ACL訪問控制列表
訪問控制列表
TCP和UDP協議
- TCP協議
- UDP協議
訪問控制列表概述
- 訪問控制列表的工做原理
- 訪問控制列表的類型
TCP和UDP協議
TCP
- 傳輸控制協議
- TCP是面向鏈接的、可靠的進程到進程的協議
- TCP提供全雙工服務,即數據可在同一時間雙向傳輸
- TCP報文段
- TCP將若干個字節構成一個分組,叫報文段
- TCP報文段封裝在IP數據報文中
TCP鏈接
- 經常使用的TCP端口號及其功能
| 端口 | 協議 | 說明 |
|---|---|---|
| 21 | FTP | FTP服務器所開放的控制端口 |
| 23 | TELNET | 用於遠程登陸,能夠遠程控制管理目標計算機 |
| 25 | SMTP | SMTP服務開端的端口,用於發送郵件 |
| 80 | HTTP | 超文本傳輸協議 |
| 110 | POP3 | 用於郵件的接收 |
UDP
-
用戶數據協議服務器
-
無鏈接、不可靠的傳輸協議網絡
-
花費開銷小tcp
-
報文的首部格式ide
源端口號(16) 目標端口號(16) UDP長度(16) UDP校驗和(16) - UDP長度:用來指出UDP的總長度,爲首部加上數據
- 效驗和:用來完成對UDP數據的差錯檢驗,它是UDP協議提供的惟一可靠機制
UDP鏈接
-
經常使用的UDP端口號及其功能code
端口 協議 說明 69 TFTP 簡單的文本傳輸協議 111 RPC 遠程過程調用 123 NTP 網絡時間協議
訪問控制列表(ACL)
- 讀取第三層、第四層包頭信息
- 根據預先定義好的規則對包進行過濾
- 訪問控制列表的4個元素
- 源地址、目的地址、源端口、目的端口
- 訪問控制列表利用這4個元素定義的規則
訪問控制列表在接口應用的方向
-
出:已通過里路由器的處理,正離開路由器接口的數據包blog
- 入:已到達路由器接口的數據包,將被路由器處理
- 列表應用到接口的方向與數據方向有關
訪問控制列表的處理過程
- 自上而下,逐條匹配,默認隱含拒絕全部
訪問控制列表的類型
-
標準訪問控制列表接口
- 基於源IP地址過濾的數據包
- 標準訪問控制列表的訪問控制列表號是1~99
-
擴展訪問控制列表進程
- 基於源IP地址、目的IP地址、指定協議、端口和標誌來過濾數據包
- 擴展訪問控制列表的訪問控制列表號是100~199
- 命名訪問控制列表
- 命名訪問控制列表容許在標準和擴展訪問控制列表中使用名稱代替表號
標準訪問控制列表的配置
建立ACL
Router(config)#access-list access-list-number
{ permit I. deny } source [ source-wildcard ] //permit:容許數據包經過 deny:拒接數據包經過
刪除ACL
Router(config)# no access-list access-list-number
應用實例
- 容許192.168.1.0/24和主機192.168.2.2的流量經過
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 //注意子網掩碼寫反碼 Router(config)# access-list 1 permit192.168.2.2 0.0.0.0 //固定的主機地址能夠不寫子網掩碼,在IP地址前加上關鍵字host便可 Router(config)# access-list 1 permit host 192.168.2.2
隱含的拒絕語句
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255 //能夠將IP地址使用關鍵字any代替 Router(config)# access-list 1 deny any
將ACL應用於接口
Router(config-i)# ip access-group access-list-number {in lout}
在接口上取消ACL的應用
Router(config-if)# no ip access-group access-list-number {in lout}
擴展訪問控制列表的配置
建立ACL
Router(config)# access-list access-list-number { permit | deny }
protocol { source source-wildcard destination destination-wildcard }
[ operator operan ]
刪除ACL
Router(config)# no access-list access-list-number
將ACL應用於接口
Router(config-if)# ip access-group access-list-number {in |out}
在接口上取消ACL的應用
Router(config-if)# no ip access-group access-list-number {in lout}
應用實例
Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.00.0.0.255 Router(config)# access-list 101 deny ip any any
命名訪問控制列表的配置
建立ACL
Router(config)# ip access-list { standard | extended } access-list-name
//standard:標準命名ACL extended:擴展命名ACL
配置標準命名ACL
Router(config-std-nacl)# [ Sequence-Number ] { permit | deny } source [ source-wildcard ]、
//Sequence-Number決定ACL語句在ACL列表中的位置
配置擴展命名ACL
Router(config-ext-nacl)# [ Sequence-Number] { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]
//Sequence-Number決定ACL語句在ACL列表中的位置
標準命名ACL應用實例
- 只容許來自主機192.168.1.1/24的流量經過
Router(config)# ip access-list standard cisco Rcuter(config-std-nacl)# permit host 192.168.1.1 Router(config-std-nacl)# deny any
- 查看ACL配置信息
Router#show access-lists
Standard IP access list cisco
10 permit 192.168.1.1
20 deny any
- 更改ACL,又容許來自主機192.168.2.1/24的流量經過
Router(config)# ip access-list standard cisco Router(config-std-nacl)#15 permit host 192.168.2.1 //添加序列號爲15的ACL語句
- 查看ACL配置信息
Router#show access-lists
Standard IP access list cisco
10 permit 192.168.1.1
15 permit 192.168.2.1 //ACL語句添加到了指定的ACL列表位置
20 deny any
擴展命名ACL應用實例
Router(config)# ip access-list extended cisco Router(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21 Router(config-ext-nacl)# permit ip any any
建立ACL
Router(config)# ip access-list standard cisco
Router(config-std-nacl)# permit host 192.168.1.1
Router(config-std-nacl)#end
Router#show access-lists
Standard IP access list cisco
10 permit 192.168.1.1
刪除組中單- - ACL語句
Router(config-std-nacl)# no 10 或 Router(config-std-nacl)#no permit host 192.168.1.1
刪除整組ACL
Router(config)# no ip access-list { standard | extended } access-list-name
將ACL應用於接口
Router(config-if)# ip access-group access-list-name {in |out}
在接口.上取消ACL的應用
Router(config-if)# no ip access-group access-list-name {in |out}
相關文章
- 1. 訪問控制列表ACL
- 2. 訪問控制列表(ACL)
- 3. ACL(訪問控制列表)
- 4. ACL 訪問控制列表
- 5. ACL訪問控制列表
- 6. ACL——訪問控制列表
- 7. 訪問控制列表——ACL
- 8. ACL/訪問控制列表
- 9. ACL標準訪問控制列表
- 10. 訪問控制列表--標準ACL
- 更多相關文章...
- • Swift 訪問控制 - Swift 教程
- • Scala List(列表) - Scala教程
- • 漫談MySQL的鎖機制
- • Docker容器實戰(六) - 容器的隔離與限制
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 訪問控制列表ACL
- 2. 訪問控制列表(ACL)
- 3. ACL(訪問控制列表)
- 4. ACL 訪問控制列表
- 5. ACL訪問控制列表
- 6. ACL——訪問控制列表
- 7. 訪問控制列表——ACL
- 8. ACL/訪問控制列表
- 9. ACL標準訪問控制列表
- 10. 訪問控制列表--標準ACL