访问控制列表(ACL)

1、标准的访问控制列表

一、ACL基本概念

1、概念

  • 一种基于包过滤的访问控制技术(拆网络层的IP地址),广泛应用于路由器和三层交换机中,基于数据包的五元组(源IP、目的IP、源端口、目的端口、协议)进行过滤
  • 读取三层(网络层)(源IP和目的IP)和四层(传输层)(源端口和目的端口)

2、工作原理

  • 数据的流量走向(确定路由器的入口或出口,建议是入口,从而减少路由器路由的工作量)
  • 检查规则,查看是否匹配,如果匹配,再看是否允许,若被拒绝,直接丢弃;如果不匹配,继续查看下一条,如此类推,如果最后一条都没匹配,直接拒绝(隐含的拒绝)

3、访问控制列表分类(思科设备)

  • 标准

    • 基于源IP地址进行控制
    • 表号:1-99

  • 扩展

    • 基于源IP、目的IP、指定协议、端口号、标志位 来过滤
    • 表号:100-199

  • 命令

    • 没有表号,使用名字作为表号
    • 直接使用standard标识标准ACL,extended标识扩展ACL

4、配置

  • 配置标准的访问控制列表

注:

192.168.10.0 	255.255.255.0				//表示一个网段
192.168.10.10 	255.255.255.0 				//表示网络范围中的一个节点
192.168.10.10	255.255.255.255				//表示单个主机

路由器0配置:

access-list 1 deny host 192.168.10.10				//host表示一台主机,192.168.10.10是其IP
或
access-list 1 deny 192.168.10.10 0.0.0.0			//直接使用IP地址,但因为目的是一台主机,所以反码为0.0.0.0
# 1 表示表号

access-list 1 permit any							//表示所有
int g0/0
ip access-group 1 in 
# 1 表示表号,in是根据数据流在此接口的进出,若数据流从该节点进去,使用in,从该节点出来,使用out

注:先设置拒绝的,再设置允许的

5、ACL的应用规则

  • 在一个接口的一个方向上只能应用一个访问控制列表

    access-list 1 deny host 192.168.1.1
access-list 2 deny host 192.168.2.1
int f0/0
int access-group 1 in 
int access-group 2 in 					//此条目无法应用
int access-group 2 out					//此条目可以应用

二、扩展ACL

注:

  • 配置ACL之前,首先需要网络互通
  • 网络路由器较多的时候,需要确定在哪一台路由器上配置ACL
  • 确定了配置的路由器后,需要确定配置在入口还是出口

1、思路

  • 配置在离主机近的路由器上
  • 能配置在一个表内尽量配置在一个表内
  • 减少路由器的工作量
  • 要么多个表应用在不同的入口上
  • 要么一个表应用在出口上

2、实验

路由器0配置

access-list 100 deny icmp any host 192.168.30.30
	#icmp表示的是ping的协议,any是源IP,host是目的IP
access-list 100 deny udp host 192.168.10.10 host 192.168.30.30 eq 53
	#DNS服务是基于UDP的53端口,所以用udp
	host 192.168.10.10是源IP地址
	host 192.168.30.30是目的IP地址
	eq 表示相等
	53表示端口
access-list 100 deny tcp host 192.168.20.20 host 192.168.30.30 eq 80
	#http服务基于tcp的80端口,所以用tcp
	host 192.168.20.20是源IP地址
	host 192.168.30.30是目的IP地址
	eq表示相等
	80表示端口
access-list 100 permit ip any any

int g0/2
ip access-group 100 out

三、命名ACL

1、优点

  • 可以在某一个表内删除单条ACL或插入一条ACL

    ip access-list extended test
no 10
#10是ACL条目的序号

    ip access-list extended test
1 deny icmp host 192.168.10.10 host 192.168.30.30
# 1 是ACL条目的序号,默认为10,命名之后可以自动排序

2、实验

路由器0配置:

ip access-list extended test
deny ip host 192.168.10.10 host 192.168.30.30
deny tcp host 192.168.20.20 host 192.168.30.30 eq 80
deny icmp host 192.168.20.20 host 192.168.30.30
permit ip any any
exit
int g0/2
ip access-group test out

四、删除访问控制列表

1、在删除访问控制列表之前,需要先从应用的接口上取消

2、不管是标准的ACL还是扩展的ACL删除时都是删除整个表中的ACL(不管有多少条都会一次性把整个表删除掉)

posted on 2022-07-03 17:39  大咸鱼8125  阅读(1353)  评论(0)    收藏  举报