ACL總結

1、ACL主要有三個功能:

 

            1. 安全控制

            2. 流量控制

            3. 數據流量標識

 

2、基本原則:       

1 、 每條語句包括兩部分，匹配的條件和所要執行的操做(deny/permit)

   2 、 按順序匹配全部語句,只要有一條知足,則執行相應的操做，再也不繼續匹配

   3 、 若是都不匹配,那麼必定匹配最後的隱含拒絕條目,思科默認的。

   4 、 任何條件下只給用戶能知足他們需求的最小權限

   5 、 不要忘記把ACL應用到端口上

   6 、 ACL的位置，標準訪問控制列表通常離目標近，擴展的通常離源近。

   7 、 每一個接口的每一個方向上只能使用一個訪問控制列表。

   8 、 標準和擴展ACL的單條語句不能刪除或修改，要刪除單條語句，須要刪除整個ACL.但基於命名的標準和擴展ACL，能夠刪除單條語句。

 

通配符的使用：host 192.168.2.3表示特定主機等同於192.168.2.3  0.0.0 .0;

              any 表示全部的源或目標等同於 0.0.0 .0  255.255.255.255

 

3、ACL的兩種基本類型：標準和擴展ACL

 

1 、標準ACL: 根據數據包的源IP地址來容許或拒絕數據包

 

    配置命令:access-list {1-99} {permit|deny} source-ip source-wildcard [log]

 

    說明:wildcard爲反掩碼，用來跟源地址一塊兒決定那些位須要進行匹配，爲1的爲表示不須要進行匹配，0表示須要嚴格匹配; log表示有匹配時生成日誌信息;  標準ACL通常用在離目的最近的地方

 

    例：access-list 1 penmit 192.168.2.0 0.0.0 .255    容許192.168.2.0網段的流量

        accesslist 1 deny host 172.16.4.13             拒絕172.16.4.13主機的流量

     應用到接口：

        router(config-if)#ip  access-group  1-99 {in|out}

 

2 、擴展ACL： 基於數據包的協議、源地址與目標地址、以及端口來對數據包控制。

 

    命令:access-list {100-199} {permit/deny}  protocol source-ip source-wildcard  [operator port] destination-ip destination-wildcard  [operator port] [established][log]

   

與接口關聯： router(config-if)#ip access-group 100-199 {in|out}

 

例: access-list 101 permit tcp 192.168.2.0 0.0.0 .255 gt 1023 host 192.168.1.2 eq 80

     容許192.168.2.0網段的主機訪問主機192.168.1.2的web服務

 

    說明:gt 1023表示全部大於1023的端口,這是由於通常訪問web、ftp等服務器時客戶端的主機是使用一個1023以上的隨機端口;established 表示容許一個已經創建的鏈接的流量,也就是數據包的ACK位已設置的包。

 

3 、命名ACL

     配置命令:

ip access-list {standard/extended}    name

     {permit/deny}source-ip source-wildcard    標準

{permit |deny} protocol source-ip source-wildcard [operator port] destination-ip destination-wildcard  [operatorport]  [established] [log]   擴展

 

     與接口關聯：router(config-if)#ip access-group name  {in|out}

 

    例: ip access-list extended outbound       定義一個名爲outbound的命名ACL

       permit tcp 192.168.2.0 0.0.0 .255 gt 1023 host 192.168.1.2 eq 80 

       容許192.168.2.0網段的主機訪問主機192.168.1.2的web服務

注意：

一、  每條訪問控制列表語句包括兩部份內容，匹配數據包的條件選項和所要執行的操做。

二、  命名的訪問控制列表不是一個新的訪問控制列表類型，它是把以序號定義的訪問控制列表變成以名子定義的訪問控制列表，便於理解。

 

4、ACL的應用

1 、在 VTY 線路作 acl ，只容許以 150.1.1.1 爲源的數據經過

R1(config)# access-list 1 permit 150.1.1.1 0.0.0 .255

R1(config)#line vty 0 4

R1(config-line)#access-class 1 in