ACL访问控制列表
访问控制列表
TCP和UDP协议
- TCP协议
- UDP协议
访问控制列表概述
- 访问控制列表的工做原理
- 访问控制列表的类型
TCP和UDP协议
TCP
- 传输控制协议
- TCP是面向链接的、可靠的进程到进程的协议
- TCP提供全双工服务,即数据可在同一时间双向传输
- TCP报文段
- TCP将若干个字节构成一个分组,叫报文段
- TCP报文段封装在IP数据报文中
TCP链接
- 经常使用的TCP端口号及其功能
| 端口 | 协议 | 说明 |
|---|---|---|
| 21 | FTP | FTP服务器所开放的控制端口 |
| 23 | TELNET | 用于远程登陆,能够远程控制管理目标计算机 |
| 25 | SMTP | SMTP服务开端的端口,用于发送邮件 |
| 80 | HTTP | 超文本传输协议 |
| 110 | POP3 | 用于邮件的接收 |
UDP
-
用户数据协议服务器
-
无链接、不可靠的传输协议网络
-
花费开销小tcp
-
报文的首部格式ide
源端口号(16) 目标端口号(16) UDP长度(16) UDP校验和(16) - UDP长度:用来指出UDP的总长度,为首部加上数据
- 效验和:用来完成对UDP数据的差错检验,它是UDP协议提供的惟一可靠机制
UDP链接
-
经常使用的UDP端口号及其功能code
端口 协议 说明 69 TFTP 简单的文本传输协议 111 RPC 远程过程调用 123 NTP 网络时间协议
访问控制列表(ACL)
- 读取第三层、第四层包头信息
- 根据预先定义好的规则对包进行过滤
- 访问控制列表的4个元素
- 源地址、目的地址、源端口、目的端口
- 访问控制列表利用这4个元素定义的规则
访问控制列表在接口应用的方向
-
出:已通过里路由器的处理,正离开路由器接口的数据包blog
- 入:已到达路由器接口的数据包,将被路由器处理
- 列表应用到接口的方向与数据方向有关
访问控制列表的处理过程
- 自上而下,逐条匹配,默认隐含拒绝全部
访问控制列表的类型
-
标准访问控制列表接口
- 基于源IP地址过滤的数据包
- 标准访问控制列表的访问控制列表号是1~99
-
扩展访问控制列表进程
- 基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包
- 扩展访问控制列表的访问控制列表号是100~199
- 命名访问控制列表
- 命名访问控制列表容许在标准和扩展访问控制列表中使用名称代替表号
标准访问控制列表的配置
建立ACL
Router(config)#access-list access-list-number
{ permit I. deny } source [ source-wildcard ] //permit:容许数据包经过 deny:拒接数据包经过
删除ACL
Router(config)# no access-list access-list-number
应用实例
- 容许192.168.1.0/24和主机192.168.2.2的流量经过
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 //注意子网掩码写反码 Router(config)# access-list 1 permit192.168.2.2 0.0.0.0 //固定的主机地址能够不写子网掩码,在IP地址前加上关键字host便可 Router(config)# access-list 1 permit host 192.168.2.2
隐含的拒绝语句
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255 //能够将IP地址使用关键字any代替 Router(config)# access-list 1 deny any
将ACL应用于接口
Router(config-i)# ip access-group access-list-number {in lout}
在接口上取消ACL的应用
Router(config-if)# no ip access-group access-list-number {in lout}
扩展访问控制列表的配置
建立ACL
Router(config)# access-list access-list-number { permit | deny }
protocol { source source-wildcard destination destination-wildcard }
[ operator operan ]
删除ACL
Router(config)# no access-list access-list-number
将ACL应用于接口
Router(config-if)# ip access-group access-list-number {in |out}
在接口上取消ACL的应用
Router(config-if)# no ip access-group access-list-number {in lout}
应用实例
Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.00.0.0.255 Router(config)# access-list 101 deny ip any any
命名访问控制列表的配置
建立ACL
Router(config)# ip access-list { standard | extended } access-list-name
//standard:标准命名ACL extended:扩展命名ACL
配置标准命名ACL
Router(config-std-nacl)# [ Sequence-Number ] { permit | deny } source [ source-wildcard ]、
//Sequence-Number决定ACL语句在ACL列表中的位置
配置扩展命名ACL
Router(config-ext-nacl)# [ Sequence-Number] { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]
//Sequence-Number决定ACL语句在ACL列表中的位置
标准命名ACL应用实例
- 只容许来自主机192.168.1.1/24的流量经过
Router(config)# ip access-list standard cisco Rcuter(config-std-nacl)# permit host 192.168.1.1 Router(config-std-nacl)# deny any
- 查看ACL配置信息
Router#show access-lists
Standard IP access list cisco
10 permit 192.168.1.1
20 deny any
- 更改ACL,又容许来自主机192.168.2.1/24的流量经过
Router(config)# ip access-list standard cisco Router(config-std-nacl)#15 permit host 192.168.2.1 //添加序列号为15的ACL语句
- 查看ACL配置信息
Router#show access-lists
Standard IP access list cisco
10 permit 192.168.1.1
15 permit 192.168.2.1 //ACL语句添加到了指定的ACL列表位置
20 deny any
扩展命名ACL应用实例
Router(config)# ip access-list extended cisco Router(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21 Router(config-ext-nacl)# permit ip any any
建立ACL
Router(config)# ip access-list standard cisco
Router(config-std-nacl)# permit host 192.168.1.1
Router(config-std-nacl)#end
Router#show access-lists
Standard IP access list cisco
10 permit 192.168.1.1
删除组中单- - ACL语句
Router(config-std-nacl)# no 10 或 Router(config-std-nacl)#no permit host 192.168.1.1
删除整组ACL
Router(config)# no ip access-list { standard | extended } access-list-name
将ACL应用于接口
Router(config-if)# ip access-group access-list-name {in |out}
在接口.上取消ACL的应用
Router(config-if)# no ip access-group access-list-name {in |out}
相关文章
- 1. 访问控制列表ACL
- 2. 访问控制列表(ACL)
- 3. ACL(访问控制列表)
- 4. ACL 访问控制列表
- 5. ACL访问控制列表
- 6. ACL——访问控制列表
- 7. 访问控制列表——ACL
- 8. ACL/访问控制列表
- 9. ACL标准访问控制列表
- 10. 访问控制列表--标准ACL
- 更多相关文章...
- • Swift 访问控制 - Swift 教程
- • Scala List(列表) - Scala教程
- • 漫谈MySQL的锁机制
- • Docker容器实战(六) - 容器的隔离与限制
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 访问控制列表ACL
- 2. 访问控制列表(ACL)
- 3. ACL(访问控制列表)
- 4. ACL 访问控制列表
- 5. ACL访问控制列表
- 6. ACL——访问控制列表
- 7. 访问控制列表——ACL
- 8. ACL/访问控制列表
- 9. ACL标准访问控制列表
- 10. 访问控制列表--标准ACL