基于cisco的访问控制列表(ACL)

基于cisco的访问控制列表(ACL)

ID:46583045

大小:112.92 KB

页数:5页

时间:2019-11-25

基于cisco的访问控制列表(ACL)_第1页
基于cisco的访问控制列表(ACL)_第2页
基于cisco的访问控制列表(ACL)_第3页
基于cisco的访问控制列表(ACL)_第4页
基于cisco的访问控制列表(ACL)_第5页
资源描述:

《基于cisco的访问控制列表(ACL)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、访问控制列表(ACL)一、访问控制列表概述访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)。这些列表用来告诉路由器,哪些数据包可以接受,哪些数据包需要拒绝。基本原理:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层以及第四层包头的信息,如源地址、目的地址、源端口、目的端口等。1、ACL的工作原理ACL是一组规则的集合,应用在路由器的某个接口上,有两个方向;出:已经过路由器的处理,正离开路由器接口的数据包;入:已达到路由器接口的数据包,将被路由器处理;ACL规则的检查顺序;按照顺序进

2、行检查:如果第一条规则匹配,则不再往下检查,将决定数据包允许或拒绝;如果第一条规则不匹配,则依次往下检查,直到有一条规则匹配,将决定数据包允许或拒绝;如果最后没有任何规则匹配,则路由器根据默认规则处理数据包;2、ACL的类型(1)标准访问控制列表根据数据包的源地址来处理数据包,列表号为:0~99,1300~1999;(2)扩展访问扩展列表根据数据包的源地址、目的地址、指定协议、端口和标志来处理数据包,列表号:100~199,2000~2699;(3)命名访问扩展列表命名访问控制列表允许在标准和扩展中使

3、用名称代替表号;(4)定时访问扩展列表是基于时间控制的访问控制列表;二、ACL的配置1、标准ACL的配置(1)创建ACLRouter(config)#access-listaccess-list-number{permit

4、deny}source-ipsource-wildcardaccess-list-number访问控制列表号,标准ACL:1~99、1300~1999;{permit

5、deny}满足条件后,执行的结果允许或拒绝;source-ip数据包源地址;source-wildcard通配符掩码,也

6、叫反码;例:允许来自网络192.168.1.0/24和主机192.168.2.2的流量通过,标准ACL为:Router(config)#access-list1permit192.168.1.00.0.0.255Router(config)#access-list1permit192.168.2.20.0.0.0或Router(config)#access-list1permithost192.168.2.2①关键字any和hostany代表所有;host代表一台主机;②隐含的拒绝语句每一个ACL都有一条隐

7、含的拒绝语句,拒绝所有流量;Router(config)#access-list1deny0.0.0.0255.255.255.255或Router(config)#access-list1denyany③删除已建立的ACLRouter(config)#noaccess-listaccess-list-number对标准ACL来说,不能删除单条的ACL语句,只能删除整个ACL。这意味着要改变一条或几条ACL语句时,必须要先删除整个ACL,人后输入所要的ACL语句;(2)将ACL应用于接口创建ACL后,只有将

8、ACL应用于接口,ACL才会生效;Router(config-if)#ipaccess-groupaccess-list-number{in

9、out}in是入站接口;out是出站接口;取消在接口上应用的ACL;Router(config-if)#noipaccess-groupaccess-list-number{in

10、out}(3)查看ACL配置Router#showaccess-lists2、扩展ACL的配置(1)创建ACLRouter(config)#access-listaccess-list-nu

11、mber{permit

12、deny}protocol{sourcesource-wildcarddestinationdestination-wildcard}[operatoroperan]access-list-number访问控制列表表号;范围是:100~199、2000~2699;{permit

13、deny}满足条件后,执行的结果允许或拒绝;protocol用来指定协议的类型,如IP、TCP、UDP、ICMP;source-ip数据包源地址;source-wildcard通配符掩码,也叫反码;desti

14、nation数据包目的地址;destination-wildcard通配符掩码,也叫反码;operatoroperan—lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个端口号;例:允许网络192.168.1.0/24访问网络192.168.2.0/24的IP流量通过,而拒绝其他流量:Router(config)#access-list101permitip192.168.1.00.0.0.2551

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。