思科路由与交换系列--------NA系列
2016-07-13 22:30
253 查看
第八章:
一,ACL--访问控制列表 什么是ACL?
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 Permit-允许,匹配/deny---拒绝,不匹配 ----------------------------------------------一: 什么是ACL1.ACL是思科IOS的工具,标识流量2.ACL是一个清单包含允许和拒绝的的行为3.基于IP包的信息ACL来标识流量4.流量被标识后,不同的行为将被执行5.可以在思科的路由器或交换机上配置ACL 二:ACL的操作ACL执行步骤:1.ACL是一系列允许和拒绝语句的集合2.ACL按照自上而下的语句匹配3.如果执行了允许或拒绝行为则不再往下匹配4.在每一个ACL最后都有一条默认的拒绝所有的条目(deny ip any any) 1,通配符(反掩码)回顾:子网掩码192.168.1.0/24---255.255.255.0(点分十进制)1--表示匹配0--忽略通配符:1--忽略0--匹配 实例说明通配符的使用方法:172.30.16.0/24 ----172.30.31.0/24掩码:255.255.255.0通配符:0.0.?.255 172.30.16.0 0.0.15.255---一个条目匹配了上述16个条目!! 128 64 32 16 8 4 2 10 0 0 1 | 0 0 0 0=16 1 | 0 0 0 1=17。。。。。。。。。。。。。 1 | 1 1 1 1=31―――――――――――――――――――― 0 0 0 0 | 1 1 1 1=15通配符的缩写: 1. 172.30.16.29 0.0.0.0匹配所有地址位 2. 简化通配符也可以使用关键字host (host 172.30.16.29) 3. 0.0.0.0 255.255.255.255 忽略所有地址位 4. 简化通配符也可以使用关键字 any ACL的类型(一)ACL的两个主要类型: 1.Standard ACL(标准)-检查源IP地址-允许或者拒绝所有的协议栈 2.Extended ACL(扩展)-检查源目IP地址-通常允许或拒绝不同的协议和应用两种标识标准和扩展ACL的方法:-序列号 ACLs-命名 ACLs 怎么为配置好的access-list删除个别条目:
比如我们要删除permit 40.1.1.1 这个条目不能直接配置: no access-list 1 这样出现的结果就是全部的条目都没有了而是配置: ip access-list standard 1 然后配置 no permit 40.1.1.1 ,也可以这样插入一个条目。如果想出现在20条目的前面,前面就加上序号: 2,访问控制列表 ACL是思科IOS的工具,目的是标识流量(可以匹配网段/主机、路由条目) ACL是一个清单包含允许(permit)和拒绝(deny)的行为 基于IP包的信息ACL来标识流量 流量被标识后,不同的行为将被执行 可以在思科的路由器或交换机上配置ACL三种类型的ACL:a,IPv4b,IPv6c,非IP流量严重提醒:相同接口相同方向,只能调用一个相同类型的列表3,ACL的操作(执行)过程a,由上而下逐一匹配b,一旦执行某一条目,将不再往下检查列表条目c,严重提醒:任何一个ACL最后,都有一条隐含的拒绝(deny)所有的条目!!! 友情提醒:明细的条目尽力往上放(number靠前)(permit ip host 10.1.1.1 host 172.16.1.3) 粗犷的条目往下放(number靠后)(deny ip 10.1.1.0 0.0.0.255 any )
3,ACL 的表示方式a,标准奥义:标准的访问控制列表只检查(匹配)源!!!b,扩展奥义:扩展的访问控制列表可以检查(匹配)源目IP/端口,以及协议号!!! 数字来区分:标准:1-99(1300-1999)扩展:100-199(2000-2699) 4,访问控制列表的使用实例拓扑
需求一:使用标准的ACL,限制R1访问R2 配置:R2:Access-list 1 deny host 10.1.1.1或者Access-list 1 deny 10.1.1.1 0.0.0.0!Interface fa0/0 ip access-group 1 in ---入向调用ACL或者Interface fa 1/0 ip access-group 1 out --出向调用ACL 需求二:使用扩展的ACL a,禁止R1 ping R3 ,允许R1 telnet R3 b,禁止R1 telnet R4 ,允许R1 ping R4拓扑:
配置:R2:ip access-list extended R1.traffic permit tcp host 10.1.1.1 host 172.16.1.3 eq telnet permit icmp host 10.1.1.1 host 172.16.1.4 deny ip any any log!Interface fa0/0 ip access-group R1.traffic in 讨论:标准和扩展访问控制列表,使用的位置a,标准奥义:只匹配源在离目的越近越好的位置调用!!!b,扩展奥义:匹配源目IP/端口和协议在离源越近越好的位置调用!!
本文出自 “学海无涯” 博客,请务必保留此出处http://shixungan.blog.51cto.com/8883838/1826198
一,ACL--访问控制列表 什么是ACL?
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 Permit-允许,匹配/deny---拒绝,不匹配 ----------------------------------------------一: 什么是ACL1.ACL是思科IOS的工具,标识流量2.ACL是一个清单包含允许和拒绝的的行为3.基于IP包的信息ACL来标识流量4.流量被标识后,不同的行为将被执行5.可以在思科的路由器或交换机上配置ACL 二:ACL的操作ACL执行步骤:1.ACL是一系列允许和拒绝语句的集合2.ACL按照自上而下的语句匹配3.如果执行了允许或拒绝行为则不再往下匹配4.在每一个ACL最后都有一条默认的拒绝所有的条目(deny ip any any) 1,通配符(反掩码)回顾:子网掩码192.168.1.0/24---255.255.255.0(点分十进制)1--表示匹配0--忽略通配符:1--忽略0--匹配 实例说明通配符的使用方法:172.30.16.0/24 ----172.30.31.0/24掩码:255.255.255.0通配符:0.0.?.255 172.30.16.0 0.0.15.255---一个条目匹配了上述16个条目!! 128 64 32 16 8 4 2 10 0 0 1 | 0 0 0 0=16 1 | 0 0 0 1=17。。。。。。。。。。。。。 1 | 1 1 1 1=31―――――――――――――――――――― 0 0 0 0 | 1 1 1 1=15通配符的缩写: 1. 172.30.16.29 0.0.0.0匹配所有地址位 2. 简化通配符也可以使用关键字host (host 172.30.16.29) 3. 0.0.0.0 255.255.255.255 忽略所有地址位 4. 简化通配符也可以使用关键字 any ACL的类型(一)ACL的两个主要类型: 1.Standard ACL(标准)-检查源IP地址-允许或者拒绝所有的协议栈 2.Extended ACL(扩展)-检查源目IP地址-通常允许或拒绝不同的协议和应用两种标识标准和扩展ACL的方法:-序列号 ACLs-命名 ACLs 怎么为配置好的access-list删除个别条目:
比如我们要删除permit 40.1.1.1 这个条目不能直接配置: no access-list 1 这样出现的结果就是全部的条目都没有了而是配置: ip access-list standard 1 然后配置 no permit 40.1.1.1 ,也可以这样插入一个条目。如果想出现在20条目的前面,前面就加上序号: 2,访问控制列表 ACL是思科IOS的工具,目的是标识流量(可以匹配网段/主机、路由条目) ACL是一个清单包含允许(permit)和拒绝(deny)的行为 基于IP包的信息ACL来标识流量 流量被标识后,不同的行为将被执行 可以在思科的路由器或交换机上配置ACL三种类型的ACL:a,IPv4b,IPv6c,非IP流量严重提醒:相同接口相同方向,只能调用一个相同类型的列表3,ACL的操作(执行)过程a,由上而下逐一匹配b,一旦执行某一条目,将不再往下检查列表条目c,严重提醒:任何一个ACL最后,都有一条隐含的拒绝(deny)所有的条目!!! 友情提醒:明细的条目尽力往上放(number靠前)(permit ip host 10.1.1.1 host 172.16.1.3) 粗犷的条目往下放(number靠后)(deny ip 10.1.1.0 0.0.0.255 any )
3,ACL 的表示方式a,标准奥义:标准的访问控制列表只检查(匹配)源!!!b,扩展奥义:扩展的访问控制列表可以检查(匹配)源目IP/端口,以及协议号!!! 数字来区分:标准:1-99(1300-1999)扩展:100-199(2000-2699) 4,访问控制列表的使用实例拓扑
需求一:使用标准的ACL,限制R1访问R2 配置:R2:Access-list 1 deny host 10.1.1.1或者Access-list 1 deny 10.1.1.1 0.0.0.0!Interface fa0/0 ip access-group 1 in ---入向调用ACL或者Interface fa 1/0 ip access-group 1 out --出向调用ACL 需求二:使用扩展的ACL a,禁止R1 ping R3 ,允许R1 telnet R3 b,禁止R1 telnet R4 ,允许R1 ping R4拓扑:
配置:R2:ip access-list extended R1.traffic permit tcp host 10.1.1.1 host 172.16.1.3 eq telnet permit icmp host 10.1.1.1 host 172.16.1.4 deny ip any any log!Interface fa0/0 ip access-group R1.traffic in 讨论:标准和扩展访问控制列表,使用的位置a,标准奥义:只匹配源在离目的越近越好的位置调用!!!b,扩展奥义:匹配源目IP/端口和协议在离源越近越好的位置调用!!
本文出自 “学海无涯” 博客,请务必保留此出处http://shixungan.blog.51cto.com/8883838/1826198
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- css文本显示
- 从系统服务进程访问HKEY_CURRENT_USER主键
- 从军事到民用 拉高数十支VR概念股的一款游戏
- MPLS LDP随堂笔记1
- MPLS LDP随堂笔记1
- css深入理解之margin
- dubbo参数调优说明
- Android架构纵横谈之——软件自愈能力 (1)
- VC++ 系统服务如何让服务进程结束后依赖windows自身把服务重启
- ajax(二)——传值解析
- 第一章 界面的介绍
- vs2012远程调试C#
- NetRouter之物联网篇
- 如何让程序自身防病毒
- C语言实现图的邻接矩阵和BFS DFS
- 安卓中文组
- 欧几里德算法的证明
- mysql 常用函数(二)
- java获取中国时间代码(适用全球任意机器)
- PAT1002