ACL——訪問控制列表
ACL--access control list-訪問控制列表
訪問控制列表有什麼做用?
①控制數據包
②匹配感興趣流量服務器
注意:咱們平時的上網行爲就是一個數據包的發送和接收過程,不一樣的上網行爲對應不一樣的數據包。網絡
數據包的五元組:
源IP地址 目的IP地址 協議 源端口 目的端口tcp
QQ:電腦上的網卡IP地址 QQ服務器的地址 UDP 電腦上的任意端口 8000ide
PING:發送端的發送接口地址 接收端的接收接口地址 ICMP echo-request echo-reply工具
TELNET:發送端的發送接口地址 被TELNET的設備接收接口地址 TCP 本臺設備上的任意端口 23code
ACL的類型:三種blog
①標準的ACL:1-99,標準的ACL只能針對數據包的源IP地址進行控制,不能針對數據包的目的IP地址以及協議號進行控制。刪除的時候只能針對一整張列表上的全部條目進行刪除。可控性低。
A.經過標準的ACL實現PC不能訪問R3:接口
IOU2(config)#access-list 1 deny host 172.16.1.1 --配置列表拒絕目標 IOU2(config)#access-list 1 permit any--末尾隱含拒絕全部,因此須要寫一條匹配全部的語句。 IOU2(config)#int e0/0--進入接口調用ACL IOU2(config-if)#ip access-group 1 in
B.使用標準ACL實現PC可以ping R3可是不能TELNET R3:ip
IOU3(config)#access-list 1 deny host 172.16.1.1 IOU3(config)#access-list 1 permit any IOU3(config)#line vty 0 4--只須要在VTY線路上調用ACL,針對從172.16.1.1這個源過來的全部數據流量 IOU3(config-line)#access-class 1 in --對於vty線路來講,全部的數據要想訪問vty都屬於in方向。
②拓展的ACL:100-199,拓展的ACL不只可以針對數據包的源,還可以針對數據包的目的端以及協議-端口號進行控制。刪除的時候只能針對一整張列表上的全部條目進行刪除。可控性低。
A.經過拓展ACL實現PC可以ping R3可是不能TELNET R3:it
IOU3(config)#access-list 101 deny tcp host 172.16.1.1 any eq 23--列表101 拒絕主機172.16.1.1到達本臺設備上的全部地址的TELNET功能。(tcp 23端口就是表明telnet,這表寫eq 23 或者 eq telnet都行) IOU2(config)#access-list 101 permit ip any any IOU2(config-if)#ip access-group 101 in
③命名的ACL:命名的ACL,是基於標準和拓展ACL的另一種形式,刪除的時候能夠針對某一條單獨的命令進行刪除。可控性高。分爲命名標準ACL和命名的拓展ACL。
IOU1(config)#ip access-list standard 1 IOU1(config-std-nacl)#permit 1.1.1.0 0.0.0.255 IOU1(config-std-nacl)#permit 1.1.3.0 0.0.0.255 IOU1(config-std-nacl)#permit 1.1.2.0 0.0.0.255 IOU1(config-std-nacl)#no permit 1.1.3.0 0.0.0.255
A.命名的標準ACL:
經過命名的標準ACL實現PC可以ping R3可是不能TELNET R3:
IOU3(config)#ip access-list standard PC IOU3(config-std-nacl)#deny host 172.16.1.1 IOU3(config-std-nacl)#permit any IOU3(config)#line vty 0 4 IOU3(config-line)#access-class PC in
B.命名的標準ACL:
經過命名的拓展ACL實現PC可以ping R3可是不能TELNET R3:
IOU3(config)#ip access-list extended PC IOU3(config-ext-nacl)#deny tcp host 172.16.1.1 any eq 23 IOU3(config-ext-nacl)#permit ip any any IOU3(config)#line vty 0 4 IOU3(config-line)#access-class PC in
ACL的使用規則:
①訪問控制列表是根據序號從上往下、有小到大依次執行的,因此最小的序列號通常在最上面。
②訪問控制列表本質上是一個匹配工具,在全局模式下配置完成以後,須要進入接口(物理接口、遠程的登陸接口、迴環接口、NAT)調用,不然無效。一個接口上分爲兩個方向(進、出),每一個接口的每一個方向上只能調用一個ACL。
③訪問控制列表末尾隱含一條拒絕全部的語句,因此配置完ACL以後,須要再寫一條容許全部語句,不然就只有列表中容許的那些條目可以經過。該拒絕全部的語句在列表中沒法顯示。(access-list 1 deny any)
④訪問控制列表,匹配完網段之後,後面要跟上反掩碼(通配符)。若是沒有跟上反掩碼的話,默認就是跟上0.0.0.0
⑤訪問控制列表只能針對通過或者往返本身的數據包進行控制,不可以對本身產生的數據包進行控制。
將ACL置於網絡中時:
①擴展 ACL 應靠近源地址
②標準 ACL 應靠近目的地址
- 1. 訪問控制列表ACL
- 2. 訪問控制列表(ACL)
- 3. ACL(訪問控制列表)
- 4. ACL 訪問控制列表
- 5. ACL訪問控制列表
- 6. 訪問控制列表——ACL
- 7. ACL/訪問控制列表
- 8. ACL標準訪問控制列表
- 9. 訪問控制列表--標準ACL
- 10. 訪問控制列表ACL(access control list)
- 更多相關文章...
- • Swift 訪問控制 - Swift 教程
- • Scala List(列表) - Scala教程
- • 漫談MySQL的鎖機制
- • Docker容器實戰(六) - 容器的隔離與限制
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. CVPR 2020 論文大盤點-光流篇
- 2. Photoshop教程_ps中怎麼載入圖案?PS圖案如何導入?
- 3. org.pentaho.di.core.exception.KettleDatabaseException:Error occurred while trying to connect to the
- 4. SonarQube Scanner execution execution Error --- Failed to upload report - 500: An error has occurred
- 5. idea 導入源碼包
- 6. python學習 day2——基礎學習
- 7. 3D將是頁遊市場新賽道?
- 8. osg--交互
- 9. OSG-交互
- 10. Idea、spring boot 圖片(pgn顯示、jpg不顯示)解決方案
- 1. 訪問控制列表ACL
- 2. 訪問控制列表(ACL)
- 3. ACL(訪問控制列表)
- 4. ACL 訪問控制列表
- 5. ACL訪問控制列表
- 6. 訪問控制列表——ACL
- 7. ACL/訪問控制列表
- 8. ACL標準訪問控制列表
- 9. 訪問控制列表--標準ACL
- 10. 訪問控制列表ACL(access control list)