当前位置:   article > 正文

《学习笔记79》—— # 计算机网络 # ACL技术详解:编号ACL和命名ACL

《学习笔记79》—— # 计算机网络 # ACL技术详解:编号ACL和命名ACL

ACL

1. 技术特性

ACL介绍:

访问控制列表(Access Control Lists,ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

分类:
主要使用的是编号ACL命名ACL两种类别。

2. 编号ACL

编号ACL分为编号标准ACL和编号扩展ACL。

  1. 编号标准ACL
  • 特点——因为标准ACL是IP ACL,所以查看的是IP报头。只匹配源IP地址;允许或者拒绝的是完整的协议栈。
  • 编号——1~991300~1999
  • 标准ACL创建命令——access-list 1 deny/permit 192.168.1.0 0.0.0.255,表示列表编号为1,拒绝/允许源IP地址为192.168.1.0/24的包。
  • 标准ACL调用命令——进入某接口配置模式下,使用ip access-group 1 in/out命令,在接口的出去/进来方向,调用编号为1的ACL。
  1. 编号扩展ACL
  • 特点——可以匹配特定的源目IP地址,源目端口;允许或拒绝的可以是特定的协议,如ICMP、TCP等。
  • 编号——100~1992000~2699
  • 标准ACL创建命令——access-list 100 deny/permit 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80,表示列表编号为100,拒绝/允许源IP地址为192.168.1.0/24,目的IP地址为192.168.2.0/24,使用80端口(HTTP服务)的数据包。
  • 标准ACL调用命令——进入某接口配置模式下,使用ip access-group 100 in/out命令,在接口的出去/进来方向,调用编号为100的ACL。

3. 命名ACL

命名ACL分为命名标准ACL和命名扩展ACL,划分准则和标准ACL一致。其特点为管理方便,可以任意增加、删除或者修改特定语句。

  1. 命名标准ACL:其命令格式如下。
    ip access-list standard 名字
    10 permit IP地址
    20 deny IP地址

  2. 命名扩展ACL:其命令格式如下。
    ip access-list extended 名字
    10 permit tcp 源IP地址 目的IP地址 eq telnet
    20 deny udp 源IP地址 目的IP地址 eq 520

4. 总结

  1. 基于编号的ACL无法删除特定的条目,只能删除整个ACL;
  2. ACL只过滤通过路由器的流量,不能过滤自己产生的流量;
  3. ACL最后都有一条隐藏语句:deny any/deny ip any any。因此如果ACL都是拒绝语句,一般在最后会加上permit any/permit ip any any,用于放行其余流量;
  4. 标准ACL要放在靠近目的IP地址的地方,扩展ACL要放在靠近源IP地址的地方;
  5. ACL可以同时用在接口的出和入方向上,但在一个接口的一个方向上只能有一个访问列表;
  6. ACL对流量从上到下匹配,找到匹配条目马上执行,剩下的条目不再匹配;如果没有匹配则丢弃。因此精细匹配项应该放在前面。
本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
  

闽ICP备14008679号