直觀的表示特定的acl 好了，訪問(wèn)控制列表acl配置 實(shí)例(訪問(wèn)控制列表(acl))的介紹到這里就結(jié)束了，想知道更多相關(guān)資料可以收藏我們的網(wǎng)站。