cisco-router-访问控制列表ACL策略

(以下所有内容为本手纯手打,有纰漏的地方,也请大家多多包含可发小猪消息赐教交流!)

(本文所有内容及批注呈内收递归的架构显示,因格式显示不懂之处望谅解!)

(本文手打之,命令关键字大多使用简写,如有不明最好是键入命令时惯用tab补全!)



访问控制列表ACL-小猪详谈:

简单总结:

(接口启用应用acl后,所有acl只有应用到接口上才起作用,执行出入规则允许或拒绝,默认为丢弃!)

(包过滤技术,过滤三四层包头信息,网络层和会话层)

(标准访问控制列表,扩展访问控制列表,命名访问控制列表、动态acl-通过定义时间段-这里不做详解)

(标准和扩展都无法随意更改编辑规则,命名的则可)

(标准和扩展acl删除是只能删除真个表,而不能只删除其中的一个规则语句)

(标准acl规则一般应用到离目标地址较近的路由口上,扩展acl则一般应用在离源地址较劲的路由口上)

1、标准访问控制列表配置:

(只根据数据包的源ip地址进行执行规则允许或拒绝)

router(config)#access-list access-list-number {permit |deny } source [souce-wildcard]

access-list-number:acl表号,标准acl表号范围:1-99

permit | deny :允许或拒绝规则命令关键字

source:数据包源ip地址,可以是网段也可以是主机地址

source-wildcard:反码(通配符掩码)

举例配置如下:

access-list 1 permit 192.168.1.0 0.0.0.255    (表示允许此网段通过)

access-list 1 deny 192.168.1.1 0.0.0.0  (表示拒绝192.168.1.1这个ip主机出入)

access-list 1 deny 0.0.0.0 255.255.255.255 (此为默认隐藏的拒绝所有语句置于每个acl最后)

access-list 1 permit host 192.168.1.100 (这里host为主机关键字,当配置单个ip时使用)

access-list 1 deny any  (这里any为所有关键字,当配置针对所有ip规则时使用)

no access-list access-list-number   (此为删除某个acl表)

(标准acl中,使用host命令时,可以省略)

router(config)#int f*/*

router(config-if)#ip access-group access-list-number {in | out}

(将acl策略应用到接口上使用并开始执行工作,no则取消工作)

(每个方向上只能有一个acl,每个接口最多两个acl,一个入方向,一个出方向,不可重叠)

2、扩展访问控制列表配置:

(可根据源ip、目标ip、指定协议、端口号以及标志来定义允许拒绝规则)

router(config)#access-list access-list-number {permit|deny} protocol {source source-wildcard destination destination-wildcard} [operator operan]

access-list-number :表号100-199

protocol:定义协议类型,如ip、icmp、tcp、udp

destination:目的地址,同理,后面的为目的地址的反掩码

operator operan:lt小于、gt大于、eq等于、neq不等于一个端口号,用于定义协议端口

举例配置如下:

access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

(允许192.168.1.0 访问192.168.2.0)

access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.1 eq 21

(拒绝192.168.1.0的主机访问192.168.2.1的ftp服务)

access-list 100 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.1 echo

(拒绝192.168.1.0的主机ping192.168.2.1的icmp请求)

no access-list access-list-number  (删除已经创建的acl规则表)

router(config)#int f*/*

router(config-if)#ip access-group access-list-number {in | out}

(将acl策略应用到接口上使用并开始执行工作,no则取消工作)

3、命名访问控制列表配置:

(过滤规则允许可以在标准和扩展规则中使用名称代替表号)

router(config)#ip access-list {standard|extended} access-list-name  (创建acl)

standard|extended:表示创建标准还是扩展acl关键字

access-list-name :由字母数字组成的字符串,为acl表名

举例配置如下:

router(config)#ip access-list standard test1   (创建标准命名acl表)

router(config-std-nacl)#[sequence-number] {permit|deny} source [source wildcard]

(sequence-number:此为命名acl语句在acl表中的位置序号,默认是10,20,依次类推)

(sequence-number对acl作用可随意修改编辑删除命名acl表中的任意语句)

router(conifg)#ip access-list extended test2   (创建扩展命名acl表)

router(config-ext-nacl)#[sequence-number] {permit|deny} protocol {source s-wildcard distination d-wildcard } [operator operan]

router(config-std-nacl)#no 10   (在标准命名acl子模式下,可以直接编辑删除其语句)

router(config)#no ip access-list standard test1  (删除整条acl表)

详细举例配置如下:

router(config)#ip acc stan test3

router(config-sta-nacl)#permit 192.168.1.0

router(config-sta-nacl)#deny any

router(config)#ip acc ext test4

router(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.1 eq 21

router(config-ext-nacl)#15 deny ip host 192.168.1.1 host 192.168.2.1

router(config-ext-nacl)#16 permit any any

router(config)#int f*/*

router(config-if)#ip access-group access-list-number {in | out}

(将acl策略应用到接口上使用并开始执行工作,no则取消工作)

举例配置如下:

router(config)#int f0/0

router(config-if)#ip access-g test1 in

router(config-if)#ip access-g test2 out

(以上为cisco路由设备上acl的整体配置,到此结束,需要多练,应多了解不同规则策略!下期小猪将给大家整理cisco-sw-三层交换-VLAN间路由协议,敬请关注!)

时间: 2024-08-28 10:32:45

cisco-router-访问控制列表ACL策略的相关文章

ORACLE 11G 存储过程发送邮件(job),ORA-24247:网络访问被访问控制列表 (ACL) 拒绝

ORA-24247:网络访问被访问控制列表 (ACL) 拒绝 需要先使用 DBMS_NETWORK_ACL_ADMIN.CREATE_ACL 创建访问控制列表(ACL),再使用 DBMS_NETWORK_ACL_ADMIN.ASSIGN_ACL 将此 ACL 与邮件服务器相关联,最后使用 DBMS_NETWORK_ACL_ADMIN.ADD_PRIVILEGE 在此 ACL 为用户授与连接邮件服务器的权限. BEGINDBMS_NETWORK_ACL_ADMIN.CREATE_ACL (acl 

Linux权限、组管理和访问控制列表(ACL)

一.用户组管理 创建组 groupad命令: groupadd [OPTION]... group_name     -g GID: 指明GID号:[GID_MIN,GID_MAX]     -r: 创建系统组: CentOS 6: ID<500 CentOS 7:ID<1000 组属性修改 groupmod命令: groupmod [OPTION]... group_name     -g:GID,改变组id     -n:改变组名 groupmod -n mutest mysystem g

IIS中遇到无法预览的问题(HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面。)

在IIS中  依次执行如下操作: 网站--编辑权限--共享(为了方便可以直接将分享对象设置为everyone)--安全(直接勾选 everyone )--应用--确定. IIS中遇到无法预览的问题(HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面.)

文件的权限和访问控制列表(ACL)

前言 文件的权限以及访问控制列表贯穿在整个的Linux使用过程中.我们知道,在Linux 中一切皆文件,因而文件的权限,就自然而然地成为了Linux使用过程中需要频繁接触到的知识内容.而文件权限这一部分地内容,又非常地复杂,因为我们将在这篇文章当中详细地介绍文件的权限,加深自己的理解,同时留作备忘. 本文将通过以下几个方面的内容来介绍文件的权限. 1.文件权限 主要介绍文件的权限,以及每种权限代表着哪些含义. 2.修改文件权限  介绍如何修改文件的权限 3.Linux 系统上特殊文件权限 介绍L

【华为HCNA】访问控制列表ACL实例配置

[华为HCNA]访问控制列表ACL实例配置 ACL的概念访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制.限制网络流量.提高网络性能.防止网络攻击等等. 应用场景在小型企业的网络中,现要求只有经理的PC(源地址是192.168.2.1)才能访问互联 实验目的允许主机B(经理的PC)访问互联网,禁止主机A访问互联网 网络拓扑图如下: 操作步骤 一.配置端口类型

Azure终结点访问控制列表ACL

对于公有云来说,用户最关心的莫过于安全方面的问题了.借助本文,我们来了解下Azure中的访问控制列表. 首先我们来看下什么是终结点访问控制列表ACL? 终结点访问控制列表 (ACL) 是可用于 Azure 部署的安全增强. 利用 ACL,可以选择允许还是拒绝虚拟机终结点的流量. 此数据包筛选功能额外提供了一层安全性. 只能为终结点指定网络 ACL, 无法为虚拟网络或虚拟网络中包含的特定子网指定 ACL. 建议尽可能使用网络安全组 (NSG),而不要使用 ACL. 使用网络 ACL 可以实现以下目

通信导论-访问控制列表ACL原理

访问控制列表ACL:当网络流量不断增长的时候,对数据流进行管理和限制的方法,允许或拒绝数据指令(设置ACL规则前测试网络连通性) 访问控制列表的功能 限制网络流量,提高网络性能 提供对通信流量的控制手段 提供网络访问的基本安全手段 ACL类型 标准ACL:仅以源IP地址为过滤标准 扩展ACL:以源IP地址.目的IP地址.TCP/UDP源端口号等为过滤标准 二层ACL 混合ACL 应用ACL,区分in和out的方向 inbound:进入路由表接口的方向 outbound:出路由表接口的方向 ACL

详解cisco访问控制列表ACL

一:访问控制列表概述 ·访问控制列表(ACL)是应用在路由器接口的指令列表.这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝. ·工作原理:它读取第三及第四层包头中的信息,如源地址.目的地址.源端口.目的端口等.根据预先设定好的规则对包进行过滤,从而达到访问控制的目的. ·实际应用:           阻止某个网段访问服务器. 阻止A网段访问B网段,但B网段可以访问A网段. 禁止某些端口进入网络,可达到安全性. 二:标准ACL ·  标准访问控制列表只检查被路由器路由的数据包的

Cisco之访问控制列表(ACL)

访问控制列表(ACL)是应用在路由器接口的指令列表(即规则),这些规则表用来告诉路由器,哪些数据包可以接收,哪些包需要拒绝.其基本原理如下:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层和第四层包头中的信息,如源地址.目的地址.源端口.目的端口等,根据预先定义的规则,对包进行过滤,从而达到访问控制的目的. ACL可以分为以下两种基本类型: 标准ACL:检查数据包的源地址,来决定是允许还是拒绝转发数据包,使用1-99之间的数字作为表号. 扩展ACL:既能对数据包的源地址和目标地址进行检