反掩码与ACL
思科网络配置-ACL
思科⽹络配置-ACL1、标准ACL Router(config)# access-list access-list-number {permit | deny | remark} source [mask] Router(config-if)# ip access-group access-list-number {in | out} *表号------- 1 to 99 *缺省的通配符掩码 0.0.0.0 *no access-list access-list-number 移除整个ACL *remark 给访问列表添加功能注释 *mask 反掩码2.扩展ACL 扩展访问控制列表是⼀种⾼级的ACL,配置命令的具体格式如下: access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝] 例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务(WWW)TCP连接的数据包丢弃。
⼩提⽰:同样在扩展访问控制列表中也可以定义过滤某个⽹段,当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。
表号 100 to 199 3.命名访问控制列表 命名访问控制列表格式: ip access-list {standard/extended} <access-list-name>(可有字母,数字组合的字符串) 例如:ip access-list standard softer //建⽴⼀个名为softer的标准访问控制列表。
1. router(config)#ip access-list standard +⾃定义名2. router(config-std-nac1)#11 permit host +ip //默认情况下第⼀条为10,第⼆条为20.如果不指定序列号,则新添加的ACL被添加到列表的末尾3. router(config-std-nac1)#deny any4. router(config)#ip access-list standard benet5. router(config-std-nasl)#no 116. 使⽤show access-lists可查看配置的acl信息ACL的过滤流程: 1、按顺序的⽐较:先⽐较第⼀⾏,如果不匹配,再⽐较第⼆⾏,依次类推直到最后⼀⾏ 2、从第⼀⾏起,直到找到⼀个符合条件的⾏,符合以后就不再继续⽐较下去 3、默认在每个ACL中的最后⼀⾏为隐含的拒绝,最后要加pemint any,使其他的⽹络可通。
反掩码详解
反掩码详解————————————————————————————————作者: ————————————————————————————————日期:ﻩ反掩码详解在配置路由协议的时候(如OSPF、EIGRP )使用的反掩码必需是连续的1即网络地址。
例:route ospf 100 network 192.168.1.00.0.0.255 network 192.168.2.00.0.0.255 而在配置ACL的时候可以使用不连续的1,只需对应的位置匹配即可。
例:access-list 1 permit 198.78.46.0 0.0.11.255ﻫ正掩码和反掩码的区别:正掩码必须是连续的,而反掩码可以不连续,例如:C类地址子网掩码中不可以出现255.253.255.0(二进制为111111111111110111111111 00000000)这样的掩码;而反掩码可以出现0.0.0.2(二进制为00000 00000)。
正掩码表示的路由条目,而反掩码表示的范围。
反掩码就是通配符掩码,通过标记0和1告诉设备应该匹配到哪位。
在反掩码中,相应位为1的地址在比较中忽略,为0的必须被检查.IP地址与反掩码都是32位的数例如掩码是255.255.255.0 wildcard-mask 就是0.0.0.255255.255.255.248 反掩就是0.0.0.7通配符掩码(wildcard-mask)ﻫ路由器使用的通配符掩码(或反掩码)与源或目标地址一起来分辨匹配的地址范围,它跟子网掩码刚好相反。
它像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。
这个地址掩码对使我们可以只使用两个32位的号码来确定IP地址的范围。
这是十分方便的,因为如果没有掩码的话,你不得不对每个匹配的IP客户地址加入一个单独的访问列表语句。
这将造成很多额外的输入和路由器大量额外的处理过程。
ACL(访问控制列表)的应用
ACL的应用一、概述属于IOS包过滤防火墙的一部分,但是现在不仅仅是用在这个方面。
现在可以应用在:1、data plan 通过一些对数据包的匹配,抓到数据包对数据包进行丢弃或者转发等操作(对象:数据包、数据帧)2、control plan 对路由条目的匹配,对路由条目执行策略(路由条目)二、理论以及命令全局模式下:access-list<1-99> IP标准访问控制列表<100-199>IP扩展访问控制列表<200-299>协议类型代码访问控制列表没有明确标准的应用的流量<300-399>DECnet 访问控制列表<700-799>48bit MAC地址访问控制列表<1100-1199>扩展的48bit MAC地址访问控制列表<1300-1999>IP标准访问控制列表<2000-2699>IP扩展访问控制列表这些包含了常见的IP的二层协议和三层协议1、标准只能匹配协议中的一个地址(源地址)命令access-list 1 permit(允许)/deny(拒绝)/remark hostname/x.x.x.x/any(所有主机通配符32个1)/host(一台单一主机通配符32个0)掩码:/nn&x.x.x.x log/<cr>例子access-list 1 permit 1.1.1.1访问控制列表必须在某种技术环节下调用,否则不存在任何意义。
一般调用在接口下,比较常用。
调用的时候有方向:in或者out注意:每条访问控制列表后面都有一个隐式拒绝一个编号的访问控制列表可以使用多行,默认一般都是以10 开始编号,间隔是10,最大是2147483647。
一般认为无上限。
ACL书写的时候注意,是金字塔式的,从上到下,匹配的范围越来越大。
因为ACL 一旦匹配,就会立即执行动作,不会放到后一条。
例子:first:deny 192.168.1.0Second:permit 192.168.0.0Third:deny 192.0.0.0ACL使用反掩码(标识一个子网的范围)和通配符(不连续)确定所写的网段的路由范围反掩码与通配符的不同,是通配符不用连续例子:192.168.1.0 192.168.3.0 192.168.5.0 如何用通配符匹配192.168.1.0 192.168.00000001.0192.168.3.0 192.168.00000011.0192.168.5.0 192.168.00000101.0红位标注为不一致的地方,其他均为一致的地方,一致的地方使用0标识不一致的地方使用1标识,而且匹配IP地址最后的几个比特不做严格限制,最后结果是:192.168.1.0(3.0、5.0都行最后默认都会变成1.0)0.0.6.255(通配符)网络号是匹配路由的时候使用,IP是对数据包进行匹配show ip access-lists 查询出匹配了多少包clear ip access-lists counters [acl num]/<cr>没加反掩码或者通配符的话,那么后面自动跟上0.0.0.0如果先permit any 再permit 明细的话,会报错。
反掩码
ACL中 wildcard-mask的各种使用方法 -------------------------------------------------------------------------------2009-03-15 16:33:05 标签:ACL wildcard [推送到技术圈]
反掩码 这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 ACL里的掩码也叫inverse mask(反掩码)或wildcard mask(通配符掩码),由32位长的2进制数字组成,4个八位位组.其中0代 表必须精确匹配,1代表任意匹配(即不关心) 反掩码可以通过使用255.255.255.255减去正常的子网掩码得到, 比如要决定子网掩码为255.255.255.0的IP地址172.16.1.0的反掩码: 255.255.255.255-255.255.255.0=0.0.0.255 即 172.16.1.0的反掩码为0.0.0.255
A>> 就是255.255.255.255 - subnet-mask 即 subnet-mask + wildcard-mask = 255.255.255.255 例:
1 使用一条ACL表示 172.16.0.0/24 答:
wildcard-maks = 255.255.255.255 - 255.255.255 permit 172.16.0.0 0.0.0.255 2 使用一条ACL将 下列条目都包括: 172.16.0.0/24 , 172.16.1.0/24 , 172.16.2.0/24 , 172.16.3.0/24 答: 0 0000 0000 1 0000 0001 2 0000 0010 3 0000 0011
ACL技术详解
•ACL :Access Control List ,访问控制列表ACL••ACL由一条或多条规则组成•每条规则必须选择动作:允许或拒绝•每条规则都有一个id 序列号(默认=5,间隔=5)•ACL 工作原理:序列号越小越先进行匹配•只要有一条规则和报文匹配,就停止查找,称为命中规则•查找完所有规则,如果没有符合条件的规则,称为未命中规则•ACL创建后,必须将其应用到某个接口或其他技术内才会生效•应用在接口时必须选择方向:入站或出站(相对设备来判断)•每个接口在每个方向上只可应用一个ACL •不能过滤由设备自己产生的数据•••ACL类型:分为数字型ACL和命名型ACL。
•192.168.0.1 0.0.0.0/0匹配一个主机地址192.168.0.0 0.0.0255匹配一个网段正掩码、反掩码、通配符区别:192.168.0.1 0.0.0.254匹配网段内奇数地址192.168.0.0 0.0.0.254匹配网段内偶数地址any=0.0.0.0 255.255.255.255匹配所有地址•acl 2000创建一个基本ACL rule 5deny/permit source 192.168.1.0 0.0.0.255配置ACL 的规则:拒绝或允许源地址为192.168.1.0/24网段内的所有流量acl 3000创建一个高级ACLrule 5deny/permit tcp source 192.168.1.0 0.0.0.255 destination 8.8.8.8 0destination-port eq 80配置ACL 的规则:拒绝或允许源地址为192.168.1.0/24网段内到8.8.8.8的HTTP 流量traffic-filter inbound/outbound acl 2000在接口调用ACL 过滤流量display acl 2000验证ACLdisplay traffic-filter applied-record查看设备上所有基于ACL 调用情况•ACL配置:••••基本ACL 尽量调用在离目标最近的出站接口•高级ACL 尽量调用在离源头最近的入站接口••ACL 接口调用方向的建议:。
H3CACL介绍及配置
H3C ACL介绍及配置ACL配置(一般在路由器防火墙等设备上做设置):ACL配置分类:基本ACL:编号范围2000-2999扩展或高级ACL:编号:3000-3999二层ACL:编号:4000-4999自定义ACL:编号:5000-5999[sys] firewall enable 开启过滤防火墙(在路由器和防火墙上使用) [sys] firewall default permit | deny 修改缺省规则(默认是permit)[sys] acl number xxxx根据实际情况选择ACL类别[sys-acl-basic-2000] rule (rule ID 规则编号可选) deny | permit source ip 地址反掩码[sys] int e0/1/2[sys-ethernet0/1/1] firewall packet-filter acl编号inbound | outbound 在接口应用ACL[sys] dispaly acl all 查看配置的ACL信息[sys] dis firewall-statistics all 查看防火墙统计信息<sys>reset firewall-statistics all 清除防火墙统计信息<sys> resetacl counter acl编号/all 清除ACL统计信息ACL规则匹配顺序:ACL支持两种顺序:config配置顺序(按照手动配置的先后顺序进行匹配)和auto 自动排序(按照深度优先的顺序进行匹配,即地址范围小的规则被优先进行匹配)默认的顺序是CONFIG(配置顺序)修改默认的匹配顺序:[sys] acl number ACL编号match-order auto | config基本ACL的“深度优先”顺序判断原则:1、先比较源IP地址范围,源IP地址范围越小(反掩码中“0”位的数量越多)的规则优先2、如果源IP地址范围相同,则先配置的规则优先高级ACL的“深度优先”顺序判断原则:1、先比较协议范围,指定了IP协议承载的协议类型的规则优先2、如果协议相同,则比较源IP地址,源IP地址范围越小的规则优先3、如果源IP地址相同,则比较目标地址范围,目标IP地址范围越小的规则优先4、如果目标IP地址相同,则比较第四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先5、如果上述范围都相同,则先配置的规则优先网络中配置ACL的原则:1、基本ACL应在不影响其他合法访问的情况下,尽可能使ACL靠近被过滤的源2、高级ACL应尽量靠近被过滤的源端口上应用ACLACL包过滤防火墙是静态防火墙,动态可以应用ASPF,基于应用层状态的包过滤>二层ACL里要写掩码,那么表示单个主机就是FFFF-FFFF-FFFF,所有主机就是0000-0000-0000。
ACL原理及应用
反掩码详解
反掩码详解在配置路由协议的时候(如OSPF、EIGRP )使用的反掩码必需是连续的1即网络地址。
例: routeospf 100 network 192.168.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255而在配置ACL的时候可以使用不连续的1,只需对应的位置匹配即可。
例:access-list 1 permit 198.78.46.0 0.0.11.255正掩码和反掩码的区别:正掩码必须是连续的,而反掩码可以不连续,例如:C类地址子网掩码中不可以出现255.253.255.0(二进制为11111111 11111101 11111111 00000000)这样的掩码;而反掩码可以出现0.0.0.2(二进制为00000000 00000000 00000000 00000010)。
正掩码表示的路由条目,而反掩码表示的范围。
反掩码就是通配符掩码,通过标记0和1告诉设备应该匹配到哪位。
在反掩码中,相应位为1的地址在比较中忽略,为0的必须被检查.IP地址与反掩码都是32位的数例如掩码是255.255.255.0 wildcard-mask 就是0.0.0.255255.255.255.248 反掩就是0.0.0.7通配符掩码(wildcard-mask)路由器使用的通配符掩码(或反掩码)与源或目标地址一起来分辨匹配的地址范围,它跟子网掩码刚好相反。
它像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP 地址中的多少位。
这个地址掩码对使我们可以只使用两个32位的号码来确定IP地址的范围。
这是十分方便的,因为如果没有掩码的话,你不得不对每个匹配的IP客户地址加入一个单独的访问列表语句。
这将造成很多额外的输入和路由器大量额外的处理过程。
所以地址掩码对相当有用。
在子网掩码中,将掩码的一位设成1表示IP地址对应的位属于网络地址部分。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。
今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。
什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
分类:标准访问控制列表扩展访问控制列表基于名称的访问控制列表反向访问控制列表基于时间的访问控制列表标准访问列表:访问控制列表ACL分很多种,不同场合应用不同种类的ACL。
其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL标准访问控制列表的格式:标准访问控制列表是最简单的ACL。
它的具体格式如下:access-list ACL号 permit|deny host ip地址例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。
当然我们也可以用网段来表示,对某个网段进行过滤。
命令如下:access-list 10 deny 192.168.1.0 0.0.0.255通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。
为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。
小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。
标准访问控制列表实例一:网络环境介绍:我们采用如图所示的网络结构。
路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。
在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。
实例1:禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。
172.16.4.13可以正常访问172.16.3.0/24。
路由器配置命令access-list 1 permit host 172.16.4.13 设置ACL,容许172.16.4.13的数据包通过。
access-list 1 deny any设置ACL,阻止其他一切IP地址进行通讯传输。
int e 1进入E1端口。
ip access-group 1 in将ACL 1宣告。
经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。
来自其他IP 地址的数据包都无法通过E1传输。
小提示:由于CISCO默认添加了DENY ANY的语句在每个ACL中,所以上面的access-list 1 deny any这句命令可以省略。
另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告,宣告结果和上面最后两句命令效果一样。
标准访问控制列表实例二:配置任务:禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问,而172.16.4.0/24中的其他计算机可以正常访问。
路由器配置命令:access-list 1 deny host 172.16.4.13设置ACL,禁止172.16.4.13的数据包通过access-list 1 permit any设置ACL,容许其他地址的计算机进行通讯int e 1进入E1端口ip access-group 1 in将ACL1宣告,同理可以进入E0端口后使用ip access-group 1 out 来完成宣告。
配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯,传输数据包。
总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。
应用比较广泛,经常在要求控制级别较低的情况下使用。
如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。
扩展访问控制列表:上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。
那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。
这时候就需要使用扩展访问控制列表了。
使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。
扩展访问控制列表使用的ACL号为100到199。
扩展访问控制列表的格式:扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下:access-list ACL号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。
小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。
扩展访问控制列表的实例:网络环境介绍:我们采用如图所示的网络结构。
路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。
在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。
配置任务:禁止172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可以访问172.16.4.13上的WWW服务,而其他服务不能访问。
路由器配置命令:access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www设置ACL101,容许源地址为任意IP,目的地址为172.16.4.13主机的80端口即WWW服务。
由于CISCO默认添加DENY ANY 的命令,所以ACL只写此一句即可。
int e 0进入E1端口ip access-group 101 out将ACL101宣告出去设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了,就算是服务器172.16.4.13开启了FTP服务也无法访问,惟独可以访问的就是172.16.4.13的WWW服务了。
而172.16.4.0的计算机访问172.16.3.0的计算机没有任何问题。
扩展ACL有一个最大的好处就是可以保护服务器,例如很多服务器为了更好的提供服务都是暴露在公网上的,如果所有端口都对外界开放,很容易招来黑客和病毒的攻击,通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉,降低了被攻击的机率。
如本例就是仅仅将80端口对外界开放。
总结:扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP。
不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器CPU资源。
所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。
基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。
也就是说修改一条或删除一条都会影响到整个ACL列表。
这一个缺点影响了我们的工作,为我们带来了繁重的负担。
不过我们可以用基于名称的访问控制列表来解决这个问题。
一、基于名称的访问控制列表的格式:ip access-list [standard|extended] [ACL名称]例如:ip access-list standard softer就建立了一个名为softer的标准访问控制列表。
二、基于名称的访问控制列表的使用方法:当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。
例如我们添加三条ACL规则permit 1.1.1.1 0.0.0.0permit 2.2.2.2 0.0.0.0permit 3.3.3.3 0.0.0.0如果我们发现第二条命令应该是2.2.2.1而不是2.2.2.2,如果使用不是基于名称的访问控制列表的话,使用no permit 2.2.2.2 0.0.0.0后整个ACL信息都会被删除掉。
正是因为使用了基于名称的访问控制列表,我们使用no permit 2.2.2.2 0.0.0.0后第一条和第三条指令依然存在。
总结:如果设置ACL的规则比较多的话,应该使用基于名称的访问控制列表进行管理,这样可以减轻很多后期维护的工作,方便我们随时进行调整ACL规则。