访问控制列表(ACL)总结
ACL学习总结
ACL学习总结ACL(访问控制列表)学习总结一、ACL概述:ACL是由permit或deny组成的一系列有序的规则,它告诉路由器端口处决定哪种类型的通信流量被转发或者被阻塞。
所有的ACL的最后一行上都有隐含的deny语句,且他的顺序不可改变。
ACL主要具有包过滤、服务质量(QoS)、按需拨号路由(DDR)、网络地址转换(NAT)、路由过滤等功能。
ACL的基本原理时使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而到达访问控制的目的。
网络中的节点分为资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。
ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
由于ACL是使用包过滤技术来实现的,过滤的仅仅是第三层和第四层包头中的部分信息,所以ACL技术不可避免的具有一定的局限性。
二、ACL的基本配置:1、配置ACL需要遵循两个基本原则:(1)最小特权原则:只给受控对象完成任务必须的最小权限;(2)最靠近受控对象原则:所有网络层访问权限控制尽可能距离受控对象最近;根据需要,提供两种基于IP的访问表:标准访问表和扩展访问表。
标准访问表只是根据源IP地址来允许或拒绝流量,而扩展访问表允许基于子协议、源地址、源端端口、目的地址,以及目的端口许可或者拒绝流量,甚至还可以过滤基于时间或者用户身份过滤流量。
2、配置ACL的两个重要参数:(1)ACL的表号和名字:ACL的表号和名字都是用来表示或引用ACL的,名字用字符串标识,表号用数据表示,不同协议、不同种类的ACL,其表号范围不同,一般地,1~99用于标准IP ACL,100~199用于扩展IP ACL。
(2)ACL的通配符:配置ACL的源地址或目的地址时,在允许或拒绝的IP地址后面,有一个参数是wildcard-mask——通配符,通配符用32位二进制数表示,表示形式与IP地址和子网掩码相同,而通配符实际上就是子网掩码的反码(如:IP地址202.112.66.1,其掩码是255.255.255.0,则其通配符就是0.0.0.255)2、配置一个标准IP ACL:在全局模式下:命令格式:access-list access-list-number {permit|deny|source wildcard-mask}例:在三层交换机上进行如下配置:access-list 1 permit host 10.1.6.6 anyaccess-list 1 deny anyint vlan 1ip access-group 1 out其中,access-list用于配置ACL的关键字,后面的1就是ACL的表号;host 10.1.6.6是匹配条件,等同于10.1.6.6 0.0.0.0,any表示匹配所有地址;int vlan 1、ip acces-group 1 out:将access-list 1应用到vlan1接口的out方向;3、配置一个扩展IP ACL:在全局配置模式下:(1)、使用access-list命令:命令格式:access-list access-list-number {permit|deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]例:在三层交换机上进行如下配置:int vlan 1no ip access-group 1 outexitno access-list 1access-list 101 permit tcp host 10.1.6.6 any eq telnetaccess-list 101 deny tcp any any eq telnetint vlan 1ip access-group 101 outint vlan 3ip access-group 101 out其中,no access-list 1是用于取消access-list 1,对于非命名的ACL,可以只需要这一句就可以全部取消(注:在取消或修改一个ACL之前,必须先将它所应用的接口上的应用给no掉,否则会导致严重后果);tcp host 10.1.6.6 any eq telnet是匹配条件,完整格式为:协议源地址源wildcards[关系][源端口] 目的地址目的wildcards[关系][目的端口],协议可以是IP、TCP、UDP、EIGRP 等,[]内为可选字段,关系可以是eq(等于)、neq(不等于)、lt(大于)、range(范围)等,端口一般为1-65535.4、配置命名的IP ACL:命名的IP ACL有两个优点:(1)、解决ACL号码不足的问题;(2)可以自由删除ACL中的一条语句,而不必删除整个ACL;5、验证ACL:(1)show running-config:快速显示应用的ACL并且不需要略过过多的输出条目;(2)show ip interface:此命令显示ACL应用的位置;(3)show ip access-lists:该命令具有显示匹配ACL中给定行的数据包数量的能力;三、ACL总结:在把IP ACL应用到网络中时,他的两种分类满足了全部需求。
访问控制列表(ACL)总结配置与应用
三、 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、 命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
扩展 ACL 配置实例
如图:配置允许主机 PC 访问 WEB 服务的 WWW 服务,而禁止主机 PC 访问 WEB 的其他 服务。
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 与标准 ACL 一样,应该尽量把 ACl 应用到入站方向
应用在哪台路由器上。 由于扩展 ACL 可以根据源 IP 地址。目的 IP 地址、指定协议、端口等过滤数据包,
3、 将 ACL 应用于接口
创建 ACL 后,只有将 ACL 应用于接口,ACL 才会生效。 Router(config)#ip access-group access-list-number {in | out }
参数 in|out 用来指示该 ACL 是应用到入站接口(in),还是初战接口(out)。 在接口上取消 ACL 的应用 Router(config)#no ip access-group acess-list-number (in | out)
access-llist-number:访问控制列表表号,对于扩展 ACL 来书是 100-199; permit | deny:如果满足条件,则允许|拒绝该流量; protocol:用于指定协议类型,如 IP、TCP、UDP、ICMP 等; source、destination:源和目的,分别用来表示源地址和目的地址; source-wildcard、destination-wildcard:反码。源地址和目标地址的反码; operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个 端口。
访问控制列表-细说ACL那些事儿(ACL应用篇)
访问控制列表-细说ACL那些事儿(ACL应用篇)铛铛铛铛铛,小伙伴们,小编又跟大家见面了!今天小编继续给大家说说ACL那些事儿,但不再是说ACL的基本概念,也不再说抽象的ACL理论。
这一期,小编将给大家呈现丰富多彩的ACL应用,为大家讲解各个业务模块应用ACL时的处理机制差异、应用方式差异,并且带领大家一起动手配置真实的ACL应用案例。
1ACL应用范围通过前两期的ACL理论学习,大家知道ACL并不能单独完成控制网络访问行为或者限制网络流量的效果,而是需要应用到具体的业务模块才能实现上述功能。
那么ACL到底可以应用在哪些业务中呢?小编总结了一下,ACL应用的业务模块非常多,但主要分为以下四类:2ACL业务模块的处理机制各类ACL应用的业务模块对命中/未命中ACL的处理机制是各不相同的。
例如,在流策略中应用ACL时,如果ACL中存在规则但报文未匹配上,该报文仍可以正常通过;但在Telnet中应用ACL,这种情况下,该报文就无法正常通过了。
再如,在黑名单中应用ACL时,无论ACL规则配置成permit还是deny,只要报文命中了规则,该报文都会被系统丢弃,其他模块却不存在这种情况。
所以,大家在配置ACL规则并应用到业务模块中时,一定要格外小心。
为了方便大家查阅,小编特地将常用ACL业务模块的处理机制进行了整理。
3ACL应用方式每个业务模块的ACL应用方式,风格也是各不相同。
为此,小编同样进行了一番整理,供大家参考查阅。
好啦,有了小编整理的这两张表做参考,配置ACL应用案例就可以轻松搞定啦!下面就跟随小编一起,动手试试吧~4ACL应用案例案例1:使用ACL限制Telnet访问权限为了保障远程维护网络设备的安全性,现要求只有管理员(源地址是10.1.1.1/32)才能telnet要实现这个需求,一定是在Telnet模块中应用ACL。
那么该如何配置ACL规则呢?大家是不是认为应该先配置一条permit规则允许10.1.1.1/32登录,然后再配置多条deny规则拒绝其他地址登录呢?其实大可不必。
项目六 访问控制列表(ACL)
访问控制列表基础知识 标准ACL 扩展ACL
限制用户对内网服务器的访问
一、访问控制列表基础知识
利用访问控制列表技术可以选择地禁止/允许一些用户访问指定的主机或服务,从而达到有效管理网络, 提高网络安全性的目的。
访问控制列表(ACL,Access Control Lists)是应用在路由器(或三层交换机)接口上的指令列表, 用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝并丢弃。
(1)打开本书配套素材“扩展ACL配置实例素材.pkt”,该素材中已配置好了网络中各设备的网络参数,并通 过配置动态路由协议RIP实现了不同网络间的通信。
(2)配置扩展ACL。在路由器Router1上配置扩展ACL,实现PC1可以访问PC4,PC2不能访问PC4。配置过程 如下。
Router1(config)#access-list 100 deny ip host 192.168.11.3 host 192.168.44.2 //通过配置源IP地址和目标IP地址拒绝PC2访问PC4
最有限制性的语句放在ACL的靠前位置,可以首先过滤掉很多不符合条件的数据,节省后面语句的比 较时间,从而提供路由器的工作效率。
二、标准ACL
标准ACL只能通过源地址进行访问过滤,因此只能阻止/允许来自指定IP地址的访问。
配置标准ACL的基本命令包括匹配条件命令和端口绑定命令。
Router(config)#access-list 列表号 permit|deny 源IP地址 反掩码 access-list:访问列表命令。 列表号:标准ACL基于IP的编号范围为0~99。一个ACL列表准ACL
(4)测试配置结果 在PC1和PC2上分别使用ping命令访问PC4,结果如下左图和下右图所示。
访问控制列表-细说ACL那些事儿(初步认识ACL)
访问控制列表-细说ACL那些事儿(初步认识ACL)传闻江湖乱世之时,出现了一门奇招妙计名曰“ACL”。
其变化多端、高深莫测,部署在江湖各处的交换机轻松使上这一招,便能平定乱世江湖。
所以,这ACL也被江湖人士一时传为佳话。
ACL到底是何方秘籍?它拥有什么样的魔力能够平定江湖?今日,且让小编来为大家答疑解惑!ACL,是Access Control List的简称,中文名称叫“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。
这些条件,可以是报文的源地址、目的地址、端口号等。
这样解释ACL,大家是不是觉得太抽象了!好,现在小编换一种解释方式。
打个比方,ACL其实是一种报文过滤器,ACL规则就是过滤器的滤芯。
安装什么样的滤芯(即根据报文特征配置相应的ACL规则),ACL就能过滤出什么样的报文了。
基于过滤出的报文,我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet 登录/FTP文件下载进行控制等等,从而提高网络环境的安全性和网络传输的可靠性。
说到这,大家一定迫不及待的想看看ACL长啥模样。
话不多说,先上图!围绕这张ACL结构图,小编为大家一一介绍ACL的基本概念。
1 ACL分类首先,图中是一个数字型ACL,ACL编号为2000。
这类似于人类的身份证号,用于唯一标识自己的身份。
当然,人类的身份证上不仅有身份证编号,还有每个人自己的名字。
ACL也同样如此,除了数字型ACL,还有一种叫做命名型的ACL,它就能拥有自己的ACL名称。
通过名称代替编号来定义ACL,就像用域名代替IP地址一样,可以方便记忆,也让大家更容易识别此ACL的使用目的。
另外,小编告诉大家,命名型ACL实际上是“名字+数字”的形式,可以在定义命名型ACL 时同时指定ACL编号。
如果不指定编号,则由系统自动分配。
上图就是一个既有名字“deny-telnet-login”又有编号“3998”的ACL。
细心的你,一定会注意到,ACL结构图中的ACL编号是“2000”,而这个例子中的ACL编号是“3998”,两者有什么区别吗?实际上,按照ACL规则功能的不同,ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。
ACL(Access Control List,访问控制列表)
ACL(Access Control List,访问控制列表)技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。
如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。
A公司的某位可怜的网管目前就面临了一堆这样的问题。
A公司建设了一个企业网,并通过一台路由器接入到互联网。
在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。
分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。
每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。
该网络的拓朴如下图所示:自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。
这些抱怨都找这位可怜的网管,搞得他头都大了。
那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。
那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢?ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。
只不过支持的特性不是那么完善而已。
在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。
acl介绍
ACLACL(Access Control List,访问控制列表)是用来实现流识别功能的。
网络设备为了过滤报文,需要配置一系列的匹配规则,以识别出特定的报文,然后根据预先设定的策略允许或禁止该报文通过。
ACL通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。
由ACL定义的报文匹配规则,可以被其它需要对流量进行区分的场合引用,如QoS中流分类规则的定义。
基于时间段的ACL基于时间段的ACL使用户可以根据时间段对报文进行ACL控制。
ACL中的每条规则都可选择一个时间段,这条规则只在该指定的时间段内生效。
如果规则引用的时间段未配置,则系统给出提示信息,并允许这样的规则创建成功。
但是规则不能立即生效,直到用户配置了引用的时间段,并且系统时间在指定时间段范围内ACL规则才能生效。
IPv4的ACLIPv4 ACL分类IPv4 ACL根据ACL序号来区分不同的ACL,IPv4 ACL分为下列四种类型:●基本IPv4 ACL(ACL序号为2000~2999):只根据报文的源IP地址信息制定匹配规则。
●高级IPv4 ACL(ACL序号为3000~3999):根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则。
●二层IPv4 ACL(ACL序号为4000~4999):根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定匹配规则。
●用户自定义IPv4 ACL(ACL序号为5000~5999):可以以报文的报文头、IP头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
IPv4 ACL命名用户在创建IPv4 ACL的同时,可以为ACL指定一个名称。
命名的ACL使用户可以通过名称唯一地确定一个IPv4 ACL,并对其进行相应的操作。
每个IPv4 ACL最多只能有一个名称。
访问控制列表实验报告
访问控制列表实验报告《访问控制列表实验报告》摘要:本实验旨在通过实际操作,了解和掌握访问控制列表(ACL)的基本概念和应用。
通过对ACL的配置和管理,实现对网络资源的访问控制和权限管理。
本文将详细介绍实验的目的、实验环境、实验步骤和实验结果,并对实验过程中遇到的问题和解决方案进行总结和分析。
1. 实验目的访问控制列表(ACL)是一种用于控制网络资源访问权限的重要机制,通过ACL可以对网络流量进行过滤和控制,保护网络安全。
本实验旨在通过实际操作,掌握ACL的基本概念和配置方法,实现对网络资源的访问控制和权限管理。
2. 实验环境本次实验使用了一台路由器和多台计算机组成的局域网,通过路由器进行网络流量的控制和管理。
实验中使用了Cisco路由器,并配置了基本的网络环境和访问控制列表。
3. 实验步骤(1)配置路由器基本网络环境,包括IP地址、子网掩码等;(2)创建访问控制列表,并定义访问控制规则;(3)将访问控制列表应用到路由器的接口上,实现对网络流量的控制和管理;(4)测试ACL的效果,验证ACL对网络流量的过滤和控制。
4. 实验结果通过实验操作,成功创建了访问控制列表,并将其应用到路由器的接口上。
在测试过程中,发现ACL可以有效地对网络流量进行过滤和控制,实现了对特定IP地址或端口的访问限制。
5. 问题与解决在实验过程中,遇到了一些配置和测试中的问题,如ACL规则的定义和应用不当导致网络流量无法正常通过等。
通过查阅资料和与实验指导老师讨论,最终找到了解决方案,并成功完成了实验目标。
6. 总结与展望本次实验通过实际操作,加深了对访问控制列表的理解和应用,掌握了ACL的配置和管理技术。
ACL作为网络安全的重要手段,对于保护网络资源和数据具有重要意义。
未来,可以进一步学习和探索ACL在实际网络环境中的应用,提高网络安全性和管理效率。
通过本次实验,对访问控制列表有了更深入的了解,掌握了其基本配置和应用方法,为今后的网络管理和安全工作奠定了基础。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
访问控制列表(ACL)总结一、什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
二、访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
三、标准访问列表访问控制列表ACL分很多种,不同场合应用不同种类的ACL。
其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL标准访问控制列表的格式:访问控制列表ACL分很多种,不同场合应用不同种类的ACL。
其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。
它的具体格式如下:access-list ACL号permit|deny host ip地址例:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。
当然我们也可以用网段来表示,对某个网段进行过滤。
命令如下:access-list 10 deny 192.168.1.0 0.0.0.255通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。
为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。
注:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。
标准访问控制列表实例一:我们采用如图所示网络结构。
路由器连接二个网段,分别为172.16.4.0/24,172.16.3.0/24。
在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。
实例1:禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。
172.16.4.13可以正常访问172.16.3.0/24。
路由器配置命令:access-list 1 permit host 172.16.4.13 设置ACL,容许172.16.4.13的数据包通过。
access-list 1 deny any 设置ACL,阻止其他一切IP地址进行通讯传输。
int e 1 进入E1端口。
ip access-group 1 in 将ACL 1宣告。
经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。
来自其他IP地址的数据包都无法通过E1传输。
注:由于CISCO默认添加了DENY ANY的语句在每个ACL中,所以上面的access-list 1 deny any这句命令可以省略。
另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告,宣告结果和上面最后两句命令效果一样。
标准访问控制列表实例二:配置任务:禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问,而172.16.4.0/24中的其他计算机可以正常访问。
路由器配置命令:access-list 1 deny host 172.16.4.13 设置ACL,禁止172.16.4.13的数据包通过access-list 1 permit any 设置ACL,容许其他地址的计算机进行通讯int e 1 进入E1端口ip access-group 1 in 将ACL1宣告,同理可以进入E0端口后使用ip access-group 1 out来完成宣告。
配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯,传输数据包。
总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。
应用比较广泛,经常在要求控制级别较低的情况下使用。
如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。
四、扩展访问控制列表上面提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。
如果我们希望将过滤细到端口怎么办?或者希望对数据包的目的地址进行过滤。
这时候就需要使用扩展访问控制列表了。
使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。
扩展访问控制列表使用的ACL号为101到199。
扩展访问控制列表的格式:access-list ACL标号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]例:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。
注:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。
扩展访问控制列表实例:我们采用如图所示网络结构。
路由器连接二个网段,分别为172.16.4.0/24,172.16.3.0/24。
在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。
配置任务:禁止172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可以访问172.16.4.13上的WWW服务,而其他服务不能访问。
路由器配置命令:access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置ACL101,容许源地址为任意IP,目的地址为172.16.4.13主机的80端口即WWW服务。
由于CISCO默认添加DENY ANY 的命令,所以ACL只写此一句即可。
int e 1 进入E1端口ip access-group 101 out 将ACL101宣告出去设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了,就算是服务器172.16.4.13开启了FTP服务也无法访问,惟独可以访问的就是172.16.4.13的WWW服务了。
而172.16.4.0的计算机访问172.16.3.0的计算机没有任何问题。
扩展ACL有一个最大的好处就是可以保护服务器,例如很多服务器为了更好的提供服务都是暴露在公网上的,这时为了保证服务正常提供所有端口都对外界开放,很容易招来黑客和病毒的攻击,通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉,降低了被攻击的机率。
如本例就是仅仅将80端口对外界开放。
总结:扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/ 目的地址,还要读取第四层包头中的源端口和目的端口的IP。
不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器CPU资源。
所以当使用中低档路由器时应尽量减少扩展ACL 的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。
五、基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。
也就是说修改一条或删除一条都会影响到整个ACL列表。
这一个缺点影响了我们的工作,为我们带来了繁重的负担。
不过我们可以用基于名称的访问控制列表来解决这个问题。
一、基于名称的访问控制列表的格式:ip access-list [standard|extended] [ACL名称]例如:ip access-list standard softer就建立了一个名为softer的标准访问控制列表。
二、基于名称的访问控制列表的使用方法:当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。
例如我们添加三条ACL规则permit 1.1.1.1 0.0.0.0permit 2.2.2.2 0.0.0.0permit 3.3.3.3 0.0.0.0如果我们发现第二条命令应该是2.2.2.1而不是2.2.2.2,如果使用不是基于名称的访问控制列表的话,使用no permit 2.2.2.2 0.0.0.0后整个ACL信息都会被删除掉。
正是因为使用了基于名称的访问控制列表,我们使用no permit 2.2.2.2 0.0.0.0后第一条和第三条指令依然存在。
总结:如果设置ACL的规则比较多的话,应该使用基于名称的访问控制列表进行管理,这样可以减轻很多后期维护的工作,方便我们随时进行调整ACL规则。
六、反向访问控制列表:我们使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面,那就是防范病毒,我们可以将平时常见病毒传播使用的端口进行过滤,将使用这些端口的数据包丢弃。
这样就可以有效的防范病毒的攻击。
不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效,毕竟未知病毒使用的端口是我们无法估计的,而且随着防范病毒数量的增多会造成访问控制列表规则过多,在一定程度上影响了网络访问的速度。