ACL(访问控制列表)的类型及配置

ACL是应用在路由器接口的指令列表,通过这些指令,来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝,基本原理就是:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。
ACL有三种类型:

  1. 标准ACL:根据数据包的源IP地址来允许或拒绝数据包,标准ACL的访问列表控制号是1~99。
  2. 扩展ACL:根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包,扩展ACL的访问控制列表号是100~199。
  3. 命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。


创建标准ACL语法:
Router(config)#access-list 1~99 { permit | deny } 源网段地址或网段(若源地址为主机,则在地址前面需要加“host”;若源地址为网段,则要在网段地址后面加反掩码,如/24的反掩码就是0.0.0.255。

例如:Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 #表示为允许192.168.1.0/24网段地址的流量通过

Router(config)#access-list 1 permit host 192.168.2.1 #表示为允许主机192.168.2.1的流量通过。

每一个ACL都有一条隐含的拒绝语句,可以拒绝所有流量,所以在做ACL规则时建议以拒绝某个网段或主机的流量通过,然后再允许所有流量通过,如下:

Router(config)#access-list 1 deny host 192.168.1.2 #拒绝192.168.1.2网段的流量通过

Router(config)#access-list 1 permit any #允许所有主机的流量通过

当以上ACL规则应用到接口上时,效果为除了192.168.1.2的流量外都可以通过。

源地址可以用 “any”来表示为所有主机。

删除ACL的规则时,在规则前加“no”即可,如:Router(config)# no access-list 1 #删除表号为1的规则

一个ACL可以配置多条规则,但是一个接口,一个方向只能应用一个ACL。

配置好的ACL规则应用到接口上的语法如下:

Router(config)#int f0/1
Router(config-if)# ip access-list 1 in/out #把表号1的规则应用到进站(in)或出站(out)方向

扩展ACL的配置语法:
语法1:
Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 #创建一个表号为101的ACL,规则为允许192.168.1.0访问192.168.2.0网段的流量通过

Router(config)# access-list 101 deny ip any any #拒绝所有流量通过

以上规则最终应用到接口上的效果为拒绝除了192.168.1.0访问192.168.2.0的数据包以外的所有数据包通过

语法2:
Router(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21 #拒绝网络192.168.1.0访问主机192.168.2.2,tcp端口号21的流量通过
Router(config)# access-list 101 permit ip any any #允许所有流量通过

以上扩展ACL的规则为:拒绝网络192.168.1.0访问主机192.168.2.2,tcp端口号21的流量通过,而允许其他任何流量通过。

扩展ACL与标准ACL的区别就是扩展ACL可以基于端口号、目标地址、协议,来更加精准的控制流量是允许还是拒绝通过。
删除扩展ACL的规则的语句和删除标准ACL一致。如:Router(config)# no access-list 101 #删除表号为101的扩展ACL规则

原文地址:https://blog.51cto.com/14154700/2369595

时间: 2024-10-08 21:44:24

ACL(访问控制列表)的类型及配置的相关文章

ACL 访问控制列表(一)

ACL 访问控制列表 access control list (路由器,三层交换) 包过滤防火墙 ACL访问控制列表的类型 标准访问控制列表基于源IP地址过滤数据包标准访问控制列表的访问控制列表号时1~99扩展访问控制列表基于源IP地址.目的IP地址.指定协议.端口和标志来过滤数据包扩展访问控制列表的访问控制列表号是100~199命名访问控制列表命名访问控制列表允许在标准和扩展访问控制列表使用中名称代替表号访问控制列表基于三层(IP)和四层(端口.协议)进行过滤 ACL匹配规则:自上而下 逐条匹

ACL访问控制列表(标准、拓展、命名控制列表)的配置实例

实例一:标准访问控制列表的配置 拓扑图如下: 通过配置标准访问列表,禁止PC1主机访问PC3主机. (1)进行sw的配置如下: SW#configure terminal //进入全局模式 Enter configuration commands, one per line. End with CNTL/Z. SW(config)#no ip routing //关闭路由功能 SW(config)#int f1/0 //进入接口模式 SW(config-if)#speed 100 //设置速率为

配置ACL访问控制列表

ACL访问控制列表理论部分:在学习过程中我们知道了网络的联通和通信,但是在实际环境中网络管理员经常会面临为难的局面,如必须拒绝那些不希望访问的连接,同时又要允许正常的访问.那么这时就诞生了ACL(访问控制列表)下面我们先看看ACL 的原理.1.ACL是使用包过滤技术,在路由器上读取第三层和四层包头的信息,根据预定好的规则进行过滤,达到访问控制的目的2.ACL的三种模式:?标准ACL (根据数据包的源IP地址来允许或者拒绝数据包,表号是1~99)?扩展ACL (根据数据包的源IP地址,目的IP地址

ACL访问控制列表(标准性、扩展性、命名性)

ACL访问控制列表 访问控制列表的工作原理: 出:已经过路由器处理正离开路由器接口的数据包. 入:已达到路由器接口的数据包,将被路由器处理. ACL对数据流的处理流程: 路由器将对数据包进行匹配,路由器将决定该数据包的通过或拒绝,拒绝后将下一跳匹配共匹配三次直到最后拒绝丢弃. ACL类型 标准访问:根据数据包的源iP地址来允许或拒绝.列表号1~99. 扩展访问:根据数据包的源IP地址.目的IP地址.指定协议.端口和标志来允许或拒绝.列表号100~199. 命名访问:允许使用标准访问或扩展访问,用

ACL 访问控制列表

3W1H学习方法(what.why.where.how) What:ACL访问控制列表是应用在路由器接口的质量列表(即规则) Why:为了实现网络安全对数据流量进行控制 Where:路由器.三层交换 原理:ACL是一组规则的集合,它应用在路由器的某个接口上.对路由器而言,是分出站和进站方向的.出站指的是已经过路由器的处理,正离开路由器的数据 包:进站是指,刚刚到达路由器将要处理的数据包.如果对应的接口应用了ACL,也就是说明该接口应用了一组规则,路由器将按照这组规则的顺序对数据包检 查. ACL

ACL访问控制列表——标准IP访问列表(理论+实验)

ACL访问控制列表的功能 1.限制网络流量.提高网络性能2.提供对通信流量的控制手段3.提供网络访问的基本安全手段4.在网络设备接口处,决定哪种类型的通信流量被转发.哪种类型的通信流量被阻塞 ACL的工作原理 1.访问控制列表在接口应用的方向出方向:已经过路由器的处理,正离开路由器接口的数据包入方向:已达到路由器接口的数据包,将被路由器处理列表应用到接口方向与数据方向有关 ACL规则 1. 从上到下依次匹配 2. 一旦被某条ACL匹配,则停止查找 3. 依照上两条规则,ACL的精确或者严格规则写

ACL访问控制列表理论

访问控制列表(ACL) 读取第三层.第四层包头信息,根据预先定义好的规则对包进行过滤. 访问控制列表在接口应用的方向 列表应用到接口的方向与数据方向有关 出:已经过路由器的处理,正离开路由器接口的数据包:入:已到达路由器接口的数据包,将被路由器处理. 访问控制列表的处理过程 访问控制列表的类型 标准访问控制列表 基于源IP地址过滤数据包: 标准访问控制列表的访问控制列表号是1 ~ 99. 扩展访问控制列表 基于源IP地址.目的IP地址.指定协议.端口和标志来过滤数据包: 扩展访问控制列表的访问控

路由器ACL访问控制列表

实验名称:标准访问控制列表 实验拓扑: 实验步骤: (1)      连接主机,交换机,路由器实现全网互连 (2)      配置路由器的访问控制列表 (3)      验证 实验名称:命名标准访问控制列表 实验拓扑: 实验步骤: (1)      连接主机,交换机,路由器实现全网互连 (2)      配置交换机 (3)      验证 实验名称:扩展控制访问列表 实验拓扑: 实验步骤: (1)      连接主机,交换机,路由器,服务器实现全网互连 (2)      配置第一个路由器实现pc

标准ACL访问控制列表

首先创建拓扑图如下所示: 第一步:先在R1上面配置两个端口的IP地址和到达10.0网段.20.0网段的静态路由 第二步:在SW上配置中继链路并创建VTP客户模式,然后再把接口加入相应的vlan 第三步:做SWL三层交换的中继链路和VTP服务模式 配置vlan10和vlan20并配置IP地址作为网关使用,还有默认路由 第四步:打开VPCS配置3台PC机的IP地址 第五步:设置ACL访问控制列表语句,要查看设置用show access-lists 应用到相应的接口,注意是in方向还是out方向 用V

访问控制列表(二)配置命令

访问控制列表(二)配置命令扩展访问控制列表的配置创建ACLRouter(config)# access-list access-list-number { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]删除ACLRouter(config)# no access-list access-list-number将ACL应用于接口Route