Skip to main content
您好,欢迎光临IDC汇,需要什么服务器直接咨询客服,方便快捷。客服QQ 点击这里给我发消息
首页 > 服务器安全 »正文

CCNA学习笔记11-ACL

服务器安全 webadmin 2020-07-23 08:52:15 查看评论 加入收藏

ACL功能

    过滤:通过过滤经过路由器的数据包来管理IP流量,允许或拒绝经过路由器的数据包或控制是否可以到路由器VTY的访问等。。。

    分类:标识流量以进行特殊处理。×××中;路由协议;NAT;QoS等。。。

◆概述:

    是一个有序的语言集,通过对比报文中的字段与ACL参数,来允许或拒绝报文通过接口

 ACL语句组成:

            条件。用了匹配数据包中的字段

            操作。条件匹配时,采取允许或拒绝的操作。

◆匹配规则:

         序列号自上而下逐条匹配,匹配上就执行操作,没有继续向下匹配。所以配置时要注意从上到下范围是逐级增大。

         默认缺省有一条deny any any ,都没有匹配上就会被拒绝。

        

◆ACL类型

    标准:只检查源IP

    扩展:可以检查源和目的,以及上层的端口号。


 ■标准ACL通常的功能:只能过滤IP数据包头的源IP

                 限制通过VTY线路对路由器的访问(Telnet。ssh)

                 限制通过HTTP或https对路由器的访问

                 过滤路由更新

 配置

     编号或者命名

  编号:access-list 1-99 permit/deny 源IP 掩码

  命名:ip access-list standard 名字

        permit/deny 源IP 掩码

 ■扩展ACL用于扩展报文的过滤能力,可以精确匹配数据。

    源和目的IP、协议、源和目的端口以及特等报文字段中的允许特殊位比较的各种选项

 配置

     编号和命名

    编号 access-list 100-199 permit/deny protocol 源或目的IP 掩码 端口

    命名 ip access-list extended 名字

            permit/deny protocol 源或目的IP 掩码 端口

◆ACL放置原则

    扩展ACL置于离源设备较近的位置。因为基于源和目的控制,避免放到目的设备浪费链路资源

    标准ACL置于离目的设备近的位置,因为只能基于源IP控制,放到源设备的话,沿途链路的设备都会                                    受影响,为了避免影响范围过大,放置到近目的位置

◆ACL指导原则

    每个接口、协议(IP ;ipx;appletalk)、方向只允许有一个ACL

    ACL最具体的语句必须位于列表顶部

    ACL最后有一条隐式拒绝所有,因此每个列表需要至少一条permit语句

    ACL会影响通过接口的流量和速度,但不会过滤路由器本身产生的流量

ACL只匹配穿过路由器的流量,忽略本身产生的。


例子:CCNA学习笔记11-ACL

上图全网跑eigrp协议,宣告直连和loopback口

路由器上过滤VTY

    5个虚拟通道(0-4)

    路由器的vty端口可以过滤数据

    在路由器上执行VTY的访问控制

■标准ACL实例:

  R3:access-list 12 permit 1.1.1.0 0.0.0.255

    line vty 0 4

    pass cisco

    access-class 12 in

  R1:int lo0

   ip add 1.1.1.1 255.255.255.255

   telnet 23.1.1.3 被拒绝

   telnet 23.1.1.3 /source-interface loopback 0 可通!!!

■扩展ACL实例:

    需求,R1用源是1.1.1.1 ping R3  可以通;R1用源是1.1.1.1 telnet R3不通

   R2:access-list 100 permit icmp host 1.1.1.1 host 23.1.1.3  

       access-list 100 deny tcp host 1.1.1.1 host 23.1.1.3 eq 23

       access-list 100 permit eigrp any any

       int f0/0

         ip access-group 100 in

查看,看配置 show access-list

      看接口应用 show ip access-group

默认以10为基数逐条增加,如果要在中间插入

 ip access-list extend 100

   15 permint any any

◆通配符位(反掩码)

  0:(精确匹配)表示匹配对应地址位的值

  1:(任意匹配)表示忽略对应地址位的值

  any: 0.0.0.0 1.1.1.1

  host:172.1.1.1 0.0.0.0


  例:匹配172.30.16.0/24--172.30.31.0/24

      通配符172.30.16.0 0.0.15.255






广告06

微信