网络基础-ACL访问控制列表

Posted Friends of the wind

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络基础-ACL访问控制列表相关的知识,希望对你有一定的参考价值。

作用

ACL通过通信流量过滤能力,实现拒绝不希望的访问连接,同时又允许正常的访问连接


TCP和UDP

温馨提示:必须理解基础,才能更轻松掌握ACL使用

传输层主要协议:

1、 TCP 传输控制协议(Transmission Control Protocol)
是面向连接的进程到进程通信的协议,全双工服务,数据可在同一时间双向有序传输,每个TCP都有发送缓存和接收缓存,用来临时存储数据。

TCP 建立连接过程图示:
在这里插入图片描述
TCP 断开连接过程图示:
在这里插入图片描述
常用TCP端口及协议

端口协议
21FTPFTP服务器开放的默认端口
23TELNET远程登录
25SMTPSMTP服务器开放的端口,用于发送邮件
80HTTP超文本传输协议

2、 UDP 用户数据报协议(User Datagram Protocol)

不保证可靠性的传输层协议,包含以下四部分:

源端口号:标识数据发送端的进程
目的端口号:标识数据接收端的进程
UDP长度:表示UDP的首部加上数据的总长度
校验和:对UDP数据进行差错检验

常用UDP端口及协议

端口协议说明
69TFTP简单文件传输协议
111RPC远程过程调用
123NTP网络时间协议

ACL

ACL 访问控制列表(Access Control List)是运用到路由器接口的指令列表。根据规则管理数据包,如源地址、目标地址、端口号等告诉路由器接收哪些数据包、拒绝哪些数据包。

ACL 类型

1、标准ACL 编号1~99之间的整数,只针对数据包源IP地址过滤。
2、扩展ACL 编号100~199之间的整数,可以同时使用源地址和目标地址作为过滤条件,还可以针对不同的协议、端口号、过滤。可更加精细的控制通信流量。
3、命名ACL 允许在标准ACL和扩展ACL中使用名称代替表号。


ACL检查条件
在这里插入图片描述
ACL规则匹配顺序

如果匹配第一条规则,则不再检查;
如果不匹配第一条规则,则依次往下检查,直到有一条规则匹配;
如果没有一条规则匹配,则路由器根据默认规则,丢弃数据包。

ACL的应用方向

ACL是一组规则的集合,应用在路由器的接口,分别是:

出:已经过路由器的处理,正离开接口的数据包;
入:已到达路由器接口的数据包,将被处理。
一个接口,一个方向,只能应用一个ACL

ACL配置

一、标准ACL

1、 创建标准ACL

语法:access-list 表号; 条件(允许、拒绝) ; 数据包的源地址(主机地址、网段) ;反码(1表明不需要匹配检查;0表明严格匹配检查)

允许来自192.168.1.0/24的流量通过
R3 (config) # access-list 1 permit 192.168.1.0 0.0.0.255

解释:正掩码是255.255.255.0反掩码是0.0.0.255前三位是192.168.1严格匹配检查,最后面不需要匹配检查,即此网段任意主机192.168.1.1或192.168.1.100等都可通过。

注意:隐含的拒绝语句,允许此网段流量通过,则表明拒绝其他任意网段流量通过。

2、应用于接口

R3 (config) #interface f1/0
R3 (config-if) #ip access-group 1 in

3、 查看

R3 #show access-lists

二、扩展ACL

1、 创建标准ACL

允许网段192.168.1.0/24访问网段192.168.2.0的流量通过,拒绝其他任何流量。
R3 (config) # access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

2、应用于接口

R3 (config) #interface f1/0
R3 (config-if) #ip access-group 101 in

三、命名ACL

1、 创建标准命名ACL

允许来自192.168.1.1/24的流量通过,拒绝其他流量
R3 (config) # access-list standard cisco 
R3 (config-std-nacl) #permit 192.168.1.1
R3 (config-std-nacl) #deny deny

2、应用于接口

R3 (config) #interface f1/0
R3 (config-if) #ip access-group cisco  in

以上是关于网络基础-ACL访问控制列表的主要内容,如果未能解决你的问题,请参考以下文章

acl访问控制列表

华为HCNA访问控制列表ACL实例配置

ACL访问控制列表——标准IP访问列表(理论+实验)

Azure终结点访问控制列表ACL

ORACLE 11G 存储过程发送邮件(job),ORA-24247:网络访问被访问控制列表 (ACL) 拒绝

配置ACL访问控制列表