精华内容
下载资源
问答
  • 思科标准ACL配置

    2021-05-24 16:59:38
    思科标准ACL配置 思科标准ACL配置 应用标准ACL实现PC3禁止访问PC1,PC2可以访问PC1 配置IP地址 配置静态路由 配置完IP地址和静态路由后查看连通性 创建...

     

    思科标准ACL配置

     

    应用标准ACL实现PC3禁止访问PC1PC2可以访问PC1

     

     

     

     

     

     

     

    配置IP地址

     

     

     

    配置静态路由

     

     

     

     

    配置完IP地址和静态路由后查看连通性

     

     

    创建ACL列表,但不设置表号为1的访问控制列表允许任何数据包通过,仅限制了192.168.30.0的整个一个C网络

     

    此时的连通性

     

     

     

    在创建的ACL列表里,增加设置表号为1的访问控制列表允许任何数据包通过,仍然限制192.168.30.0这一网段

     

     

    此时连通性结果

     

     

     

    四、实验总结及存在的问题

    access-list 1 deny host 192.168.10.1 只限制一台主机192.168.10.1,掩码相当于0.0.0.0;
    access-list 1 deny 192.168.10.1 0.0.0.255 限制了192.168.10.0的整个一个C网络

     

    ACL访问控制列表一般在内部与外部网络之间使用
    access-list 4 permit any的意思是表号为4的访问控制列表允许任何数据包通过
    ip access-group 4 out的意思是把表号为4的访问控制列表在外部网络的端口应用
    合起来的意思通俗点讲就是内部网络的数据包可以完全通过向外部网络的端口 就是说内部网络的主机都可以访问外网

     

    创建ACL列表

    Router(config)#access-list 1 deny 192.168.30.0  0.0.0.255(通配符掩码)

    Router(config)#access-list 1 permit any

    应用于接口

    Router(config)#in f 0/0

    Router(config-if)#ip access-group 1 out(出栈)

     

    1)删除ACL

    删除编号即可删除ACL。
    命令格式:

    1

    R (config) #no access-list 1

      2)取消ACL在接口的应用

    命令格式:

    1

    2

    R(config) #int s1/0

    R(config-if) #no ip access-group 1 in

       4)查看ACL

    命令格式:

    1

    2

    R3#show access-lists

    R3#show access-lists 1

     3.3 配置标准命名ACL的方法

    标准命名ACL指使用字符串代替数字来标识ACL。其优点包括:

    1. 可以在不删除整个ACL情况下修改。
    2. 字符串直观标识ACL用途。
    3. 可以配置超过99个标准ACL。
      注意:命名不能相同。
    4. 创建标准命名ACL格式:Router (config)# ip access-list standard access-list name
       例如:
       

    1

    2

    3

    4

    5

    6

    R3 (config)# ip access-list standard deny-R1

    R3 (config-std-nac1)#deny

    R3 (config-std-nac1)#permit any

    R3 (config-std-nac1)#exit

    R3 (config)#int s1/0

    R3 (config-if)#ip access-group deny-R1 in

     

    可局部修改:

    1)删除某一句:
     

    1

    2

    R3 (config)# ip access-list standard deny-R1

    R3 (config-std-nac1)#no deny 12.1.1.1

    3)删除整个ACL:
     

    1

    R3 (config)#no ip access-list standard deny-R1

     

    展开全文
  • 思科CISCO ACL配置详解

    万次阅读 多人点赞 2013-04-03 01:28:21
    访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期...

    访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。

    访问控制列表的原理:

    1、对路由器接口来说有两个方向:

    入:已经到达路由器接口的数据包,但是还没有被路由器处理。

    出:已经 经过路由器的处理,正要离开路由器接口的数据包

    2、匹配顺序为:"自上而下,依次匹配"。默认为拒绝

    3、访问控制列表的类型:

    • 标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上
    • 扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向
    • 命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号

    4、访问控制列表使用原则

    (1)、最小特权原则

    只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。

    (2)、默认丢弃原则

    在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。

    (3)、最靠近受控对象原则

    所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。

    由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法 识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。

    下面分别介绍3种类型的访问控制列表

    一、标准访问列表

    访问控制列表ACL分很多种,不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL。

    它的具体格式:

    access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]

    access-list-number 为1-99 或者 1300-1999之间的数字,这个是访问列表号。

    例如:

    1. access-list 10 deny host 192.168.1.1  //将所有来自192.168.1.1地址的数据包丢弃。  

    当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:

    1. access-list 10 deny 192.168.1.0 0.0.0.255  

     

    通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。

    对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。

    标准访问列表配置实例

    1. R1(config)#access-list 10 deny 192.168.100.0 0.0.0.255   
    2. R1(config)#access-list 10 permit any   
    3. R1(config)#int fa0/0.1   
    4. R1(config-subif)#ip access-group 10 out  

    说明:

    阻止来自网段192.168.100.0的机器从int fa0/0.1端口出去,访问列表在配置好之后,要把它在端口上应用,否则配置了还是无效的。

    注意事项:

    1、标准访问列表,一般来说配置尽量靠近目的端。

    2、配置的第二条命令中的any相当于 0.0.0.0 255.255.255.255

    3、一定要加pemint any,使其他的网络可通。

    4、访问列表是从上到下一条一条进行匹配的,所以在设置访问列表的时候要注意顺序。如果从第一条匹配到最后一条还是不知道要怎么做,路由器就会丢弃这个数据包,也就是为什么上面的例子中上一定要加permit any.

    5、如果只阻止一个主机,那可以用 host 192.168.1.12 或者 192.168.1.12 0.0.0.0,这两种配置是等价的。

    删除已建立的标准ACL  

    R1(config)#no access-list   <access-list number>

    对标准的ACL来说,不能删除单个acl语句,只能删除整个ACL

    总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。

    二、扩展访问控制列表

    上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL.那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号为100到199。

    扩展访问控制列表的格式:

    access-list access-list number {permit/deny} protocol +源地址+反码 +目标地址+反码+operator operan(it小于,gt大于,eq等于,neq不等于。具体可?)+端口号

    1、扩展访问控制列表号的范围是100-199或者2000-2699。

    2、不同的服务要使用不同的协议,比如TFTP使用的是UDP协议。

    3、因为默认情况下,每个访问控制列表的末尾隐含deny all,所以在每个扩展访问控制列表里面必须有:access-list 110 permit ip any any 。

    4、更多注意事项可以参考上面标准访问控制列表部分。

    例如:

    1. access-list 101 deny tcp any host 192.168.1.1 eq www //将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。  

     

    同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。

    扩展访问控制列表配置实例

    1. R2(config)#access-list 110 deny tcp any host 192.168.100.10 eq www   
    2. R2(config)#access-list 110 deny tcp any host 192.168.100.10 eq ftp   
    3. R2(config)#int fa0/0   
    4. R2(config-if#ip access-group 110 out  

    上面配置的含义是拒绝访问192.168.100.10的www和ftp服务

    实例二

    路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24.在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。

    要求:禁止172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可以访问172.16.4.13上的WWW服务,而其他服务不能访问。

    路由器配置命令:

    1. access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www  //设置ACL101,容许源地址为任意IP,目的地址为172.16.4.13主机的80端口即WWW服务。由于CISCO默认添加DENY ANY的命令,所以ACL只写此一句即可。  

    进入相应端口

    1. ip access-group 101 out //将ACL101应用到端口  

    设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了,就算是服务器172.16.4.13开启了FTP服务也无法访问,惟独可以访问的就是172.16.4.13的WWW服务了。

    删除已建立的扩展标准ACL   

    删除和标准一样,不能单条删除,只能删除整个acl

    总结:扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP.不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。

    三、命名访问控制列表

    不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。这一个缺点影响了我们的工作,为我们带来了繁重的负担。不过我们可以用基于名称的访问控制列表来解决这个问题。

    命名访问控制列表格式:

    ip access-list {standard/extended} <access-list-name>(可有字母,数字组合的字符串)

    例如:

    1. ip access-list standard softer //建立一个名为softer的标准访问控制列表。  

    命名访问控制列表使用方法:

    1. router(config)#ip access-list standard +自定义名   
    2. router(config-std-nac1)#11 permit host +ip //默认情况下第一条为10,第二条为20.如果不指定序列号,则新添加的ACL被添加到列表的末尾   
    3. router(config-std-nac1)#deny any  

    对于命名ACL来说,可以向之前的acl中插入acl,删除也可以删除单条acl,

    如:

    1. router(config)#ip access-list standard benet   
    2. router(config-std-nasl)#no 11  

    使用show access-lists可查看配置的acl信息

    总结:如果设置ACL的规则比较多的话,应该使用基于名称的访问控制列表进行管理,这样可以减轻很多后期维护的工作,方便我们随时进行调整ACL规则。

    四、反向访问控制列表

    反向访问控制列表属于ACL的一种高级应用。他可以有效的防范病毒。通过配置反向ACL可以保证AB两个网段的计算机互相PING,A可以PING通B而B不能PING通A.

    说得通俗些的话就是传输数据可以分为两个过程,首先是源主机向目的主机发送连接请求和数据,然后是目的主机在双方建立好连接后发送数据给源主机。反向ACL控制的就是上面提到的连接请求。

    反向访问控制列表的格式:

    反向访问控制列表格式非常简单,只要在配置好的扩展访问列表最后加上established即可。

    反向访问控制列表配置实例:

    路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24.在172.16.4.0/24网段中的计算机都是服务器,我们通过反向ACL设置保护这些服务器免受来自172.16.3.0这个网段的病毒攻击。

    要求:禁止病毒从172.16.3.0/24这个网段传播到172.16.4.0/24这个服务器网段。

    路由器配置命令:

    1. access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established //定义ACL101,容许所有来自172.16.3.0网段的计算机访问172.16.4.0网段中的计算机,前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许172.16.3.0访问172.16.4.0的。  

    进入路由相应端口

    1. ip access-group 101 out //将ACL101应用到端口  

    设置完毕后病毒就不会轻易的从172.16.3.0传播到172.16.4.0的服务器区了。因为病毒要想传播都是主动进行TCP连接的,由于路由器上采用反向ACL禁止了172.16.3.0网段的TCP主动连接,因此病毒无法顺利传播。

    检验反向ACL是否顺利配置的一个简单方法就是拿172.16.4.0里的一台服务器PING在172.16.3.0中的计算机,如果可以PING通的话再用172.16.3.0那台计算机PING172.16.4.0的服务器,PING不通则说明ACL配置成功。

    通过上文配置的反向ACL会出现一个问题,那就是172.16.3.0的计算机不能访问服务器的服务了,假如图中172.16.4.13提供了WWW服务的话也不能正常访问。解决的方法是在ESTABLISHED那句前头再添加一个扩展ACL规则,例如:

    1. access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www  

    这样根据"最靠近受控对象原则"即在检查ACL规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。172.16.3.0的计算机就可以正常访问该服务器的WWW服务了,而下面的ESTABLISHED防病毒命令还可以正常生效。

    五、定时访问控制列表

    设置步骤:

    1、定义时间段及时间范围。

    2、ACL自身的配置,即将详细的规则添加到ACL中。

    3、宣告ACL,将设置好的ACL添加到相应的端口中。

    定义时间范围的名称:

    1. router(config)#time-range time-range-name  

    定义一个时间周期

    1. router(config-time-range)#periodic(周期) days-of-the-week hh:mm to [days-of-the-week] hh:mm  

    其中days-of-the-week的取值有

    Monday Tuesday Wednesday Thursday Friday Saturday Sunday{周一到周日}

    daily(每天)weekdays(在平日)weekend(周末)

    定义一个绝对时间

    1. router(config)#time-range time-range-name   
    2. router(config-time-range)#absolute [start hh:mm day month year] [end hh:mm day month year]  

    在扩展ACL中引入时间范围

    1. router(config)#access-list access-list-number {permit|deny} protocol {source ip +反码 destination ip +反码 +operator+time-range+time-range-name}  

    定时访问控制列表实例:

    路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24.在172.16.4.0/24网段中有一台服务器提供FTP服务,IP地址为172.16.4.13.

    要求:只容许172.16.3.0网段的用户在周末访问172.16.4.13上的FTP资源,工作时间不能下载该FTP资源。

    路由器配置命令:

    1. time-range softer //定义时间段名称为softer   
    2. periodic weekend 00:00 to 23:59 //定义具体时间范围,为每周周末(6,日)的0点到23点59分。当然可以使用periodic weekdays定义工作日或跟星期几定义具体的周几。   
    3. access-list 101 deny tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer //设置ACL,禁止在时间段softer范围内访问172.16.4.13的FTP服务。   
    4. access-list 101 permit ip any any //设置ACL,容许其他时间段和其他条件下的正常访问。  

    进入相应端口。

    1. ip access-group 101 out //应用到端口  

    基于时间的ACL比较适合于时间段的管理,通过上面的设置172.16.3.0的用户就只能在周末访问服务器提供的FTP资源了,平时无法访问。

    六、访问控制列表流量记录

    网络管理员就是要能够合理的管理公司的网络,俗话说知己知彼方能百战百胜,所以有效的记录ACL流量信息可以第一时间的了解网络流量和病毒的传播方式。下面这篇文章就为大家简单介绍下如何保存访问控制列表的流量信息,方法就是在扩展ACL规则最后加上LOG命令。

    实现方法:

    1. log 192.168.1.1 //为路由器指定一个日志服务器地址,该地址为192.168.1.1   
    2. access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www log //在希望监测的扩展ACL最后加上LOG命令,这样就会把满足该条件的信息保存到指定的日志服务器192.168.1.1中。  

    小提示:如果在扩展ACL最后加上log-input,则不仅会保存流量信息,还会将数据包通过的端口信息也进行保存。使用LOG记录了满足访问控制列表规则的数据流量就可以完整的查询公司网络哪个地方流量大,哪个地方有病毒了。简单的一句命令就完成了很多专业工具才能完成的工作。

    展开全文
  • cisco_ACL配置详解

    2014-10-23 11:49:02
    网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在...
  • cisco实现ACL配置

    2021-06-17 23:09:36
    1. 什么是ACL 大家先看下面这张图: 当给路由器R1和路由器R2均配好路由选择协议之后 PC1可以ping通PC3 PC2也可以ping通PC3 那如果我现在不想让PC2去ping通PC3咋办,那就是去实现ACL(可以在路由器R2上去实现,也...

    1. 什么是ACL


    大家先看下面这张图:配置文件可以点此下载
    在这里插入图片描述
    当给路由器R1和路由器R2均配好路由选择协议之后

    • PC1可以ping通PC3
    • PC2也可以ping通PC3

    那如果我现在不想让PC2去ping通PC3咋办,那就是去实现ACL(可以在路由器R2上去实现,也可以在路由器R1上,我下边在R2上实现)


    2. 给各个路由器配置端口IP和路由协议


    配置路由器R1:
    	int f0/0
    	ip add 192.168.1.1 255.255.255.0
    	no shut
    	
    	int e1/0
    	ip add 192.168.2.1 255.255.255.0
    	no shut
    	
    	int s0/1
    	ip add 10.1.1.1 255.255.255.0
    	clock rate 64000
    	no shut
    	/*配置ospf*/
    	router ospf 100
    	network 192.168.1.0 0.0.0.255 area 0
    	network 192.168.2.0 0.0.0.255 area 0
    	network 10.1.1.0    0.0.0.255 area 0
    
    配置路由器R2:
    	int s0/1
    	ip add 10.1.1.2 255.255.255.0
    	no shu
    	
    	int f0/0
    	ip add 192.168.3.1 255.255.255.0
    	no shut
    	/*配置ospf*/
    	router ospf 100
    	network 192.168.3.0 0.0.0.255 area 0
    	network 10.1.1.0    0.0.0.255 area 0
    

    此时就实现了以下

    • PC1可以ping通PC3
    • PC2也可以ping通PC3

    你可以自行试试看


    回到刚开始说的那如果我现在不想让PC2去ping通PC3咋办,那就是去实现ACL(可以在路由器R2上去实现,也可以在路由器R1上,我下边在R2上实现)

    3. 路由器R2上实现ACL


    大家不要着急,我先将命令写下来,稍后逐一讲解

    在路由器R2上配置ACL
    	access-list 1 deny 192.168.2.0 0.0.0.255
    	access-list 1 perm any
    	int f0/0
    	ip access-group 1 out
    

    此时在PC1和PC2上分别ping PC3,PC2是ping不通的,这就达到了ACL的效果

    1. access-list 1 deny 192.168.2.0 0.0.0.255,
      • 这句中1是ACL的编号,如果路由器是IP协议,这个编号1~99之间你可以随便取
      • deny表示是拒绝
      • 192.168.2.0表示前面deny的ip地址
      • 通用格式为:access-list access-list-number {permit|deny} source {source-wildcard}
      • source为前面{permit|deny}的ip地址,{source-wildcard}叫通配符掩码(反码),我具体也不是太清楚这个
    2. 可以看到下面还有一句access-list 1 perm any
      这是因为在进行ACL验证时,是逐条验证的,先验证你写的第一条,如果第一条匹配,就不验证第二条了,如果第一条不匹配才验证第二条,就比如在这个例子中
      • 若PC1去ping PC3,在R2处匹配时,先去匹配access-list 1 deny 192.168.2.0 0.0.0.255,发现不能匹配,那就继续往下走,去匹配access-list 1 perm any,发现匹配
      • 若PC2去ping PC3,在R2处匹配时,先去匹配access-list 1 deny 192.168.2.0 0.0.0.255,发现匹配,就直接deny PC2的请求了,而不去匹配第二条

    注意:在ACL匹配时 如果你写的列表里面那几条都没匹配到,那默认就是deny即拒绝

    1. 最后两句
      int f0/0
      ip access-group 1 out
      指明了ACL具体应用在哪一个接口上

    刚才讲列表时用到了编号,即access-list 1 deny 192.168.2.0 0.0.0.255这里使用了1,其实也可以自己起名字的

    命名标准ACL的配置
    首先在路由器R2上删除原来的ACL
    	no access-list 1
    再配置命名标准ACL
    	conf t
    	ip access-list standard haha
    	permit 192.168.1.0 0.0.0.255
    	deny 192.168.2.0 0.0.0.255
    	permit any
    将命名标准ACL应用到接口上
    int f0/0
    	ip access-group haha out
    

    下面这篇文章似乎也不错,可以参考

    展开全文
  • cisco路由器acl配置详解,非常详细,适合稍微有点基础,但有不懂命令的同学,绝对值得这个资源分
  • Cisco VLAN ACL配置

    千次阅读 2018-05-16 18:10:00
    ACL全称访问控制列表(Access Control List),主要通过配置一组规则进行过滤路由器或交换机接口进出的数据包, 是控制访问的一种网络技术手段, ACL适用于所有的被路由支持的协议,如IP、tcp、udp、ftp、www等。 ...

     

     

    什么是ACL?

    ACL全称访问控制列表(Access Control List),主要通过配置一组规则进行过滤路由器或交换机接口进出的数据包,

    是控制访问的一种网络技术手段, ACL适用于所有的被路由支持的协议,如IP、tcp、udp、ftp、www等。

     

     

    什么是反掩码?

    反掩码就是通配符掩码 , 通过标记0和1告诉设备应该匹配到哪位。 在反掩码中,相应位为1的地址在比较中忽略,

    为0的必须被检查。IP地址与反掩码都是32位的数 由于跟子网掩码刚好相反,所以也叫反掩码 。

    路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围,它与子网掩码不同。它不像子网掩码告诉

    路由器IP地址是属于哪个子网(网段),通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。

    例如:

    255.255.255.0 反掩码(wildcard-mask)就是0.0.0.255

    255.255.255.248  反掩码(wildcard-mask)就是0.0.0.7

     

     

    ACL工作原理:

    ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。

    对于路由器接口而言,ACL是有两个方向:

    注意:如果发现没有匹配的ACL规则,默认会丢弃该数据包,思科ACL规则默认会有一条隐藏的deny any any规则,而华三ACL规则默认是permit any any规则。

     

    入站----如果是入站访问列表,则当路由器接收到数据包时,Cisco IOS 软件将检查访问列表中的条件语句,看是否有匹配。如果数据包被允许,则软件将继续处理该数据包。如果数据包被拒绝,则软件会丢弃该数据包。

    出站----如果是出站访问列表,则当软件到接收数据包并将群其路由至出站接口后,软件将检查访问列表中的条件语句,看是否有匹配。如果数据包被允许,则软件会发送该数据包。如果数据包被拒绝,则软件会丢弃该数据包。

     

     

    ACL两种类型:

    标注:允许在标准ACL和扩展ACL中使用名称代替访问控制列表号。

    1、 标准的ACL

    根据数据包的源IP地址来控制允许转发或拒绝数据包,访问控制列表号1~99。

    标准访问控制列表配置命令如下:

    Router(config)#access-list access-list-number {permit|deny} source [souce-wildcard]

    或者

    Router(config)#ip access-list standard access-list-number

    Router(config-std-nacl)#Sequence Number{permit|deny} source [souce-wildcard]

    下面是命令参数的详细说明

    access-list-number:访问控制列表号,标准ACL取值是1-99,可以使用名称替代列表号。

    Sequence Number:每条ACL规则列表序列号,可使用范围1-2147483647。

    permit | deny:如果满足规则,则允许/拒绝通过。

    source:数据包的源地址,可以是主机地址,也可以是网络地址

     

    2、 扩展的ACL

    根据数据包的源IP地址、目的IP地址、指定协议,端口、标志和时间来控制允许转发或拒绝数据包,访问控制列表号100~199

    扩展访问控制列表配置命令如下:

    Router(config)#access-list access-list-number {permit|deny} protocol {source souce-wildcard destination destination-wildcard} [operator operan]

    或者

    Router(config)#ip access-list extended access-list-number

    Router(config-std-nacl)#{permit|deny} protocol {source souce-wildcard destination destination-wildcard} [operator operan]

    下面是命令参数的详细说明

    access-list-number:访问控制列表号,扩展ACL取值100-199,可以使用名称替代列表号。

    Sequence Number:每条ACL规则列表序列号,可使用范围1-2147483647。

    permit|deny:如果满足规则,则允许/拒绝通过。

    protocol:用来指定协议的类型,如IP,TCP,UDP,ICMP等。

    source、destination:源和目的,分别用来标示源地址和目的地址。

    souce-wildcard、destination-wildcard:子网反码,souce-wildcard是源反码,destination-wildcard是目标反码。

    operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)、rand(范围端口号)等。

     

     

    ACL应用分类:

    Port ACL基于MAC的ACL

    ACL应用在二层接口上,但二层接口只支持in方向,一个接口只能使用一条ACL规则,IP或MAC的ACL都可以应用到二层接口,但不能应用到端口聚合(EtherChannel)

     

    VLAN ACL基于VLAN的ACL

    使用VLAN与VLAN之间的ACL,相同的VLAN也是可以过滤,只要流量进入或离开指定的VLAN都会被过滤,可以同时控制二层与三层流量。

    VLAN ACL只是VLAN调用了ACL规则,in或out的VLAN流量都会被检测,无论是通过二层转发还是三层转发。VLAN ACL是不能定义方向的,

    虽然VLNA调用ACL规则会有in或out选项,但只针对VLAN源地址和目标地址而言。VLAN调用ACL是不能实现vlan 10 ping不通vlan 20,

    但vlan 20 ping通vlan10类似的功能,除非交换机支持自反ACL规则。

     

    Router ACL基于 IP 的ACL

    ACL应用到三层接上,但只能是IP ACL,不能是MAC ACL,Router ACL是in和out方向都可以使用,每个接口每个方向只能使用一条ACL规则。

     

    Time ACL基于时间的ACL

    Time ACL是在原来的ACL规则上增加的功能,可以应用于二层或三层,在原来的ACL规则和时间相结合使用,控制起来将更加灵活多变。

     

     

    实例(VLAN ACL)

    注意:配置VLAN  ACL需要注意以下问题:

    1、VLAN ACL不能具体定义入站和出站规则,VLANACL的in和out是针对VLAN的本身而言,ACL源地址与应用的VLAN相同网段时,

    就使用in方向,如果ACL目标地址与应用的VLAN相同网段时,就使用out方向。

    2、当数据包匹配思科ACL规则发现没有匹配的规则,则会匹配思科ACL默认一条隐藏的deny any any规则,默认丢弃该数据包。

    3、如果你删除access-list-number访问控制列表号,则access-list-number里的所有会被清除,建议进入每条access-list-number

    后在根据需求删除相应的序列号。

    4、ACL规则是按从上到下进行匹配,如果先匹配了后面就不会再进行匹配。

     

    需求如下:

    1、 实现VLAN 10 与VLAN 20不能相互访问,VLAN 10 能访问VLAN 30。

    2、VLAN 30 服务器192.168.30.30只允许VLAN 20主机192.168.20.20访问www服务(80端口),其它服务都不能访问,其它VLAN 20的所有IP地址都不能访问。

    3、VLAN 30 服务器192.168.30.31允许VLAN 20所有主机访问ftp服务(21端口),其它服务都不能访问。

     

    设计思路:

    1、 一台核心思科3560交换机,三台汇聚思科2960交换机

    2、 3560交换机配置VTP、VLAN、trunk

    3、 VLAN 30服务器192.168.30.30开启www服务,服务器192.168.30.31开启ftp

     

    实验拓扑图:

     

     

     

     

    核心交换机3560SW

    ##配置VTP服务器

    3650SW>enable

    3650SW#vlan database

    3650SW(vlan)#vtp domain CCTV

    3650SW(vlan)#vtp server

    ##创建VLAN

    3650SW(vlan)#vlan 10 name VLAN10

    3650SW(vlan)#vlan 20 name VLAN20

    3650SW(vlan)#vlan 30 name VLAN30

    3650SW(vlan)#exit

    ##配置VLAN IP地址

    3650SW#configure terminal

    3650SW(config)#interface vlan 10

    3650SW(config-if)#ip address 192.168.10.1 255.255.255.0

    3650SW(config-if)#exit

    3650SW(config)#interface vlan 20

    3650SW(config-if)#ip address 192.168.20.1 255.255.255.0

    3650SW(config-if)#exit

    3650SW(config)#interface vlan 30

    3650SW(config-if)#ip address 192.168.30.1 255.255.255.0

    3650SW(config-if)#exit

    ##开启三层交换机默认路由

    3560SW(config)#ip routing

    #设置端口汇聚(trunk)

    3650SW(config)#interface range fastEthernet 0/22-24

    3650SW(config-if-range)#3650SWport trunk encapsulation dot1q

    3650SW(config-if-range)#3650SWport mode trunk

    3650SW(config-if-range)#no shutdown

    3650SW(config-if-range)#exit

    #创建扩展ACL规则101和102并配置

    说明:ACL限制某个服务或端口一般使用以下命令限制:

    3560SW(config-ext-nacl)#permit tcp host 192.168.30.30 host 192.168.20.20 eq www

    但Cisco Packet Tracer Student模拟软件配置了会有异常,所以,本教程采用全部放开配置。

    3560SW#configure terminal

    ##下面两条命令等同access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255

    3560SW(config)#ip access-list extended 101

    3560SW(config-ext-nacl)#10 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255

    3560SW(config-ext-nacl)#exit

    3560SW(config)#ip access-list extended 102

    3560SW(config-ext-nacl)#10 permit tcp host 192.168.20.20 host 192.168.30.30 eq www

    3560SW(config-ext-nacl)#20 permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.31 eq ftp

    3560SW(config-ext-nacl)#30 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255

    3560SW(config-ext-nacl)#exit

    3560SW(config-if)#exit

    ##ACL规则应用在vlan 10的in接口

    3560SW(config)#interface vlan 10

    3560SW(config-if)#ip access-group 101 in

    3560SW(config-if)#exit

    ##ACL规则应用在vlan 30的in接口

    3560SW(config)#interface vlan 30

    3560SW(config-if)#ip access-group 102 out

    3560SW(config-if)#exit

    ##显示与维护

    3560SW#show access-lists

    3650SW#show running-config

     

     

    2960交换机SW01

    ##配置VTP客户端

    SW01#vlan database

    SW01(vlan)#vtp domain CCTV

    SW01(vlan)#vtp client

    SW01(vlan)#exit

    ##设置端口汇聚(trunk)

    SW01#configure terminal

    SW01(config)#interface fastEthernet 0/24

    SW01(config-if)#switchport mode trunk

    SW01(config-if)#no shutdown

    SW01(config-if)#exit

    ##分配VLAN所属端口

    SW01#configure terminal

    SW01(config)#interface range fastEthernet 0/1-5

    SW01(config-if-range)#switchport access vlan 10

    SW01(config-if-range)#switchport mode access

    SW01(config-if-range)#no shutdown

    SW01(config-if-range)#exit

     

     

    2960交换机SW02

    ##配置VTP客户端

    SW01#vlan database

    SW01(vlan)#vtp domain CCTV

    SW01(vlan)#vtp client

    SW01(vlan)#exit

    ##设置端口汇聚(trunk)

    SW01#configure terminal

    SW01(config)#interface fastEthernet 0/24

    SW01(config-if)#switchport mode trunk

    SW01(config-if)#no shutdown

    SW01(config-if)#exit

    ##分配VLAN所属端口

    SW01#configure terminal

    SW01(config)#interface range fastEthernet 0/1-5

    SW01(config-if-range)#switchport access vlan 20

    SW01(config-if-range)#switchport mode access

    SW01(config-if-range)#no shutdown

    SW01(config-if-range)#exit

     

     

    2960交换机SW03

    ##配置VTP客户端

    SW01#vlan database

    SW01(vlan)#vtp domain CCTV

    SW01(vlan)#vtp client

    SW01(vlan)#exit

    ##设置端口汇聚(trunk)

    SW01#configure terminal

    SW01(config)#interface fastEthernet 0/24

    SW01(config-if)#switchport mode trunk

    SW01(config-if)#no shutdown

    SW01(config-if)#exit

    ##分配VLAN所属端口

    SW01#configure terminal

    SW01(config)#interface range fastEthernet 0/1-5

    SW01(config-if-range)#switchport access vlan 30

    SW01(config-if-range)#switchport mode access

    SW01(config-if-range)#no shutdown

    SW01(config-if-range)#exit

     

    展开全文
  • ACL拓展扩展ACL(100--199)建立扩展ACL的操作步骤:1)建表2).用表 扩展ACL(100–199) 总结扩展ACL访问列表语法: Router(config)#access-list 100 permit (IP) 大协议 源地址 源反掩码 目标地址 目标反掩码 ...
  • CISCO ACL配置

    2018-12-23 15:57:00
    ACL:access(访问)control(控制)list(列表),用来实现防火墙规则。 访问控制列表的原理对路由器接口来说有两个方向出:已经经路由器的处理,正离开路由器接口的数据包入:已经到达路由器接口的数据包,将被...
  • 中兴和思科acl配置

    千次阅读 2019-06-05 09:06:47
    思科 access-list 90 permit 10.61.77.0 0.0.0.255 access-list 90 permit 10.61.254.0 0.0.0.255 access-list 90 permit 192.168.1.0 0.0.0.255 调用方式: (1)用户调用:username admin access-class ...
  • 思科动态ACL配置完全详解

    千次阅读 2013-01-10 15:31:05
    IP访问控制列表算是Cisco IOS一个内在的security feature,以下是对常用的动态访问控制列表做了个总结。  Pt.1 Lock-and-Key Security ...当配置了lock-and-key动态ACL之后,临时被拒绝掉的IP流量可
  • ACL(Access Control List,访问控制列表) 技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一...
  • CISCO ACL配置详解

    2018-07-17 14:54:39
    什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。...
  • 思科模拟器配置-ACL配置 实训

    千次阅读 2020-11-27 22:17:40
    2、在R0上做扩展ACL: (1)外网只能访问服务器区域的192.168.0.1:80端口,其他拒绝。 (2)办公网只能访问外网的80端口,其他拒绝。 (3)办公网只能访问服务器区域的192.168.0.1:80, 另外运维PC允许访问服务器...
  • ACL配置

    2017-06-08 20:21:45
    ACL配置 实验目的通过本实验,可以掌握以下技能: 配置接口IP地址。 配置访问控制列表。 验证访问控制列表的配置。 设备需求 Cisco路由器3台,分别命名为R1、R2和R3。 1台access server。 1台PC机。拓扑结构及配置...
  • 思科交换机图文设置扩展ACL配置应用技巧.docx
  • CISCO ACL配置(目前)

    2019-03-21 20:16:00
    什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的...
  • 思科ASA防火墙ACL配置审计的研究与设计,胡迪,辛阳,随着网络信息系统的广泛应用,安全日益成为了人们重点关注的问题。而作为安全评估的一方面,网络设备的配置核查也逐渐成为了组织
  • ACL(Access Control List,访问控制列表) 技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个...
  • 思科 配置标准ACL

    千次阅读 2019-05-15 22:05:22
    1.配置标准ACL 问题 络调通后,保证网络是通畅的。同时也很可能出现未经授权的非法访问。企业网络既要解决连连通的问题,还要解决网络安全的问题。 1)配置标准ACL实现拒绝PC2(IP地址为192.168.0.20)对Web Server...
  • 一、网络拓扑图二、 实验步骤:1、规划好每个...3、配置基本ACL,PC3不能实现与PC1和PC2互通,PC0能实现与所有PC机互通,并有验证,命令如下:zuo(config)#access-list 10 deny 192.168.1.0 0.0.0.255 //配置拒绝192...
  • 一.ACL概述 1.简介 ACL(访问控制列表)ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的策略列表。这些策略告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据一定的规则进行,如源...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 5,369
精华内容 2,147
关键字:

思科应用acl配置