11.Access Control List
为什么要用ACL?
ACL的两大功能:流量控制(包过滤机制)、匹配感兴趣的流量
ACL两种类型:标准型、扩展型
标准访问控制列表:
只能根据源地址做过滤
针对整个协议采取相关动作(允许或禁止)
扩展访问控制列表:
能根据源、目的地地址、端口号(应用层的协议)等等进行过滤
能允许或拒绝特定的协议(传输层或网络层的协议)
ACL的操作
入站(in方向)及出站(out方向)
ACL的存放位置主要看数据方向
每个接口都有入站和出站两个方向,用来做ACL的调用,每个方向只能调用一个ACL
一个方向只能调用一个ACL
入方向的ACL的操作
出方向的ACL的操作
in方向 |
先查ACL |
再查路由表 |
out方向 |
先查路由表 |
再查ACL |
ACL
列表编号:数字或者字符
每个列表包含多个语句
每个语句两个元素:条件(源地址、目的地址、端口号、协议)、动作(允许/拒绝)
逐条匹配、默认拒绝
ACL的匹配:Deny or Permit
ACL的标示
防火墙当路由器来用要放开域间策略
列表:数字(1-99标准/100-199扩展)、字符(随意编排/主要看Standard还是Extended)
多打?去询问
ACL的配置
标准访问控制列表的配置
Router(config)#
access-list access-list-number {permit|deny} source [wildcard mask]
编号选择1-99
通配符若无,默认0.0.0.0
“no access-list access-list-number”将会删除整个ACL列表
例:access-list 11 permit s192.168.1.0 0.0.0.255
例:access-list 11 permit s192.168.1.0 0.0.0.255
如果在最前加no,则整个ACL11被删除
Router(config-if)#
ip access-group access-list-number {in|out}
在接口中应用
应用时关联入或出站方向
“no ip access-group access-list-number”可移除接口上应用的访问列表
通配符(反掩码)
通配符缩写
示例
示例
扩展访问控制列表的配置
Router(config)#
access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]
access-list 编号 动作 协议 源(源端口)目的(目的端口)
Router(config-if)#
ip access-group access-list-number {in|out}
在接口中应用
应用时关联入或出站方向
示例
示例
命名访问控制列表的配置
Router(config)#
ip access-list {standard|extended} name
Router(config {std-|ext-} nacl)#
[sequence-number] {permit|deny} {ip access list test conditions} {permit|deny} {ip access list test conditions}
if not configured, sequence numbers are generated automatically starting at 10 and incrementing by 10
no sequence number removes the specific test from the named ACL
Router(config-if)#
ip access-group access-list-number {in|out}