网络层访问权限控制技术ACL详细讲解
acl的用法
ACL(Access Control List)是一种用于控制网络设备通信权限的技术,可以根据IP地址、端口号等数据对数据包进行过滤,以达到限制或允许某个设备或用户访问网络的目的。
ACL可以应用于路由器和防火墙等网络设备上,对数据包进行过滤,以实现网络安全控制。
ACL的用法可以包括以下几个方面:
1.定义ACL规则:ACL规则是一组条件,用于匹配数据包的IP地址、端口号等信息。
可以根据源IP地址、目的IP地址、协议类型、端口号等
数据对数据包进行过滤。
例如,可以定义一个ACL规则,只允许某个特定IP地址访问某个特定端口号。
2.应用ACL规则:可以将ACL规则应用于路由器或防火墙等网络设备上,对数据包进行过滤。
例如,可以在路由器上应用ACL规则,只允许某
个特定IP地址访问某个特定端口号。
3.配置ACL规则的优先级:可以配置ACL规则的优先级,以确定在多个规则同时匹配时应该采取的行动。
例如,可以配置一个高优先级的规则,
只允许某个特定IP地址访问某个特定端口号;同时配置一个低优先级的规则,允许其他IP地址访问该端口号。
4.监控和维护ACL规则:需要定期监控和维护ACL规则,以确保其正确性和有效性。
例如,需要定期检查ACL规则是否被正确地应用到网络设
备上,以及是否出现了新的攻击行为等。
总之,ACL是一种重要的网络安全技术,可以有效地控制网络设备之间的通信权限,提高网络安全性和可靠性。
网络层访问权限控制技术ACL详细讲解
网络层访问权限控制技术ACL详解技术从来那是一把双刃剑,网络应用与互脫网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性•员工利用互联网做与工作不相干事等负面彩响。
如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面彩响就成了摆在网络管理员面前的一个重要课题。
A公司的某位可怜的网管目前就面临了一堆这样的问趣。
A公司建设了一个企业网,并通过一台路由器接入到互联网。
在网络核心使用一台基于IoS的多层交换机,所有的二层交换机也为可管理的基于IoS的交换机,在公司部使用了VLAN技术,按照功能的不同分为了6个VLAN。
分别是网络设备与网管(YLAN1, 10. 1. 1.0/24).部服务器(VLAN2) . Internet 连接(VLAN3).财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6).出口路自器上Fa0∕0接公司部网,通过sθ∕ 0连接到InternetO毎个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。
自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互脫网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。
这些抱怨都找这位可怜的网管,搞得他头都大了。
那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术一一访问控制列表(下文简称ACL) O那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢?ACL的基本原理、功能与局限性网络中常说的Mx是Ci S CO IoS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来巳经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。
只不过支持的特性不是那么完善而巳。
在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。
ACL技术原理浅析及实例
ACL技术原理浅析及实例ACL(Access Control List)是网络安全中用于实现访问控制的一种技术,它通过对网络流量进行过滤,只允许特定的用户、IP 地址、端口等可以通过网络。
通常,ACL技术应用于路由器、交换机、防火墙等网络设备中。
ACL主要基于两种原理:允许列表和拒绝列表。
允许列表是指只有特定的用户、网络地址、端口等得到许可,其他所有的流量都被阻挡。
拒绝列表则是指特定的用户、网络地址、端口等被拒绝,其他所有的流量都被允许通过。
通常情况下,ACL的实现是基于拒绝列表,因为这种方式可确保只允许经授权批准的用户和流量通过网络访问。
ACL可以应用于多种场景中,其中最常见的场景是网络边缘(如路由器和交换机)和防火墙控制。
以下是两个ACL实例:实例1:路由器ACL假设你有一个位于本地网络上的路由器,你需要保护其免受身份验证失败的攻击。
为了实现这一点,你可以使用ACL来控制每个进入该路由器的IP数据包。
为了创建ACL,你需要为每个允许或拒绝的IP地址分配一个标准IP扩展访问列表(standard IP extended access list)。
有了这个列表,你可以控制进入该路由器的每个数据包,以便仅允许经过授权的用户通过访问。
以下是创建标准IP扩展访问列表的示例命令:access-list 1 permit 10.0.0.0 0.255.255.255access-list 1 deny any这两行命令将允许来自10.0.0.0/8子网的付费用户接入路由器,同时拒绝来自其他网络或单个IP地址的流量。
实例2:防火墙ACL假设你拥有一个防火墙来保护公共网络的安全,你需要实现对特定IP地址和端口的访问控制。
为了实现这个目标,你可以使用ACL来过滤掉所有未经授权的访问请求。
你需要创建一个标准ACE (Access Control Entry)列表,该列表包含允许和拒绝访问的IP地址、端口等信息。
以下是创建标准ACE列表的示例命令:access-list 101 permit tcp 10.10.10.0 0.0.0.255 eq 80access-list 101 deny tcp any any eq 80这两个命令将允许来自10.10.10.0/24子网的付费用户通过80端口进行访问,同时拒绝所有其他来源的80端口访问请求。
网络层访问权限控制技术ACL详解(五、完)单向访问控制
网络层访问权限控制技术ACL详解(五、完)单向访问控制网络层访问权限控制技术 ACL详解单向访问控制使用IP ACL实现单向访问控制A公司准备实行薪资的不透明化管理,由于目前的薪资收入数据还放在财务部门的Vlan中,所以公司不希望市场和研发部门能访问到财务部Vlan中的数据,另一方面,财务部门做为公司的核心管理部门,又希望能访问到市场和研发部门Vlan内的数据。
我们的网管在接到这个需求后就在SWA上做了如下的配置:ip access-list extend fi-access-limitdeny ip any 10.1.4.0 0.0.0.255permit ip any anyint vlan 5ip access-group fi-access-limit inint vlan 6ip access-group fi-access-limit in配置做完后,测试了一下,市场和研发部门确实访问不到财务部了,刚准备休息一下,财务部打电话过来说为访问不到市场与研发部门的数据了。
这是怎么回事呢?让我们回忆一下,在两台主机A与B之间要实现通讯,需要些什么条件呢?答案是既需要A能向B发包,也需要B能向A发包,任何一个方向的包被阻断,通讯都不能成功,在我们的例子中就存在这样的问题,财务部访问市场或研发部门时,包到到市场或研发部门的主机,由这些主机返回的包在到达路由器SWA时,由于普通的ACL均不具备检测会话状态的能力,就被deny ip any 10.1.4.0 0.0.0.255这条ACL给阻断了,所以访问不能成功。
要想实现真正意义上的单向访问控制应该怎么办呢?我们希望在财务部门访问市场和研发部门时,能在市场和研发部门的ACL中临时生成一个反向的ACL条目,这样就能实现单向访问了。
这里就需要使用到反向ACL技术。
我们可以按照如下配置实例就可以满足刚才的那个单向访问需求:ip access-list extend fi-mainpermit tcp any 10.1.0.0 0.0.255.255 reflect r-main timeout 120permit udp any 10.1.0.0 0.0.255.255 reflect r-main timeout 200permit icmp any 10.1.0.0 0.0.255.255 reflect r-main timeout 10permit ip any anyint vlan 4ip access-group fi-main inip access-list extend fi-access-limitevaluate r-maindeny ip any 10.1.4.0 0.0.0.255permit ip any anyint vlan 5ip access-group fi-access-limit inint vlan 6ip access-group fi-access-limit in现在对反向ACL新增加的内容一一解释如下:n 新增了一个ACL(fi-main)并应用在具备访问权限的接口下(财务部所在的vlan4)的in方向,使用该acl中具备reflect关键字的acl条目来捕捉建立反向ACL条目所需要的信息。
简述ACL的作用及应用
简述ACL的作用及应用ACL全称为Access Control List(访问控制列表),是一种用于控制网络设备的访问权限的技术。
ACL常常用于路由器、防火墙和其他网络设备上,通过配置ACL可以对网络流量进行过滤和控制,从而实现对网络资源的保护和管理。
ACL的作用主要包括以下几个方面:1. 控制网络访问权限:ACL可以根据预先设置的规则对网络流量进行过滤,从而限制特定的用户或主机对网络资源的访问。
比如可以设置ACL规则禁止某些特定的IP地址访问内部网络,或者限制某些用户只能访问特定的网络服务。
2. 提高网络安全性:通过ACL可以控制网络中的数据流动,从而减少网络攻击和恶意行为带来的风险。
ACL可以在网络边界处对流量进行过滤,防止未经授权的用户或主机进入内部网络,同时也可以限制内部网络用户对外部网络资源的访问,避免泄露敏感信息。
3. 优化网络性能:ACL可以对网络流量进行控制和限制,从而避免网络拥堵和带宽浪费的问题。
通过ACL可以限制某些不必要的流量进入网络,或者优化网络流量的分发,从而提高网络的整体性能和稳定性。
4. 达成合规要求:部分行业(如金融、医疗等)需要严格遵守相关的合规要求,ACL可以帮助网络管理员实施相关的网络访问控制策略,保证网络安全和合规性。
在实际应用中,ACL主要用于网络设备的配置和管理,常见的应用场景包括:1. 防火墙配置:防火墙是网络安全的重要组成部分,ACL可以用于配置防火墙的访问控制策略,限制网络上的数据流动。
例如,可以通过ACL阻止恶意流量的进入,或者限制内部网络用户对外部网络资源的访问。
2. 路由器配置:路由器是网络中的重要设备,ACL可以用于配置路由器的访问控制策略,限制特定的IP地址或网络对路由器的访问权限。
这样可以提高网络的安全性和稳定性,避免未经授权的访问对网络造成影响。
3. 交换机配置:ACL也可以用于配置交换机的访问控制策略,限制网络中不同子网之间的访问权限。
如何设置网络防火墙的访问控制列表(ACL)?
网络防火墙是保护网络安全的重要工具,它通过设置访问控制列表(ACL)来限制网络流量,防止未经授权的访问和攻击。
本文将从什么是ACL、为何需要ACL以及如何设置ACL三个方面来讨论如何设置网络防火墙的访问控制列表。
一、什么是ACL访问控制列表(ACL)是一种网络安全策略,用于控制网络流量的流动。
它通过规定哪些网络流量可以通过网络防火墙进入网络或离开网络,从而保护网络的安全。
ACL可以基于多个因素进行限制,例如源IP地址、目标IP地址、协议类型、源端口号、目标端口号等。
二、为何需要ACL1.控制访问权限:ACL可以限制特定IP地址或IP地址范围的访问权限,从而保护网络资源免受未经授权的访问。
2.防止网络攻击:ACL可以阻止恶意流量和入侵尝试,有效减少网络攻击的风险。
3.提高网络性能:通过限制特定流量的访问权限,可以减少网络拥堵和带宽占用,提高网络的响应速度和性能。
三、如何设置ACL1.了解网络拓扑:在设置ACL之前,需要全面了解网络拓扑结构和网络设备的配置。
确定哪些设备需要受ACL控制,并了解它们之间的通信需求。
2.确定ACL的目标:在设置ACL之前,需要明确ACL的目标和限制范围。
例如,限制特定IP地址或IP地址范围的访问权限,限制特定协议或端口号的流量等。
3.编写ACL规则:根据确定的目标和限制范围,编写ACL规则。
ACL规则应包括源IP地址、目标IP地址、协议类型、源端口号、目标端口号等信息。
根据具体需求,可以编写多条规则,实现更精细的访问限制。
4.优化ACL规则:编写ACL规则后,需要对规则进行优化。
避免使用过于宽泛的规则,可以根据实际需求进行调整和优化。
同时,还需要将最常用的规则放在前面,以提高访问控制的效率。
5.配置ACL规则:配置ACL规则时,需要将规则应用到网络设备上。
根据网络设备的型号和配置界面,选择合适的方式进行配置。
通常可以通过命令行界面或图形界面来进行配置。
6.测试和监控ACL:在配置ACL后,需要进行测试和监控。
IPSec访问控制列表(ACL):灵活掌控通信权限(六)
IPSec访问控制列表(ACL):灵活掌控通信权限引言:网络安全在现代社会中变得越来越重要,特别是对于那些涉及敏感信息的机构和个人来说。
在网络通信中,确保只有授权的用户或设备能够访问特定资源变得尤为重要。
IPSec是一种常用的安全协议,其访问控制列表(ACL)功能可以帮助我们实现对通信权限的精确控制。
本文将介绍IPSec访问控制列表的基本概念和使用方法,以便读者能够更好地理解和应用这一技术。
1. 什么是IPSec?IPSec是一种网络层协议,用于保护Internet Protocol(IP)通信。
它可以通过加密和验证机制,确保在网络上传输的数据在传输过程中的安全性和完整性。
IPSec采用了多种加密和验证算法,如AES (Advanced Encryption Standard)和SHA(Secure Hash Algorithm)。
通过配置IPSec,我们可以建立安全的虚拟私有网络(VPN)或在现有网络上添加加密和认证层。
2. 什么是访问控制列表(ACL)?访问控制列表(ACL)是一种用于控制网络流量的方法。
ACL定义了哪些网络流量被允许通过,哪些被阻止。
它可以基于源IP地址、目标IP地址、端口号等信息对流量进行过滤和控制,从而确保只有特定的用户或设备可以访问资源。
ACL常用于防火墙、路由器等设备上,以控制数据包的传输和访问权限。
3. 如何使用IPSec访问控制列表?在IPSec中,ACL用于限制和管理哪些通信被加密和认证。
它可以在IPSec策略中定义,为特定的通信或流量规定访问权限。
下面是使用IPSec访问控制列表的常见步骤:定义ACL规则:首先,我们需要定义ACL规则,即确定哪些通信将受到限制。
这可以通过指定源IP地址、目标IP地址、端口号等信息来实现。
例如,我们可以定义一个ACL规则,只允许来自特定IP地址的用户访问某个资源,或者只允许某个特定端口号的通信通过。
配置IPSec策略:接下来,我们需要将定义的ACL规则应用到IPSec策略中。
ACL技术原理浅析及实例
ACL技术原理浅析及实例什么是ACL?ACL(Access Control List,访问控制列表)是一种基于规则的访问控制机制,用于控制系统中的资源的访问。
ACL技术基于标准化的访问策略,允许系统管理员向各种资源、设备或文件中的用户或群组分配权限,从而允许或拒绝对资源的访问或执行操作。
ACL技术被广泛应用于网络安全、文件系统安全、操作系统安全、数据库安全等多个领域,是实施安全策略的必要手段之一。
ACL的分类ACL技术主要分为以下两种类型。
基于访问对象的ACL基于访问对象的ACL是根据访问对象来控制访问权限的。
这种ACL 包括访问列表,其中每个条目描述了一个已知的访问对象的访问策略集合。
每个访问列表都由一个列表头(list head)以及一组条目(entry)组成。
列表头包含列表的基本配置,例如名称、列表类型以及默认的访问策略。
基于用户身份的ACL基于用户身份的ACL是根据用户身份来控制访问权限的。
这种ACL 包括一组细粒度的规则,可以用来确定每个用户或群组对特定资源的访问权限。
基于用户身份的ACL可以分为两种类型:•定位(discretionary)ACL:由资源的所有者创建和管理,用来确定哪些用户可以访问资源。
这种ACL具有灵活性和细粒度的控制,但也有可能导致访问控制的不一致和维护困难。
•强制(mandatory)ACL:由系统管理员创建和管理,和基于定位ACL不同,强制ACL是由安全标签规定的,资源的访问权限是根据标签之间的规则来判断的。
这种ACL能够确保强制性安全策略的一致性,但是限制了资源的可用性和灵活性。
ACL的实例下面我们通过基于用户身份的ACL的实例来说明ACL技术在实际场景中的应用。
假设企业内部的员工工号、部门、职务、员工性质等数据都存储在Oracle数据库中,其中职务信息包含了各种不同权限的工作内容。
为了实现工号和职务之间的鉴权控制,需要使用ACL技术。
以Oracle数据库为例,我们可以使用Oracle Label Security(OLS)来实现强制ACL策略的管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络层访问权限控制技术 ACL详解技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。
如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。
A公司的某位可怜的网管目前就面临了一堆这样的问题。
A公司建设了一个企业网,并通过一台路由器接入到互联网。
在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司部使用了VLAN技术,按照功能的不同分为了6个VLAN。
分别是网络设备与网管(VLAN1,10.1.1.0/24)、部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司部网,通过s0/0连接到Internet。
每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。
自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。
这些抱怨都找这位可怜的网管,搞得他头都大了。
那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。
那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢?ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。
只不过支持的特性不是那么完善而已。
在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。
本文所有的配置实例均基于Cisco IOS的ACL进行编写。
基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。
ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则:最小特权原则:只给受控对象完成任务所必须的最小的权限最靠近受控对象原则:所有的网络层访问权限控制局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用部的权限级别等。
因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
ACL配置技术详解“说那么多废话做什么,赶快开始进行配置吧。
”,A公司的网管说。
呵呵,并不是我想说那么多废话,因为理解这些基础的概念与简单的原理对后续的配置和排错都是相当有用的。
说说看,你的第一个需什么。
“做为一个网管,我不期望普通用户能telnet到网络设备”――ACL基础“补充一点,要求能够从我现在的机器(研发VLAN的10.1.6.66)上telnet到网络设备上去。
”。
hamm,是个不错的主意,谁都不希望有人在自己的花园中撤野。
让我们分析一下,在A公司的网络中,除出口路由器外,其它所有的网络设备段的是放在Vlan1中,那个我只需要在到VLAN 1的路由器接口上配置只允许源地址为10.1.6.66的包通过,其它的包通通过滤掉。
这中只管源IP地址的ACL就叫做标准IP ACL:我们在SWA上进行如下的配置:access-list 1 permit host 10.1.6.66access-list 1 deny anyint vlan 1ip access-group 1 out这几条命令中的相应关键字的意义如下:access-list:配置均ACL的关键字,所有的ACL均使用这个命令进行配置。
access-list后面的1:ACL号,ACL号相同的所有ACL形成一个组。
在判断一个包时,使用同一组中的条目从上到下逐一进行判断,一遇到满足的条目就终止对该包的判断。
1-99为标准的IP ACL号,标准IP ACL 由于只读取IP的源地址部分,消耗资源少。
permit/deny:操作。
Permit是允许通过,deny是丢弃包。
host 10.1.6.66/any:匹配条件,等同于10.1.6.66 0.0.0.0。
刚才说过,标准的ACL只限制源地址。
Host 10.1.6.66(10.1.6.66 0.0.0.0)的意思是只匹配源地址为10.1.6.66的包。
0.0.0.0是wildcards,某位的wildcards为0表示IP地址的对应位必须符合,为1表示IP地址的对应位不管是什么都行。
简单点说,就是255.255.255.255减去子网掩码后的值,0.0.0.0的wildcards就是意味着IP地址必须符合10.1.6.66,可以简称为host 10.1.6.66。
any表示匹配所有地址。
注意:IOS中的ACL均使用wildcards,并且会用wildcards对IP地址进行严格的对齐,如你输入一条access-list 1 permit 10.1.1.129 0.0.0.31,在你show access-list看时,会变成access-list 1 permit 10.1.1.128 0.0.0.31,PIXOS中的ACL均使用subnet masks,并且不会进行对齐操作。
更为详细的关于IP V4地址的资料可以参见拙著《IP v4基础知识》/s ... s=&articleid=60 一文int vlan1///ip access-group 1 out:这两句将access-list 1应用到vlan1接口的out方向。
其中1是ACL号,和相应的ACL进行关联。
Out是对路由器该接口上哪个方向的包进行过滤,可以有in和out 两种选择。
注意:这里的in/out都是站在路由器或三层模块(以后简称R)上看的,in表示从该接口进入R的包,out表示从该接口出去的包。
好了,这就是一个最基本的ACL的配置方法。
什么,你说普通用户还能telnet到RTA?那你在int vlan3上现加一个ip access-group 1 out吧。
Hammmm,等等,你这样加上去普通用户就访问不了internet了。
让我们把刚才的ACL去掉,重新写一个。
回忆一下,我们的目的是除了10.1.6.66能够进行telnet操作外,其它用户都不允许进行telnet操作。
刚才我们说过,标准的IP ACL只能控制源IP地址,不能控制到端口。
要控制到第四层的端口,就需要使用到:扩展的IP ACL的配置先看看配置实例吧。
在SWA上进行如下配置:int vlan 1no ip access-group 1 outexitno access-list 1access-list 101 permit tcp host 10.1.6.66 any eq telnetaccess-list 101 deny tcp any any eq telnetint vlan 1ip access-group 101 outint vlan 3ip access-group 101 out你应该注意到到这里的ACL有一些变化了,现在对变化的部分做一些说明:access-list 101:注意这里的101,和刚才的标准ACL中的1一样,101是ACL号,表示这是一个扩展的IP ACL。
扩展的IP ACL号围是100-199,扩展的IP ACL可以控制源IP、目的IP、源端口、目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP的源地址/目的地址,还要读取第四层中的源端口和目的端口,的IP在没有硬件ACL加速情况下,会消耗大量的CPU资源。
int vlan 1///no ip access-group 1 out///exit///no access-list 1:取消access-list 1,对于非命名的ACL,可以只需要这一句就可以全部取消。
注意,在取消或修改一个ACL前,必须先在它所应用的接口上先把应用给no掉,否则会导致相当严重的后果。
tcp host 10.1.6.66 any eq telnet:匹配条件。
完整格式为:协议源地址源wildcards [关系] [源端口] 目的地址目的wildcards [关系] [目的端口]。
其中协议可以是IP、TCP、UDP、EIGRP等,[]为可选字段。
仅在协议为tcp/udp等具备端口号的协议才有用。
关系可以是eq(等于)、neq(不等于)、lt(大于)、range(围)等。
端口一般为数字的1-65535,对于周知端口,如23(服务名为telnet)等可以用服务名代替。
源端口和目的端口不定义时表示所有端口。
把这个ACL应用上去后,用户们开始打来骂娘了,因为他们都访问不了Internet了,是哪里出了问题了呢?注意:所有的ACL,缺省情况下,从安全角度考虑,最后都会隐含一句deny any(标准ACL)或deny ip any any(扩展IP ACL)。
所以在不了解业务会使用到哪些端口的情况下,最好在ACL的最后加上一句permit ip any any,在这里就是access-list 101 permit ip any any。
现在用户倒是能够访问Internet了,但我们的可怜的网管却发现普通用户还是能够telnet到他的SWA 上面,因为SWA上面有很多个网络接口,而且使用扩展的ACL会消耗很多的资源。
有什么简单的办法能够控制用户对网络设备的Telnet访问,而又不消耗太多的资源呢?这就需要使用到:对网络设备自身的访问如何进行控制的技术让我们先把刚才配置的ACL都取掉(具体配置略,不然后读者会以为我在骗稿费了。
),再在每台网络设备上均进行如下配置:access-list 1 permit host 10.1.6.66line vty 0 4(部分设备是15)access-class 1 in这样就行了,telnet都是访问的设备上的line vty,在line vty下面使用access-class与ACL组进行关联,in关键字表示控制进入的连接。