ACL del enrutador

Lista de control de acceso de ACL

1. Lista de control de acceso

2. ACL es una tecnología de filtrado de paquetes.

3. ACL se basa en la dirección IP del encabezado del paquete IP, el número de puerto del encabezado TCP / UDP de la cuarta capa, [Datos de la capa 5] se
   basa en el filtrado de la tercera y cuarta capa

4. ACL se configura en el enrutador o en el firewall (generalmente llamado política)

5. La ACL se divide principalmente en 2 categorías:
   1) ACL estándar
   2) ACL extendida

6. ACL estándar:
   Número de tabla: 1-99
   Características : Filtrar solo paquetes según la IP de origen
   Comando:
   conf t
   Número de tabla de lista de acceso permitir / denegar IP de origen o segmento de red de origen Máscara anti-subred
   Nota: Máscara anti-subred: Invierta el positivo máscara de subred 0 y
   1255.0.0.0 - 0.255.255.255
   255.255.0.0 - 0.0.255.255
   255.255.255.0 - 0.0.0.255
   Función de máscara anti-subred: se utiliza para hacer coincidir las condiciones, y el 0 correspondiente debe coincidir estrictamente, ignore el correspondiente 1!

   Por ejemplo: access-list 1 deny 10.0.0.0 0.255.255.255
   Explicación: ¡Esta entrada se usa para denegar todas las IP de origen que comienzan con 10!

                     access-list   1   deny   10.1.1.1  0.0.0.0
           解释：该条目用来拒绝所有源IP为10.1.1.1的主机
           简写： access-list   1   deny   host  10.1.1.1
   
            access-list   1   deny   0.0.0.0  255.255.255.255
           解释：该条目用来拒绝所有所有人
           简写： access-list   1   deny   any
   

El caso completo:
conf t
acc 1 deny host 10.1.1.1
acc 1 deny 20.1.1.0 0.0.0.255
acc 1 permit any

Ver la tabla de ACL:
muestre la lista de acceso IP [ID de la tabla]

Aplicar ACL a la interfaz:
int f0 / x
número de tabla de grupo de acceso ip entrada / salida
salida

sh run

7. ACL extendida:
Número de tabla: 100-199
Características: puede filtrar paquetes según la IP de origen, IP de destino, número de puerto, protocolo, etc.
Comando:
acc 100 permitir / denegar protocolo IP de origen o destino de máscara anti-subred de segmento de red de origen Máscara de subred inversa del segmento de red de origen o IP [número de puerto eq]
Nota: Protocolo: tcp / udp / icmp / ip

案例 ：
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 permit icmp host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 permit ip any any

8. Principio de ACL
   1) ¡La tabla de ACL debe aplicarse a la dirección entrante o saliente de la interfaz para que surta efecto!
   2) ¡Solo se puede aplicar una tabla a una dirección de una interfaz!
   3) ¿Aplicación de dirección hacia adentro o hacia afuera? Depende de la dirección general del control de flujo.
   4) La tabla ACL verifica cada entrada estrictamente de arriba a abajo, por lo que se requiere la secuencia de escritura principal.
   5) Cada entrada se compone de condiciones y acciones. Cuando el flujo cumple completamente las condiciones , cuando un flujo determinado no cumple con una condición determinada, continúe verificando la siguiente.
   6) Escriba el ACL estándar lo más cerca posible del objetivo.
   7) Principio de Wencoll:
   1) Para el control del flujo, primero debemos determinar dónde la ACL está escrita (¿qué enrutador? ¿En qué dirección está la interfaz?)
   2) Reconsidere cómo escribir ACL.
   3) ¿Cómo escribir?
   En primer lugar, debe juzgar si desea permitir todo o negar todo,
   y luego prestar atención al escribir: escriba control estricto en el frente
   8) Generalmente, una vez que se escribe el número de acl estándar o extendido, uno no se puede modificar ni eliminar . No puede modificar el orden, ni puede insertar nuevas entradas en el medio, solo puede agregar nuevas entradas al final.
   Si desea modificar o insertar o eliminar, solo puede eliminar toda la tabla y volver a escribir!
   conf t
   sin número de tabla de lista de acceso

9. Denominación de ACL:
Función: Puede personalizar la denominación de las ACL estándar o extendidas
Ventajas: ¡La denominación personalizada es más fácil de identificar y fácil de recordar!
Puede modificar un elemento a voluntad, eliminar un elemento o insertar un elemento en el medio

Comando:
conf t
ip access-list estándar / extendido Personalizar el nombre de la tabla
Comenzar a escribir la entrada de ACL
salir de denegar o permitir

Eliminar una entrada :
ip access-list estándar / nombre de tabla personalizado extendido
sin ID de entrada
salir

Inserte una entrada :
ip access-list estándar / extendido nombre de la tabla personalizada
entrada ID acción condición
salir