一、ACL概述1。1 Access Control List
(訪問控制列表)
重要級別:高!
1。2 ACL的作用
ACL是一種包過濾技術!
1。3 ACL應用場景
路由器上、防火牆上
路由器上就叫ACL!
防火牆上一般稱為策略!策略就是升級版的ACL,策略可以基於IP、埠、協議、應用層資料進行各種過濾
二、ACL怎麼過濾?
ACL是基於資料包中的IP地址、埠號來對資料包進行過濾!
三、ACL的分類3。1 標準ACL
標準——-Standard
表號:1-99或1300-1999
特點:只能基於源IP地址對包進行過濾!
3。2 擴充套件ACL
擴充套件——-Extended
表號:100-199或2000-2699
特點:可以基於源IP地址、目標IP地址、目標埠號、協議等對包進行過濾!
四、ACL的過濾原理4。1 飛哥配置ACL的小技巧
1)先判斷要控制的資料流源和目標,並畫出控制資料流的方向!進而判斷ACL可以寫在哪些路由器上!
2)開啟那臺路由器,開始編寫ACL過濾規則!
3)最後將ACL表應用到某個介面的某個方向才能生效!
4。2 ACL的原理
1)ACL表配置完畢後,必須應用到介面的in或out方向上,才能生效!
2)一個介面的一個方向上只能應用一張表。
3)在所有ACL表的最後都有一條隱藏的拒絕所有條目(大boss) !
4)在匹配ACL時,是嚴格自上而下的匹配每一條的! 匹配成功,則完成動作,沒匹配成功,則繼續匹配下一條,如全部不匹配,則直接丟棄拒絕透過!(一定要注意書寫的先後順序!!)
5)標準ACL因為只能基於源IP對包進行過濾,so建議寫在靠近目標端的地方!
6) 一個ACL編寫完成後,預設情況下,不能刪除某一條,也不能往中間插入新的條目,只能繼續往最後追加新的條目!
4。3 ACL講解原理過程圖
五、ACL命令5。1 標準ACL命令
conf t
access-list 表號 permit/deny 條件
表號:1-99
條件:源IP+反子網掩碼
反子網掩碼:0。0。0。255 0代表嚴格匹配 255代表不需要匹配!
例如:
access-list 1 deny 192。168。1。0 0。0。0。255 # 拒絕源IP為192。168。1。0網段的流量
access-list 1 permit 0。0。0。0 255。255。255。255 # 允許所有網段
access-list 1 deny 192。168。2。1 0。0。0。0 # 拒絕一臺主機/拒絕一個人
簡化:
0。0。0。0 255。255。255。255 == any
192。168。2。1 0。0。0。0 == host 192。168。2。1
簡化後:
access-list 1 deny 192。168。1。0 0。0。0。255 # 拒絕源IP為192。168。1。0網段的流量
access-list 1 permit any # 允許所有網段
access-list 1 deny host 192。168。2。1 # 拒絕一臺主機/拒絕一個人
5。2 擴充套件ACL命令
conf t
access-list 表號 permit/deny 協議 源IP 反掩碼 目標IP 反掩碼 [eq 埠號]
表號:100-199
協議:TCP/UDP/IP/ICMP (當寫了埠號,只能寫tcp或udp)
註釋:ICMP協議就是ping命令所使用的協議,ICMP協議是網路探測協議,ping別人,就是生成ICMP探測包發給對方,然後對方給我回應一個ICMP探測包,代表ping通了!
[ ]:代表可選
以下案例:
conf taccess-list 101 permit tcp 192。168。1。0 0。0。0。255 192。168。6。1 0。0。0。0 eq 80access-list 101 deny ip 192。168。1。0 0。0。0。255 192。168。6。0 0。0。0。255access-list 101 permit ip any any
另外一個案例:
access-list 102 deny icmp 192。168。1。0 0。0。0。255 192。168。6。0 0。0。0。255
access-list 102 permit ip any any
再來一個案例:
acc 103 deny tcp 192。168。1。0 0。0。0。255 host 192。168。6。1 eq 23
acc 103 permit ip 192。168。1。0 0。0。0。255 host 192。168。6。1
acc 103 deny ip any any
再來一個案例:
acc 104 deny ip host 192。168。1。1 any
acc 104 permit ip any any
5。3 將ACL表應用到介面上
int f0/1
ip access-group 102 in/out
exit
5。4 檢視列出所有ACL表
show ip access-list
六、命名ACL6。1 用命名acl建立表的方法
conf t
ip access-list extended 表名
開始從permit/deny編輯每一條即可
編寫完exit退出即可!
6。2 命名ACL的好處
使用命名ACL格式可以任意刪除某一條,也可以插入某一條!
例如:
R1(config)#do sh ip acce
Extended IP access list 120
10 deny icmp any any
20 deny udp 192。168。1。0 0。0。0。255 any eq domain
30 permit ip any any
可以刪除某一條,如需要刪除第二條,做如下操作:
R1(config)#ip access-list extended 120
R1(config-ext-nacl)#no 20
R1(config-ext-nacl)#exit
結果如下:
R1(config)#do sh ip acce
Extended IP access list 120
10 deny icmp any any
30 permit ip any any
R1(config)#
註釋:如需要插入某一條,需要在條目前加數字即可!