网络层访问权限控制技术ACL详解
acl概念
acl概念
ACL(Access Control List,访问控制列表)是一种用于控制网络访问权限的技术。
它在计算机网络中扮演着重要的角色,用于定义和管理对资源的访问。
ACL 的主要目的是通过设置一系列规则来决定哪些用户或设备可以访问特定的资源或执行特定的操作。
这些规则可以基于各种条件进行定义,例如 IP 地址、MAC 地址、协议类型、端口号等。
ACL 可以应用于网络设备(如路由器、交换机)或操作系统(如服务器、防火墙)上,以实现对网络流量的精细控制。
ACL 的核心概念包括以下几个方面:
1. 规则:ACL 由一系列规则组成,每个规则定义了允许或拒绝的访问条件。
2. 匹配顺序:ACL 中的规则按照特定的顺序进行匹配,一旦匹配成功,就会执行相应的操作(允许或拒绝)。
3. 方向:ACL 可以针对进入或外出的网络流量进行控制。
4. 操作类型:根据匹配结果,ACL 可以执行允许或拒绝操作,以决定是否允许流量通过。
ACL 在网络安全中起着重要的作用,它可以帮助组织保护其网络资源,防止未经授权的访问、攻击和威胁。
通过合理配置 ACL,可以提高网络的安全性、降低风险,并实现对网络资源的精细化管理。
希望以上内容对你有所帮助!如果你对 ACL 有更多的疑问,请随时提问。
acl的用法
ACL(Access Control List)是一种用于控制网络设备通信权限的技术,可以根据IP地址、端口号等数据对数据包进行过滤,以达到限制或允许某个设备或用户访问网络的目的。
ACL可以应用于路由器和防火墙等网络设备上,对数据包进行过滤,以实现网络安全控制。
ACL的用法可以包括以下几个方面:
1.定义ACL规则:ACL规则是一组条件,用于匹配数据包的IP地址、端口号等信息。
可以根据源IP地址、目的IP地址、协议类型、端口号等
数据对数据包进行过滤。
例如,可以定义一个ACL规则,只允许某个特定IP地址访问某个特定端口号。
2.应用ACL规则:可以将ACL规则应用于路由器或防火墙等网络设备上,对数据包进行过滤。
例如,可以在路由器上应用ACL规则,只允许某
个特定IP地址访问某个特定端口号。
3.配置ACL规则的优先级:可以配置ACL规则的优先级,以确定在多个规则同时匹配时应该采取的行动。
例如,可以配置一个高优先级的规则,
只允许某个特定IP地址访问某个特定端口号;同时配置一个低优先级的规则,允许其他IP地址访问该端口号。
4.监控和维护ACL规则:需要定期监控和维护ACL规则,以确保其正确性和有效性。
例如,需要定期检查ACL规则是否被正确地应用到网络设
备上,以及是否出现了新的攻击行为等。
总之,ACL是一种重要的网络安全技术,可以有效地控制网络设备之间的通信权限,提高网络安全性和可靠性。
acl的分类
acl的分类ACL分类及其应用ACL(Access Control List)是一种用于控制网络资源访问权限的技术。
ACL可以根据不同的分类方式进行分类,以便更好地管理和控制网络资源的访问权限。
本文将介绍ACL的分类及其应用。
1. 基于用户的ACL基于用户的ACL是指根据用户身份来控制其对网络资源的访问权限。
这种ACL通常使用用户名和密码来验证用户身份。
只有经过验证的用户才能访问网络资源。
基于用户的ACL适用于需要对不同用户进行不同权限控制的场景,如企业内部网络、学校网络等。
2. 基于IP地址的ACL基于IP地址的ACL是指根据用户IP地址来控制其对网络资源的访问权限。
这种ACL通常使用IP地址来识别用户身份。
只有在ACL 中列出的IP地址才能访问网络资源。
基于IP地址的ACL适用于需要对特定IP地址进行访问控制的场景,如公共无线网络、VPN等。
3. 基于协议的ACL基于协议的ACL是指根据网络协议来控制其对网络资源的访问权限。
这种ACL通常使用协议类型和端口号来识别网络协议。
只有在ACL中列出的协议和端口号才能访问网络资源。
基于协议的ACL适用于需要对特定协议进行访问控制的场景,如FTP、SSH等。
4. 基于时间的ACL基于时间的ACL是指根据时间来控制其对网络资源的访问权限。
这种ACL通常使用时间段来限制访问权限。
只有在ACL中列出的时间段内才能访问网络资源。
基于时间的ACL适用于需要对特定时间段进行访问控制的场景,如夜间关闭企业内部网络等。
5. 基于位置的ACL基于位置的ACL是指根据用户所在位置来控制其对网络资源的访问权限。
这种ACL通常使用GPS定位或WIFI定位来识别用户位置。
只有在ACL中列出的位置范围内才能访问网络资源。
基于位置的ACL适用于需要对特定位置进行访问控制的场景,如机场、火车站等公共场所的无线网络。
ACL是一种非常重要的网络安全技术,可以帮助我们更好地管理和控制网络资源的访问权限。
ACL技术原理浅析及实例
ACL技术原理浅析及实例ACL(Access Control List)是网络安全中用于实现访问控制的一种技术,它通过对网络流量进行过滤,只允许特定的用户、IP 地址、端口等可以通过网络。
通常,ACL技术应用于路由器、交换机、防火墙等网络设备中。
ACL主要基于两种原理:允许列表和拒绝列表。
允许列表是指只有特定的用户、网络地址、端口等得到许可,其他所有的流量都被阻挡。
拒绝列表则是指特定的用户、网络地址、端口等被拒绝,其他所有的流量都被允许通过。
通常情况下,ACL的实现是基于拒绝列表,因为这种方式可确保只允许经授权批准的用户和流量通过网络访问。
ACL可以应用于多种场景中,其中最常见的场景是网络边缘(如路由器和交换机)和防火墙控制。
以下是两个ACL实例:实例1:路由器ACL假设你有一个位于本地网络上的路由器,你需要保护其免受身份验证失败的攻击。
为了实现这一点,你可以使用ACL来控制每个进入该路由器的IP数据包。
为了创建ACL,你需要为每个允许或拒绝的IP地址分配一个标准IP扩展访问列表(standard IP extended access list)。
有了这个列表,你可以控制进入该路由器的每个数据包,以便仅允许经过授权的用户通过访问。
以下是创建标准IP扩展访问列表的示例命令:access-list 1 permit 10.0.0.0 0.255.255.255access-list 1 deny any这两行命令将允许来自10.0.0.0/8子网的付费用户接入路由器,同时拒绝来自其他网络或单个IP地址的流量。
实例2:防火墙ACL假设你拥有一个防火墙来保护公共网络的安全,你需要实现对特定IP地址和端口的访问控制。
为了实现这个目标,你可以使用ACL来过滤掉所有未经授权的访问请求。
你需要创建一个标准ACE (Access Control Entry)列表,该列表包含允许和拒绝访问的IP地址、端口等信息。
以下是创建标准ACE列表的示例命令:access-list 101 permit tcp 10.10.10.0 0.0.0.255 eq 80access-list 101 deny tcp any any eq 80这两个命令将允许来自10.10.10.0/24子网的付费用户通过80端口进行访问,同时拒绝所有其他来源的80端口访问请求。
网络层访问权限控制技术ACL详解(五、完)单向访问控制
网络层访问权限控制技术ACL详解(五、完)单向访问控制网络层访问权限控制技术 ACL详解单向访问控制使用IP ACL实现单向访问控制A公司准备实行薪资的不透明化管理,由于目前的薪资收入数据还放在财务部门的Vlan中,所以公司不希望市场和研发部门能访问到财务部Vlan中的数据,另一方面,财务部门做为公司的核心管理部门,又希望能访问到市场和研发部门Vlan内的数据。
我们的网管在接到这个需求后就在SWA上做了如下的配置:ip access-list extend fi-access-limitdeny ip any 10.1.4.0 0.0.0.255permit ip any anyint vlan 5ip access-group fi-access-limit inint vlan 6ip access-group fi-access-limit in配置做完后,测试了一下,市场和研发部门确实访问不到财务部了,刚准备休息一下,财务部打电话过来说为访问不到市场与研发部门的数据了。
这是怎么回事呢?让我们回忆一下,在两台主机A与B之间要实现通讯,需要些什么条件呢?答案是既需要A能向B发包,也需要B能向A发包,任何一个方向的包被阻断,通讯都不能成功,在我们的例子中就存在这样的问题,财务部访问市场或研发部门时,包到到市场或研发部门的主机,由这些主机返回的包在到达路由器SWA时,由于普通的ACL均不具备检测会话状态的能力,就被deny ip any 10.1.4.0 0.0.0.255这条ACL给阻断了,所以访问不能成功。
要想实现真正意义上的单向访问控制应该怎么办呢?我们希望在财务部门访问市场和研发部门时,能在市场和研发部门的ACL中临时生成一个反向的ACL条目,这样就能实现单向访问了。
这里就需要使用到反向ACL技术。
我们可以按照如下配置实例就可以满足刚才的那个单向访问需求:ip access-list extend fi-mainpermit tcp any 10.1.0.0 0.0.255.255 reflect r-main timeout 120permit udp any 10.1.0.0 0.0.255.255 reflect r-main timeout 200permit icmp any 10.1.0.0 0.0.255.255 reflect r-main timeout 10permit ip any anyint vlan 4ip access-group fi-main inip access-list extend fi-access-limitevaluate r-maindeny ip any 10.1.4.0 0.0.0.255permit ip any anyint vlan 5ip access-group fi-access-limit inint vlan 6ip access-group fi-access-limit in现在对反向ACL新增加的内容一一解释如下:n 新增了一个ACL(fi-main)并应用在具备访问权限的接口下(财务部所在的vlan4)的in方向,使用该acl中具备reflect关键字的acl条目来捕捉建立反向ACL条目所需要的信息。
简述ACL的作用及应用
简述ACL的作用及应用ACL全称为Access Control List(访问控制列表),是一种用于控制网络设备的访问权限的技术。
ACL常常用于路由器、防火墙和其他网络设备上,通过配置ACL可以对网络流量进行过滤和控制,从而实现对网络资源的保护和管理。
ACL的作用主要包括以下几个方面:1. 控制网络访问权限:ACL可以根据预先设置的规则对网络流量进行过滤,从而限制特定的用户或主机对网络资源的访问。
比如可以设置ACL规则禁止某些特定的IP地址访问内部网络,或者限制某些用户只能访问特定的网络服务。
2. 提高网络安全性:通过ACL可以控制网络中的数据流动,从而减少网络攻击和恶意行为带来的风险。
ACL可以在网络边界处对流量进行过滤,防止未经授权的用户或主机进入内部网络,同时也可以限制内部网络用户对外部网络资源的访问,避免泄露敏感信息。
3. 优化网络性能:ACL可以对网络流量进行控制和限制,从而避免网络拥堵和带宽浪费的问题。
通过ACL可以限制某些不必要的流量进入网络,或者优化网络流量的分发,从而提高网络的整体性能和稳定性。
4. 达成合规要求:部分行业(如金融、医疗等)需要严格遵守相关的合规要求,ACL可以帮助网络管理员实施相关的网络访问控制策略,保证网络安全和合规性。
在实际应用中,ACL主要用于网络设备的配置和管理,常见的应用场景包括:1. 防火墙配置:防火墙是网络安全的重要组成部分,ACL可以用于配置防火墙的访问控制策略,限制网络上的数据流动。
例如,可以通过ACL阻止恶意流量的进入,或者限制内部网络用户对外部网络资源的访问。
2. 路由器配置:路由器是网络中的重要设备,ACL可以用于配置路由器的访问控制策略,限制特定的IP地址或网络对路由器的访问权限。
这样可以提高网络的安全性和稳定性,避免未经授权的访问对网络造成影响。
3. 交换机配置:ACL也可以用于配置交换机的访问控制策略,限制网络中不同子网之间的访问权限。
如何设置网络防火墙的访问控制列表(ACL)?
网络防火墙是保护网络安全的重要工具,它通过设置访问控制列表(ACL)来限制网络流量,防止未经授权的访问和攻击。
本文将从什么是ACL、为何需要ACL以及如何设置ACL三个方面来讨论如何设置网络防火墙的访问控制列表。
一、什么是ACL访问控制列表(ACL)是一种网络安全策略,用于控制网络流量的流动。
它通过规定哪些网络流量可以通过网络防火墙进入网络或离开网络,从而保护网络的安全。
ACL可以基于多个因素进行限制,例如源IP地址、目标IP地址、协议类型、源端口号、目标端口号等。
二、为何需要ACL1.控制访问权限:ACL可以限制特定IP地址或IP地址范围的访问权限,从而保护网络资源免受未经授权的访问。
2.防止网络攻击:ACL可以阻止恶意流量和入侵尝试,有效减少网络攻击的风险。
3.提高网络性能:通过限制特定流量的访问权限,可以减少网络拥堵和带宽占用,提高网络的响应速度和性能。
三、如何设置ACL1.了解网络拓扑:在设置ACL之前,需要全面了解网络拓扑结构和网络设备的配置。
确定哪些设备需要受ACL控制,并了解它们之间的通信需求。
2.确定ACL的目标:在设置ACL之前,需要明确ACL的目标和限制范围。
例如,限制特定IP地址或IP地址范围的访问权限,限制特定协议或端口号的流量等。
3.编写ACL规则:根据确定的目标和限制范围,编写ACL规则。
ACL规则应包括源IP地址、目标IP地址、协议类型、源端口号、目标端口号等信息。
根据具体需求,可以编写多条规则,实现更精细的访问限制。
4.优化ACL规则:编写ACL规则后,需要对规则进行优化。
避免使用过于宽泛的规则,可以根据实际需求进行调整和优化。
同时,还需要将最常用的规则放在前面,以提高访问控制的效率。
5.配置ACL规则:配置ACL规则时,需要将规则应用到网络设备上。
根据网络设备的型号和配置界面,选择合适的方式进行配置。
通常可以通过命令行界面或图形界面来进行配置。
6.测试和监控ACL:在配置ACL后,需要进行测试和监控。
网络防护技术的访问控制列表与流控制方法(九)
网络安全在当前社会中越来越受到重视,网络防护技术被广泛应用于各行各业。
其中,访问控制列表(ACL)与流控制是网络防护中的重要组成部分。
本文将探讨ACL与流控制的概念、作用以及常见的实现方法。
一、ACL的定义与作用访问控制列表,即Access Control List,是一种网络安全技术,用于控制数据流经过网络设备时的访问权限。
ACL可以根据预先设定的规则,允许或拒绝特定的数据流通过网络设备进行传输。
ACL的主要作用是保护网络资源,确保只有授权的用户或数据可以访问受保护的资源。
通过ACL,网络管理员可以灵活地限制特定用户、IP地址、协议类型等访问网络的权限,从而有效防范未授权的访问、恶意攻击和信息泄露等安全威胁。
二、ACL的分类与实现方法基于网络层与传输层的不同,ACL可以分为网络层ACL和传输层ACL。
1. 网络层ACL网络层ACL是通过过滤IP数据包的头部信息进行访问控制。
它可以根据源IP地址、目的IP地址、IP协议类型等条件来进行过滤。
实现网络层ACL的方法主要包括基于源IP地址的ACL和基于目的IP地址的ACL。
基于源IP地址的ACL可以按照源IP地址对数据包进行过滤。
例如,可以限制某个特定IP地址的访问权限,从而阻止所有来自该IP地址的数据包。
这种方法适用于限制特定主机或用户的访问权限。
基于目的IP地址的ACL可以按照目的IP地址对数据包进行过滤。
例如,可以限制某个特定IP地址的数据包访问权限,从而将其拒绝或允许通过。
这种方法适用于限制对特定网络资源的访问权限。
2. 传输层ACL传输层ACL是通过过滤传输层协议(如TCP、UDP等)的头部信息进行访问控制。
它可以根据源端口号、目的端口号等条件对数据包进行过滤。
实现传输层ACL的方法主要包括基于端口的ACL和基于协议的ACL。
基于端口的ACL可以按照源端口号或目的端口号对数据包进行过滤。
例如,可以限制某个特定端口号的访问权限,从而控制特定协议或应用的访问。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络层访问权限控制技术ACL详解技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。
如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。
A公司的某位可怜的网管目前就面临了一堆这样的问题。
A公司建设了一个企业网,并通过一台路由器接入到互联网。
在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS 的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。
分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。
每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。
自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。
这些抱怨都找这位可怜的网管,搞得他头都大了。
那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。
那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢?ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。
只不过支持的特性不是那么完善而已。
在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。
本文所有的配置实例均基于Cisco IOS的ACL进行编写。
基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。
ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则:最小特权原则:只给受控对象完成任务所必须的最小的权限最靠近受控对象原则:所有的网络层访问权限控制局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
ACL配置技术详解“说那么多废话做什么,赶快开始进行配置吧。
”,A公司的网管说。
呵呵,并不是我想说那么多废话,因为理解这些基础的概念与简单的原理对后续的配置和排错都是相当有用的。
说说看,你的第一个需求是什么。
“做为一个网管,我不期望普通用户能telnet到网络设备”――ACL基础“补充一点,要求能够从我现在的机器(研发VLAN的10.1.6.66)上telnet到网络设备上去。
”。
hamm,是个不错的主意,谁都不希望有人在自己的花园中撤野。
让我们分析一下,在A公司的网络中,除出口路由器外,其它所有的网络设备段的是放在Vlan1中,那个我只需要在到VLAN 1的路由器接口上配置只允许源地址为10.1.6.66的包通过,其它的包通通过滤掉。
这中只管源IP地址的ACL就叫做标准IP ACL:我们在SWA上进行如下的配置:access-list 1 permit host 10.1.6.66access-list 1 deny anyint vlan 1ip access-group 1 out这几条命令中的相应关键字的意义如下:access-list:配置均ACL的关键字,所有的ACL均使用这个命令进行配置。
access-list后面的1:ACL号,ACL号相同的所有ACL形成一个组。
在判断一个包时,使用同一组中的条目从上到下逐一进行判断,一遇到满足的条目就终止对该包的判断。
1-99为标准的IP ACL号,标准IP ACL由于只读取IP包头的源地址部分,消耗资源少。
permit/deny:操作。
Permit是允许通过,deny是丢弃包。
host 10.1.6.66/any:匹配条件,等同于10.1.6.66 0.0.0.0。
刚才说过,标准的ACL只限制源地址。
Host 10.1.6.66(10.1.6.66 0.0.0.0)的意思是只匹配源地址为10.1.6.66的包。
0.0.0.0是wildcards,某位的wildcards为0表示IP地址的对应位必须符合,为1表示IP地址的对应位不管是什么都行。
简单点说,就是255.255.255.255减去子网掩码后的值,0.0.0.0的wildcards就是意味着IP地址必须符合10.1.6.66,可以简称为host 10.1.6.66。
any表示匹配所有地址。
注意:IOS中的ACL均使用wildcards,并且会用wildcards对IP地址进行严格的对齐,如你输入一条access-list 1 permit 10.1.1.129 0.0.0.31,在你show access-list看时,会变成access-list 1 permit 10.1.1.128 0.0.0.31,PIXOS中的ACL均使用subnet masks,并且不会进行对齐操作。
更为详细的关于IP V4地址的资料可以参见拙著《IP v4基础知识》/s ... s=&articleid=60 一文int vlan1///ip access-group 1 out:这两句将access-list 1应用到vlan1接口的out方向。
其中1是ACL号,和相应的ACL进行关联。
Out是对路由器该接口上哪个方向的包进行过滤,可以有in和out两种选择。
注意:这里的in/out都是站在路由器或三层模块(以后简称R)上看的,in表示从该接口进入R的包,out表示从该接口出去的包。
好了,这就是一个最基本的ACL的配置方法。
什么,你说普通用户还能telnet到RTA?那你在int vlan3上现加一个ip access-group 1 out吧。
Hammmm,等等,你这样加上去普通用户就访问不了internet 了。
让我们把刚才的ACL去掉,重新写一个。
回忆一下,我们的目的是除了10.1.6.66能够进行telnet操作外,其它用户都不允许进行telnet操作。
刚才我们说过,标准的IP ACL只能控制源IP地址,不能控制到端口。
要控制到第四层的端口,就需要使用到:扩展的IP ACL的配置先看看配置实例吧。
在SWA上进行如下配置:int vlan 1no ip access-group 1 outexitno access-list 1access-list 101 permit tcp host 10.1.6.66 any eq telnetaccess-list 101 deny tcp any any eq telnetint vlan 1ip access-group 101 outint vlan 3ip access-group 101 out你应该注意到到这里的ACL有一些变化了,现在对变化的部分做一些说明:access-list 101:注意这里的101,和刚才的标准ACL中的1一样,101是ACL号,表示这是一个扩展的IP ACL。
扩展的IP ACL号范围是100-199,扩展的IP ACL可以控制源IP、目的IP、源端口、目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口,的IP在没有硬件ACL加速情况下,会消耗大量的CPU资源。
int vlan 1///no ip access-group 1 out///exit///no access-list 1:取消access-list 1,对于非命名的ACL,可以只需要这一句就可以全部取消。
注意,在取消或修改一个ACL前,必须先在它所应用的接口上先把应用给no掉,否则会导致相当严重的后果。
tcp host 10.1.6.66 any eq telnet:匹配条件。
完整格式为:协议源地址源wildcards [关系] [源端口] 目的地址目的wildcards [关系] [目的端口]。
其中协议可以是IP、TCP、UDP、EIGRP等,[]内为可选字段。
仅在协议为tcp/udp等具备端口号的协议才有用。
关系可以是eq(等于)、neq(不等于)、lt(大于)、range(范围)等。
端口一般为数字的1-65535,对于周知端口,如23(服务名为telnet)等可以用服务名代替。
源端口和目的端口不定义时表示所有端口。
把这个ACL应用上去后,用户们开始打电话来骂娘了,因为他们都访问不了Internet了,是哪里出了问题了呢?注意:所有的ACL,缺省情况下,从安全角度考虑,最后都会隐含一句deny any(标准ACL)或deny ip any any(扩展IP ACL)。
所以在不了解业务会使用到哪些端口的情况下,最好在ACL的最后加上一句permit ip any any,在这里就是access-list 101 permit ip any any。
现在用户倒是能够访问Internet了,但我们的可怜的网管却发现普通用户还是能够telnet到他的SWA 上面,因为SWA上面有很多个网络接口,而且使用扩展的ACL会消耗很多的资源。
有什么简单的办法能够控制用户对网络设备的Telnet访问,而又不消耗太多的资源呢?这就需要使用到:对网络设备自身的访问如何进行控制的技术让我们先把刚才配置的ACL都取掉(具体配置略,不然后读者会以为我在骗稿费了。
),再在每台网络设备上均进行如下配置:access-list 1 permit host 10.1.6.66line vty 0 4(部分设备是15)access-class 1 in这样就行了,telnet都是访问的设备上的line vty,在line vty下面使用access-class与ACL组进行关联,in关键字表示控制进入的连接。