概述安全
訪問控制列表是讀取第三層,第四層包頭信息,根據預先定義好的規則對包頭進行過濾。應用在路由器接口的指令列表,這些指令列表用來告訴路由器哪些數據包能夠接收、哪些數據包須要拒絕。
訪問控制是網絡安全防範和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。
訪問控制列表是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數據包能夠收、哪些數據包須要拒絕。至於數據包是被接收仍是拒絕,能夠由相似於源地址、目的地址、端口號等的特定指示條件來決定。
訪問控制列表不但能夠起到控制網絡流量、流向的做用,並且在很大程度上起到保護網絡設備、服務器的關鍵做用。做爲外網進入企業內網的第一道關卡,路由器上的訪問控制列表成爲保護內網安全的有效手段。
此外,在路由器的許多其餘配置任務中都須要使用訪問控制列表,如網絡地址轉換(Network Address Translation,NAT)、按需撥號路由(Dial on Demand Routing,DDR)、路由重分佈(Routing Redistribution)、策略路由(Policy-Based Routing,PBR)等不少場合都須要訪問控制列表。服務器
功能網絡
1)限制網絡流量、提升網絡性能。例如,ACL能夠根據數據包的協議,指定這種類型的數據包具備更高的優先級,同等狀況下可預先被網絡設備處理。
2)提供對通訊流量的控制手段。
3)提供網絡訪問的基本安全手段。
4)在網絡設備接口處,決定哪一種類型的通訊流量被轉發、哪一種類型的通訊流量被阻塞。ide
分類性能
標準訪問控制列表測試
擴展訪問控制列表3d
命名訪問控制列表**blog
訪問控制列表在接口應用的方向接口
出 :已通過路由器處理,正離開路由器接口的數據包網絡安全
入:已到達路由器接口的數據包,將被路由器處理
訪問控制列表的類型
標準訪問控制列表
1 基於源IP地址過濾數據包
2 標準訪問控制列表的訪問控制列表號是1~99擴張訪問控制列表
1 基於源IP地址,目的IP地址,指定協議,端口和標誌來過濾數據包
2 擴展訪問控制列表的訪問控制列表號是100~199
命名訪問控制列表命名訪問控制列表容許在標準和擴展訪問控制列表中使用名稱代替表號
標準訪問控制列表的配置
建立ACL
Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ]
刪除ACL
Router(config)# no access-list access-list-number
實例
禁止主機PC2訪問R1,而容許其它流量
實驗拓撲圖以下所示
1 按拓撲圖配置
2 配置完成,測試互通
3全網互通,按要求配置訪問控制列表
ACL訪問控制列表在路由器或者三層交換上設置,此實驗在R1上配置
4 訪問控制列表配置完成,測試互通