一:訪問控制列表概述
·訪問控制列表(ACL)是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數據包可以通過,哪些數據包需要拒絕。
·工作原理:它讀取第三及第四層包頭中的信息,如源地址、目的地址、源端口、目的端口等。根據預先設定好的規則對包進行過濾,從而達到訪問控制的目的。
·實際應用: 阻止某個網段訪問服務器。
阻止A網段訪問B網段,但B網段可以訪問A網段。
禁止某些端口進入網絡,可達到安全性。
二:標准ACL
· 標准訪問控制列表只檢查被路由器路由的數據包的源地址。若使用標准訪問控制列表禁用某網段,則該網段下所有主機以及所有協議都被禁止。 如禁止了A網段,則 A網段下所有的主機都不能訪問服務器,而B網段下的主機卻可以。
用1----99之間數字作為表號
一般用於局域網,所以最好把標准ACL應用在離目的地址最近的地方。
·標准ACL的配置:
router(config)#access-list 表號 deny(禁止) 網段/IP地址 反掩碼
********禁止某各網段或某個IP
router(config)#access-list 表號 permit(允許) any
注:默認情況下所有的網絡被設置為禁止,所以應該放行其他的網段。
router(config)#interface 接口 ******進入想要應用此ACL的接口(因為訪問控制列表只能應用在接口模式下)
router(config-if)#ip access-group 表號 out/in ***** 設置在此接口下為OUT或為IN
其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0 =
router(config)#access-list 10 deny host 192.168.0.1
router(config)#access-list 10 deny 0.0.0.0 255.255.255.255 =
router(config)#access-list 10 deny any
router#show access-lists ******查看訪問控制列表。
·標准訪問控制列表的工作原理。
(每當數據進入路由器的每口接口下,都會進行以下進程。)
注:當配置訪問控制列表時,順序很重要。要確保按照從具體到普遍的次序來排列條目。
如:想要拒絕一個具體的主機地址並且允許其他主機,那么要確保有關這個具體主機的條目最新出現。
三:擴展ACL
·擴展訪問控制列表對數據包源地址、目的地址、源端口、目的端口都進行檢查。若使用擴展訪問控制列表禁止某網段訪問別的網段,則A網段下所有主機不能訪問B網段,而B網段下的主機可以訪問A網段。
用100----199之間數字作為表號
一般用於外網,所以最好把擴展ACL應用在離源地址最近的地方。
·配置擴展訪問控制列表。
router(config)#access-list 表號 deny(禁止) 協議 源IP地址/網段 反掩碼 目的IP地址/網段 反掩碼 eq 端口
******禁止A網段(源網段)下的某協議(或某端口)訪問B網段(目的網段)
router(config)#access-list 表號 permit ip any any
注:擴展ACL默認情況下所有的網絡也被設置為禁止,所以應該放行其他的網段。
router(config)#interface 接口 **********進入想要應用此ACL的接口
router(config-if)#ip access-group 表號 out/in ******激活該接口下咋訪問控制列表,並根據實際情況設置此接口為OUT/in。
·常用端口及所屬協議。
·擴展訪問控制列表的工作原理:
(每當數據進入路由器的每口接口下,都會進行以下進程。)
