ACL(Access Control List)是一种网络安全技术,用于控制网络通信和访问权限。它使用规则列表以限制哪些计算机或网络服务可以与另一个计算机或网络服务进行通信,从而为网络提供了一个基本安全机制。
包过滤
ACL还有一个很重要的特性就是包过滤,它可以在网络中可以用于包过滤,可以实现对进入和离开网络的IP数据包进行过滤和控制
ACL包过滤原理:
下面是一个有关ACL包过滤的实例,ACL面对不同网络的连接,会去查看其是否为80端口,依次来作出permit
还是deny
了解了ACL的基本概念后,我们来学习一下标准ACL该如何配置
然后我们通过两个示例来看看ACL的通配符掩码
192.168.10.10
通过基本语法:
Router(config)# access-list access-list-number {deny|permit} source [source-wildcard ]
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#acc
Router(config)#access-list 10 permit 192.168.10.0 0.0.0.255
Router(config)#ex
Router#
%SYS-5-CONFIG_I: Configured from console by consol
show access-lists
就可以看到我们打ACL的情况Router#show acc
Router#show access-lists
Standard IP access list 10
10 permit 192.168.10.0 0.0.0.255
Router#
当然,打了ACL后也是可以取消的,那就是使用
no access-list
Router(config)#no access-list 10
Router(config)#ex
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#show ac
Router#show access-lists
Router#
看了上面的这些后可能还是比较懵,我再来举几个标准ACL的示例
192.168.10.10
的主机进行访问access-list 2 deny host 192.168.10.10
192.168.10.0
的网段进行访问access-list 2 permit 192.168.10.0 0.0.0.255
192.168.0.0
的网段进行访问access-list 2 deny 192.168.0.0 0.0.255.255
192.0.0.0
的网段进行访问access-list 2 permit 192.0.0.0 0.255.255.255
一、配置扩展ACL
access-list [编号] [permit/deny] [协议] [源IP地址] [通配符] [目的IP地址] [通配符] [操作符] [端口号]
来创建扩展ACL。其中,编号范围为100-199和2000-2699,协议可以是ip、tcp、udp等access-list 101 deny tcp 192.168.1.1 0.0.0.0 any eq 80
二、应用ACL
in
表示对进入接口的数据包进行过滤out
表示 对从接口发出的数据包进行过滤interface GigabitEthernet 0/0/1
三、验证配置ACL
show access-lists
来查看ACL的配置情况,使用命令show ip access-group
来查看ACL在接口下的应用情况show access-lists 101
;若想查看接口GigabitEthernet0/0/1上应用的ACL情况,则可以使用命令show ip access-group interface GigabitEthernet 0/0/1
四、配置结果查看
deny
一条【192.168.1.0】的网段外,对其他的网段全部都是开放的192.168.1.0
这个网段中的所有主机都过不来了,但是192.168.2.0
中的主机都是可以过来的172.16.1.0
网段中的主机PC5即可。可以观察到有一条结果是这下面这样,这表示【不可达】Destination host unreachable
看完了标准 ACL后,我们再来看看的扩展ACL该如何实现
首先来看看扩展ACL的基础语法
首先我们要了解一下扩展ACL的过滤条件
① 源地址
② 目的地址
③ 协议
④ 端口号
示例一
192.168.20.0
这个网段中的任何主机通过TCP连接进行访问192.168.20.0
这个网段中的任何主机通过TCP连接,然后进行Telnet远程登录进行访问下面是扩展的ACL拓扑,和标准ACL拓扑是一样的
10 deny icmp host 192.168.1.1 any echo
192.168.1.1
的主机
20 permit ip any any (10 match(es))
30 permit tcp host 192.168.1.1 any eq telnet
配置结果查看
unreachable
的,就是因为最前面的deny icmp host 192.168.1.1
这句话permit ip any any
,除了192.168.1.1
的主机外其他主机都是可以过来的permit tcp host 192.168.1.1 any eq telnet
,此时我们可以在PC1处通过Telnet远程终端服务来进行一个访问,通过下图可以看出虽然PC1【ping】的时候确实是不可达,但上帝为其关了一扇门,也会为其开一扇窗最后来总结一下本文所学习的内容
以上就是本文要介绍的所有内容,感谢您的阅读