标准ACL,扩展ACL,基本ACL,高级ACL

简介: 标准ACL,扩展ACL,基本ACL,高级ACL

其实标准ACL,扩展ACL,基本ACL,高级ACL是同一个概念的不同名称,区别在于:


思科路由器支持标准ACL和扩展ACL两种类型的访问控制列表,没有”基本ACL“和”高级ACL“的概念,而华为路由器都支持

编号范围:


标准ACL:1-99和1300-1999


扩展ACL:100-199和2000-2999


基本ACL:2000~2999


高级ACL:3000~3999


其他概念是一样的:

基本ACL(标准ACL):只能匹配IP地址


高级ACL(扩展ACL):可匹配源IP地址,目的IP地址,源端口,目的端口,第三、四层字段协议


配置的顺序:


系统按照ACL规则编号从小到大顺序进行报文匹配,规则编号越小越容易被匹配。如果有两个或多个ACL规则的匹配条件相互重叠,且规则编号不同,系统将优先匹配规则编号小的ACL规则,而忽略规则编号大的ACL规则。



ACL的应用位置

入接口要先进行ACL的匹配,然后再路由,出接口先进行路由,再进行ACL的匹配



配置的方法:

标准ACL


列表编号为1,拒绝/允许源IP地址为192.168.1.0/24的包


access-list 1 deny/permit 192.168.1.0 0.0.0.255


进入某接口配置模式


int s0


在接口的出去/进来方向,调用编号为1的ACL


ip access-group 1 in/out


扩展ACL


列表编号为100,拒绝/允许源IP地址为192.168.1.0/24,目的IP地址为192.168.2.0/24,使用80端口(HTTP服务)的数据包


access-list 100 deny/permit 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80


进入某接口配置模式


int s0


在接口的出去/进来方向,调用编号为1的ACL


ip access-group 100 in/out


命名规则:


命名标准ACL:其命令格式如下:

ip access-list standard 名字

10 permit IP地址

20 deny IP地址


命名扩展ACL:其命令格式如下:

ip access-list extended 名字

10 permit tcp 源IP地址 目的IP地址 eq telnet

20 deny udp 源IP地址 目的IP地址 eq 520


基本ACL


acl 2000


rule 10 permit source 1.1.1.1 0 time-range 8:00-10:00  


注:time-range可选


int g0/0/1


traffic-filter outbound/inbound acl 2000


高级ACL


acl 3000


rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.4 0 time-range 8:00-10:00  


int g0/0/1


traffic-filter outbound/inbound acl 3000


案例:

在Router上部署基本ACL后,ACL将试图穿越Router的源地址为192.168.1.0/24网段的数据包过滤掉,并放行其他流量,从而禁止192.168.1.0/24网段的用户访问Router右侧的服务器网络



1、Router已完成IP地址和路由的相关配置

2、在Router上创建基本ACL,禁止192.168.1.0/24网段访问服务器网络:

[Router] acl 2000

[Router-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255


[Router-acl-basic-2000] rule permit source any

3、由于从接口GE0/0/1进入Router,所以在接口GE0/0/1的入方向配置流量过滤

[Router] interface GigabitEthernet 0/0/1


[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000


[Router-GigabitEthernet0/0/1] quit


总结:


1.ACL无法删除特定的条目,只能删除整个ACL;

2.ACL只过滤通过路由器的流量,不能过滤自己产生的流量;

3.ACL最后都有一条隐藏语句:deny any/deny ip any any。因此如果ACL都是拒绝语句,一般在最后会加上permit any/permit ip any any,用于放行其余流量;

4.标准ACL要放在靠近目的IP地址的地方,扩展ACL要放在靠近源IP地址的地方;

5.ACL可以同时用在接口的出和入方向上,但在一个接口的一个方向上只能有一个访问列表;

6.ACL对流量从上到下匹配,找到匹配条目马上执行,剩下的条目不再匹配;如果没有匹配则丢弃。因此精细匹配项应该放在前面。


目录
相关文章
|
15天前
|
网络协议 网络虚拟化 数据安全/隐私保护
访问控制列表(ACL)配置
访问控制列表(ACL)配置
访问控制列表(ACL)配置
|
18天前
|
安全 网络协议 网络安全
Cisco-扩展ACL访问控制列表
Cisco-扩展ACL访问控制列表
|
18天前
|
安全 网络安全 数据安全/隐私保护
Cisco-标准ACL访问控制列表
Cisco-标准ACL访问控制列表
|
网络协议 网络安全 数据安全/隐私保护
基本ACL和扩展ACL
基本ACL和扩展ACL
368 0
|
数据安全/隐私保护
访问控制列表 扩展ACL+命名ACL+实战小实验
访问控制列表 扩展ACL+命名ACL+实战小实验
117 0
访问控制列表 扩展ACL+命名ACL+实战小实验
|
网络协议 网络安全 网络虚拟化
配置扩展ACL
要求: 配置全网通 配置扩展ACL 实现 只允许网管区 2.0 网段通过telnet 登录 设备 用户名为benet 密码为 test 只有网络管理员才能访问远程桌面 telnet ssh 登录 服务器 要求所有部门之间不能互通 但可以和网络管理员互通 公司信息安全员 可以访问服务器但不能 访问internet 外网只能访问特定服务器的特定服务
188 0
配置扩展ACL
|
网络协议 数据安全/隐私保护 网络架构
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
183 0
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
|
网络协议 数据安全/隐私保护
ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。
ACL访问控制列表、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。ACL匹配机制详解。ACL的分类与标识,各种ACL的作用区别
ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。
|
网络协议 网络架构