网络基础-ACL访问控制列表
Posted Friends of the wind
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络基础-ACL访问控制列表相关的知识,希望对你有一定的参考价值。
作用
ACL通过通信流量过滤能力,实现拒绝不希望的访问连接,同时又允许正常的访问连接。
TCP和UDP
温馨提示:必须理解基础,才能更轻松掌握ACL使用
传输层主要协议:
1、 TCP 传输控制协议(Transmission Control Protocol)
是面向连接的进程到进程通信的协议,全双工服务,数据可在同一时间双向有序传输,每个TCP都有发送缓存和接收缓存,用来临时存储数据。
TCP 建立连接过程图示:
TCP 断开连接过程图示:
常用TCP端口及协议
端口 | 协议 | |
---|---|---|
21 | FTP | FTP服务器开放的默认端口 |
23 | TELNET | 远程登录 |
25 | SMTP | SMTP服务器开放的端口,用于发送邮件 |
80 | HTTP | 超文本传输协议 |
2、 UDP 用户数据报协议(User Datagram Protocol)
不保证可靠性的传输层协议,包含以下四部分:
源端口号:标识数据发送端的进程
目的端口号:标识数据接收端的进程
UDP长度:表示UDP的首部加上数据的总长度
校验和:对UDP数据进行差错检验
常用UDP端口及协议
端口 | 协议 | 说明 |
---|---|---|
69 | TFTP | 简单文件传输协议 |
111 | RPC | 远程过程调用 |
123 | NTP | 网络时间协议 |
ACL
ACL 访问控制列表(Access Control List)是运用到路由器接口的指令列表。根据规则管理数据包,如源地址、目标地址、端口号等告诉路由器接收哪些数据包、拒绝哪些数据包。
ACL 类型
1、标准ACL 编号1~99之间的整数,只针对数据包源IP地址过滤。
2、扩展ACL 编号100~199之间的整数,可以同时使用源地址和目标地址作为过滤条件,还可以针对不同的协议、端口号、过滤。可更加精细的控制通信流量。
3、命名ACL 允许在标准ACL和扩展ACL中使用名称代替表号。
ACL检查条件
ACL规则匹配顺序
如果匹配第一条规则,则不再检查;
如果不匹配第一条规则,则依次往下检查,直到有一条规则匹配;
如果没有一条规则匹配,则路由器根据默认规则,丢弃数据包。
ACL的应用方向
ACL是一组规则的集合,应用在路由器的接口,分别是:
出:已经过路由器的处理,正离开接口的数据包;
入:已到达路由器接口的数据包,将被处理。
一个接口,一个方向,只能应用一个ACL
ACL配置
一、标准ACL
1、 创建标准ACL
语法:access-list 表号; 条件(允许、拒绝) ; 数据包的源地址(主机地址、网段) ;反码(1表明不需要匹配检查;0表明严格匹配检查)
允许来自192.168.1.0/24的流量通过
R3 (config) # access-list 1 permit 192.168.1.0 0.0.0.255
解释:正掩码是255.255.255.0反掩码是0.0.0.255前三位是192.168.1严格匹配检查,最后面不需要匹配检查,即此网段任意主机192.168.1.1或192.168.1.100等都可通过。
注意:隐含的拒绝语句,允许此网段流量通过,则表明拒绝其他任意网段流量通过。
2、应用于接口
R3 (config) #interface f1/0
R3 (config-if) #ip access-group 1 in
3、 查看
R3 #show access-lists
二、扩展ACL
1、 创建标准ACL
允许网段192.168.1.0/24访问网段192.168.2.0的流量通过,拒绝其他任何流量。
R3 (config) # access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
2、应用于接口
R3 (config) #interface f1/0
R3 (config-if) #ip access-group 101 in
三、命名ACL
1、 创建标准命名ACL
允许来自192.168.1.1/24的流量通过,拒绝其他流量
R3 (config) # access-list standard cisco
R3 (config-std-nacl) #permit 192.168.1.1
R3 (config-std-nacl) #deny deny
2、应用于接口
R3 (config) #interface f1/0
R3 (config-if) #ip access-group cisco in
以上是关于网络基础-ACL访问控制列表的主要内容,如果未能解决你的问题,请参考以下文章