ACL访问控制列表
理论部分:
在学习过程中我们知道了网络的联通和通信,但是在实际环境中网络管理员经常会面临为难的局面,如必须拒绝那些不希望访问的连接,同时又要允许正常的访问。那么这时就诞生了ACL(访问控制列表)下面我们先看看ACL 的原理。
1.ACL是使用包过滤技术,在路由器上读取第三层和四层包头的信息,根据预定好的规则进行过滤,达到访问控制的目的
2.ACL的三种模式:?
标准ACL (根据数据包的源IP地址来允许或者拒绝数据包,表号是1~99)?
扩展ACL (根据数据包的源IP地址,目的IP地址,指定协议,端口和标志来允许或拒绝,表号是100~199)
命名ACL (允许在标准和扩展ACL中使用名称来代替列表好)
3.ACL的工作原理:ACL是一组规则的集合,它应用在路由器上的接口,对与接口它有“出”和“入”两个方向。如果对接口应用了ACL,那么路由器对数据包应用该规则进行顺序检查。如果第一条规则匹配,那么就直接通过,不再需要检查。如果没有匹配,那么就会依次往下检查。到最后还没有的话,路由器将会根据默认的规则丢弃改数据包。一句话来说就是:要么允许通过,要么被拒绝。
接下来我们进行试验:这里我们配置命名ACL访问控制列表。
1.首先在GNS3上搭建拓扑图,根据如下图所示,我们设置ACL配置的要求是:仅允许C1和C2 与外机C4ping通,不允许C3和C4互通。
2.在虚拟网卡VPC上给四台PC机设置IP地址,如下图所示:
3.接下来为了方便集中操作,用xshell远程连接sw和R2。再进行设置,如下图所示:
4.接下来对路由器R2进行配置。如下图所示:
5.到此端口IP、速率、双工模式都已经配置好了。接下来我们配置ACL规则。如下图所示:
6.接下来我们继续设置不允许PC3与外机PC4互通,并将配置好的访问控制列表应用到接口上。如下图所示:
7.接下来我们再VPC上ping一下进行验证。如下图所示:
到此试验成功!
总结:
1.上图的ACL列表信息,再加上路由器对ACL的工作原理,那么我们可以得知的是,规则的顺序很重要。(通过序号决定执行命令的优先顺序,如果要在里边继续插入其他的控制权限,根据实际需要设置序列号)
2.我们需要熟悉一定的协议,如:TCP IP UDP ICMP 等
3.最后我们需要将配置号的规则用于接口,同时注意是用在IN接口
4.需要注意的是HOST后面是跟一个具体的IP地址,否则IP后面就需要跟反掩码。
原文地址:http://blog.51cto.com/13721050/2142927