【CCNA学习笔记】访问控制列表

1、ACL定义

ACL(Access Control List,访问控制列表)是一系列运用到路由器接口的指令列表。这些指令告诉路由器接收哪些数据包、拒绝哪些数据包、接收或者拒绝根据一定的规则进行,如源地址、目标地址、端口号等。ACL使得用户能够管理数据流,检测特定的数据包。针对IP协议,在路由器的每一个端口,可以创建两个ACL:一个用于过滤进入(inbound)端口的数据流,另一个用于过滤流出(outbound)端口的数据流。

2、标准ACL

2.1、通配符掩码

路由器使用通配符掩码与源或目标地址一起来分辨匹配的地址范围。在访问控制列表中,将通配符掩码中的一位设成1表示忽略IP地址中对应的位,该位既可以是1又可以是0,可将其称作“不检查”位。通配符掩码设成0则表示IP地址中对应的位必须精确匹配。

2.2、配置标准ACL

方式一

R3(config)#access-list 1 deny host 12.1.1.1           创建访问列表
R3(config)#access-list 1 permit any

方式二

R3#show access-lists                                   查看访问列表,对应行号
R3(config)#ip access-list standard 1
R3(config-std-nacl)#deny host 12.1.1.1
R3(config-std-nacl)#permit any

进入接口进行配置:

R3(config-if)#ip access-group 1 in                    接口模式下,配置进或者出使用哪个列表

2.3、编辑标准ACL

(1)删除ACL

R3(config)#no access-list 1                            删除某个ACL
R3(config)#ip access-list standard 1
R3(config-std-nacl)#no 10                              删除配置中的10行

(2)取消ACL在接口的应用

R3(config)#int s1/0
R3(config-if)#no ip access-group 1 in

访问控制列表仅对穿越路由器的数据包进行过滤,对本路由器起源的数据包不作过滤。

标准访问控制列表尽量靠近目标端,否则会限制一些本来不想限制的数据流。

2.4、配置标准命名ACL

R3(config)#ip access-list standard deny-R1            配置标准命名ACL
R3(config-if)#ip access-group deny-R1 in              应用到某个接口

3、扩展ACL

标准访问控制列表只能使用原地址作为过滤条件,提供了十分基本的过滤功能。扩展访问控制列表可以同时使用源地址和目标地址作为过滤条件,还可以针对不同的协议、协议的特征、端口号、时间范围等来过滤。

3.1、配置扩展ACL

access-list access-list-number {deny|permit|remark} protocol source [source-wildcard] [operator operand] [port port-number or name] destination destinantion - wildcard [operator operand] [port port-number orname] [established]

R2(config)#access-list 100 deny tcp host 12.1.1.1 host 23.1.1.3 eq telnet 创建扩展ACL
R2(config)#access-list 100 permit ip any any
R2(config-if)#ip access-group 100 in                                       接口模式下配置生效

访问控制列表仅对穿越路由器的数据包进行过滤,对本路由器起源的数据包不作过滤。

扩展访问控制列表尽量靠近起始端,这样可以减少不必要的浪费。

3.2、扩展ACL的增强编辑功能

R2(config)#ip access-list extended 100
R2(config-ext-nacl)#15 deny udp any any            在10和20直接插一行15
R2(config)#ip access-list resequence 100 10 10     重新给ACL100排序10为起始行号,每次加10

3.3、扩展ACL中的established

配置使用TCP协议的扩展ACL时,有一个参数established(已建立),特别值得关注,它可以用来做TCP的单向访问控制,使用起来有点像防火墙,一边可以访问另外一边,另外一边却不能访问这一边。

R2(config)#access-list 101 permit tcp any any established            ACK等于0的不允许通过
R2(config)#int s1/1
R2(config-if)#ip access-group 101 out                                放在s1/1口的out方向上

3.4、配置扩展命名ACL

R2(config)#ip access-list extended deny-R1-telnet-R3                直观的命名扩展ACL

4、配置ACL的注意事项

(1)访问控制列表只对穿越流量起作用。

(2)标准列表要应用在靠近目标端

(3)扩展访问控制列表要应用在靠近源端

(4)放置的顺序。配置ACL时,语句的前后顺序很重要,列表从上往下查找,如果找到一条匹配,就执行操作并且不再往下继续查找。如果两条语句放在前或后都不影响结果,一般把被较多使用的那条放在前面,这样可以减小路由器的查找时间。

(5)隐含的拒绝所有。IP访问控制列表的最后一句隐含的是拒绝所有。它表示必须明确允许通信量,否则将被拒绝。

(6)列表的编辑。访问控制列表建立后,对该ACL的增加都被放在表的末端,用户不能有选择地增加或删除语句。唯一可做的删除是删除整个访问控制列表,命令是“no access-list access-list-number”,显然,当访问控制列表很大时是十分麻烦的。为了节省时间,可以将表剪切,然后粘贴在文本文档中来编辑。命名访问控制列表和扩展访问控制列表的增强编辑功能可用于克服这一缺点。

(7)列表的调用。一个访问控制列表可用于同一个路由器的许多不同的接口上,并不需要对每个需要它的接口单独定义表号不同、内容相同的访问控制列表。如果不给接口提供任何访问控制列表,或者提供一个未定义的访问控制列表,则在默认情况下它将传递所有通信量。如果想让访问控制列表对两个方向都有用,则在接口调用访问控制列表两次,一次用于入站,一次用于出战。对于每个协议的每个接口的每个方向,只能提供一个访问控制列表。

(8)使用ACL限制远程登录。使用access-class来实现,而不是在所有接口上限制Telnet登录。

R2(config)#access-list 1 permit 12.1.1.1
R2(config)#line vty 0 4
R2(config-line)#access-class 1 in

(9)配置ACL时,小心不要拒绝了路由协议。

R3(config)#access-list 100 permit udp host A.B.C.D host 255.255.255.255 eq 520 允许来自ABCD的rip广播更新
时间: 2024-10-21 18:06:53

【CCNA学习笔记】访问控制列表的相关文章

CCNA学习笔记三——STP生成树协议

广播风暴:当网络中存在物理环路,会产生广播风暴 STP协议:Spanning Tree Protocol(生成树协议) 逻辑上断开环路,防止广播风暴的产生 STP算法:(所有选择都是比小-小的当选) 选择根网桥(Root Bridge):在网络中的所有交换机中选择一台 选择依据:网桥ID(网桥优先级+MAC地址) 选择根端口(Root Ports):在所有非根网桥中选择一个 选择依据:(1)根路径成本最低 (2)直连网桥ID最小 (3)端口ID最小 选择指定端口(Designated Ports

CCNA学习笔记二——VTP协议

VTP协议:VLAN Trunk Protocol 从一个控制点,维护整个网络上VLAN的添加,删除和重命名工作 VTP域:相同的域名,通过Trunk相互连接的一组交换机 VTP模式: 服务器模式(Server):默认 客户机模式(Client) 透明模式(Transparent) VTP通告: 客户机通告请求-获取VLAN信息 交换机重新启动 VTP域名变更后 交换机接收到了配置修订号大的汇总通告 服务器的通告响应-发送VLAN信息 汇总通告-用于通知邻接的Catalyst交换机目前的VTP域

CCNA学习笔记四——Telnet CDP

CDP协议:Cisco发现协议 show cdp show cpd neighbors:查看当前设备连接了哪些Cisco设备 cdp timer:修改发送间隔时间 cdp holdtime:修改保留时间 cdp advertise-2:修改版本号 debug cdp packets show cdp traffic:查看有关cdp包的统计信息 show cdp interface:查看端口cdp信息 show cdp entry:查看所有邻居的详细信息 cdp run:全局开启所有接口cdp协议

CCNA 学习笔记(二)--CISCO设备初接触

CCNA 学习笔记(二)--初识CISCO设备 上一章我们认识到网络方面的基础知识了,现在我们正式接触CISCO设备. 1.首先我们先了解一台CISCO设备里的主要组件: ROM(只读存储器):主要保存着开机自检软件.保存路由器启动引导程序. RAM(随机存储器):断电会把数据丢失.可以存储配置文件.>>>相当于PC的内存 NVRAM(非易失存储器):断电不会丢失.用来保存用户配置文件.IP.startup-config.主机名.路由协议等等. FLASH(闪存):主要是保存完整的   

CCNA学习笔记一

cisco三层模型:接入层-集散层(分布层)-核心层 OSI七层模型功能: 第七层:应用层 数据 用户接口,提供用户程序“接口”. 第六层:表示层 数据 数据的表现形式,特定功能的实现,如数据加密. 第五层:会话层 数据 允许不同机器上的用户之间建立会话关系,如WINDOWS 第四层:传输层 段 实现网络不同主机上用户进程之间的数据通信,可靠 与不可靠的传输,传输层的错误检测,流量控制等. 第三层:网络层 包 提供逻辑地址(IP).选路,数据从源端到目的端的 传输 第二层:数据链路层 帧 将上层

CCNA学习笔记五——ip地址子网划分

ip地址作用:用来标识一个节点的网络地址 ip地址的分类: A类:0NNNNNNN(1-126)  私有地址:10.0.0.0-10.255.255.255 B类:10NNNNNN(128-191)  私有地址:172.16.0.0-172.31.255.255 C类:110NNNNN(192-223)  私有地址:192.168.0.0-192.168.255.255 D类:1110NNNN(224-239) 子网掩码中1对应的为ip地址位为网络位,0对应的为主机位 划分子网:通过将子网掩码变

CCNA学习笔记七——路由概述

静态路由协议: 动态路由协议:AS(自治系统):执行统一路由策略的一组设备的集合 EGP(外部网关协议): BGP:边界网关协议 IGP(内部网关协议): 距离矢量协议: RIP:V1,V2 IGRP EIGRP 链路状态路由协议: OSPF IS-IS 静态路由: 特点: 路由表是手工设置的 除非网络管理员干预,否则静态路由不会发生变化 路由表的形成不需要占用网络资源 适合环境 一般用于网络规模很小,拓扑结构固定的网络中 默认路由: 特点: 在所有路由类型中,默认路由优先级最低 适用环境: 一

CCNA 学习笔记(三)--路由选择协议(静态路由协议)

CCNA 学习笔记(三)--路由选择协议(静态路由协议) 上一章,我们对CISCO的设备有了一定的了解,那现在我们开始去学习下路由选择协议. 静态路由: 1.什么时候是路由? 答:A.路由就是数据包从一端传输到另一端所选择的一条路径.B.数据包的转发. 2.路由器的工作内容? 答:A.路由器首先要知道要到达的目标地址. B.能发现到达目标地址所有可能经过的路由或者节点. C.选择最佳路径. D.维护路由表. 3.查看路由表的命令:show ip route 由上面我们可以看到当前的路由器只是有一

CCNA学习笔记之一---VLAN实验组网

VLAN实验用的是Cisco Packet Tracer模拟器做的实验,实验拓扑如下图 1.Switch1配置如下 Switch>en                                    进入特权模式 Switch#conf t                                进入全局配置模式 Switch(config)#host Switch1                  给设备命名 Switch1(config)#no ip domain-lookup