ACL——访问控制列表
ACL--access control list-访问控制列表
访问控制列表有什么做用?
①控制数据包
②匹配感兴趣流量服务器
注意:咱们平时的上网行为就是一个数据包的发送和接收过程,不一样的上网行为对应不一样的数据包。网络
数据包的五元组:
源IP地址 目的IP地址 协议 源端口 目的端口tcp
QQ:电脑上的网卡IP地址 QQ服务器的地址 UDP 电脑上的任意端口 8000ide
PING:发送端的发送接口地址 接收端的接收接口地址 ICMP echo-request echo-reply工具
TELNET:发送端的发送接口地址 被TELNET的设备接收接口地址 TCP 本台设备上的任意端口 23code
ACL的类型:三种blog
①标准的ACL:1-99,标准的ACL只能针对数据包的源IP地址进行控制,不能针对数据包的目的IP地址以及协议号进行控制。删除的时候只能针对一整张列表上的全部条目进行删除。可控性低。
A.经过标准的ACL实现PC不能访问R3:接口
IOU2(config)#access-list 1 deny host 172.16.1.1 --配置列表拒绝目标 IOU2(config)#access-list 1 permit any--末尾隐含拒绝全部,因此须要写一条匹配全部的语句。 IOU2(config)#int e0/0--进入接口调用ACL IOU2(config-if)#ip access-group 1 in
B.使用标准ACL实现PC可以ping R3可是不能TELNET R3:ip
IOU3(config)#access-list 1 deny host 172.16.1.1 IOU3(config)#access-list 1 permit any IOU3(config)#line vty 0 4--只须要在VTY线路上调用ACL,针对从172.16.1.1这个源过来的全部数据流量 IOU3(config-line)#access-class 1 in --对于vty线路来讲,全部的数据要想访问vty都属于in方向。
②拓展的ACL:100-199,拓展的ACL不只可以针对数据包的源,还可以针对数据包的目的端以及协议-端口号进行控制。删除的时候只能针对一整张列表上的全部条目进行删除。可控性低。
A.经过拓展ACL实现PC可以ping R3可是不能TELNET R3:it
IOU3(config)#access-list 101 deny tcp host 172.16.1.1 any eq 23--列表101 拒绝主机172.16.1.1到达本台设备上的全部地址的TELNET功能。(tcp 23端口就是表明telnet,这表写eq 23 或者 eq telnet都行) IOU2(config)#access-list 101 permit ip any any IOU2(config-if)#ip access-group 101 in
③命名的ACL:命名的ACL,是基于标准和拓展ACL的另一种形式,删除的时候能够针对某一条单独的命令进行删除。可控性高。分为命名标准ACL和命名的拓展ACL。
IOU1(config)#ip access-list standard 1 IOU1(config-std-nacl)#permit 1.1.1.0 0.0.0.255 IOU1(config-std-nacl)#permit 1.1.3.0 0.0.0.255 IOU1(config-std-nacl)#permit 1.1.2.0 0.0.0.255 IOU1(config-std-nacl)#no permit 1.1.3.0 0.0.0.255
A.命名的标准ACL:
经过命名的标准ACL实现PC可以ping R3可是不能TELNET R3:
IOU3(config)#ip access-list standard PC IOU3(config-std-nacl)#deny host 172.16.1.1 IOU3(config-std-nacl)#permit any IOU3(config)#line vty 0 4 IOU3(config-line)#access-class PC in
B.命名的标准ACL:
经过命名的拓展ACL实现PC可以ping R3可是不能TELNET R3:
IOU3(config)#ip access-list extended PC IOU3(config-ext-nacl)#deny tcp host 172.16.1.1 any eq 23 IOU3(config-ext-nacl)#permit ip any any IOU3(config)#line vty 0 4 IOU3(config-line)#access-class PC in
ACL的使用规则:
①访问控制列表是根据序号从上往下、有小到大依次执行的,因此最小的序列号通常在最上面。
②访问控制列表本质上是一个匹配工具,在全局模式下配置完成以后,须要进入接口(物理接口、远程的登陆接口、回环接口、NAT)调用,不然无效。一个接口上分为两个方向(进、出),每一个接口的每一个方向上只能调用一个ACL。
③访问控制列表末尾隐含一条拒绝全部的语句,因此配置完ACL以后,须要再写一条容许全部语句,不然就只有列表中容许的那些条目可以经过。该拒绝全部的语句在列表中没法显示。(access-list 1 deny any)
④访问控制列表,匹配完网段之后,后面要跟上反掩码(通配符)。若是没有跟上反掩码的话,默认就是跟上0.0.0.0
⑤访问控制列表只能针对通过或者往返本身的数据包进行控制,不可以对本身产生的数据包进行控制。
将ACL置于网络中时:
①扩展 ACL 应靠近源地址
②标准 ACL 应靠近目的地址
- 1. 访问控制列表ACL
- 2. 访问控制列表(ACL)
- 3. ACL(访问控制列表)
- 4. ACL 访问控制列表
- 5. ACL访问控制列表
- 6. 访问控制列表——ACL
- 7. ACL/访问控制列表
- 8. ACL标准访问控制列表
- 9. 访问控制列表--标准ACL
- 10. 访问控制列表ACL(access control list)
- 更多相关文章...
- • Swift 访问控制 - Swift 教程
- • Scala List(列表) - Scala教程
- • 漫谈MySQL的锁机制
- • Docker容器实战(六) - 容器的隔离与限制
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Appium入门
- 2. Spring WebFlux 源码分析(2)-Netty 服务器启动服务流程 --TBD
- 3. wxpython入门第六步(高级组件)
- 4. CentOS7.5安装SVN和可视化管理工具iF.SVNAdmin
- 5. jedis 3.0.1中JedisPoolConfig对象缺少setMaxIdle、setMaxWaitMillis等方法,问题记录
- 6. 一步一图一代码,一定要让你真正彻底明白红黑树
- 7. 2018-04-12—(重点)源码角度分析Handler运行原理
- 8. Spring AOP源码详细解析
- 9. Spring Cloud(1)
- 10. python简单爬去油价信息发送到公众号
- 1. 访问控制列表ACL
- 2. 访问控制列表(ACL)
- 3. ACL(访问控制列表)
- 4. ACL 访问控制列表
- 5. ACL访问控制列表
- 6. 访问控制列表——ACL
- 7. ACL/访问控制列表
- 8. ACL标准访问控制列表
- 9. 访问控制列表--标准ACL
- 10. 访问控制列表ACL(access control list)