1つは、ACLの概要
1.1アクセス制御リスト
(アクセス制御リスト)
重要度:高!
1.2 ACLの役割
ACLはパケットフィルタリングテクノロジーです。
1.3 ACLアプリケーションのシナリオ
ルーター上、ファイアウォール上
ルーターはACLと呼ばれます。
一般にファイアウォールのポリシーと呼ばれます!ポリシーはACLのアップグレードバージョンであり、IP、ポート、プロトコル、およびアプリケーションレイヤーデータに基づいてフィルタリングできます。
2. ACLをフィルタリングする方法は?
ACLは、データパケットのIPアドレスとポート番号に基づいてデータパケットをフィルター処理します。
3、ACL分類
3.1標準ACL
標準---標準
表番号:1-99または1300-1999
機能:送信元IPアドレスに基づいてのみパケットをフィルタリングします!
3.2拡張ACL
拡張---拡張
表番号:100-199または2000-2699
機能:送信元IPアドレス、宛先IPアドレス、宛先ポート番号、プロトコルなどに基づいてパケットをフィルタリングできます。
4、ACLフィルタリングの原則
4.1 ACLを構成するためのFei Geのヒント
1)先判断要控制的数据流源和目标,并画出控制数据流的方向!进而判断ACL可以写在哪些路由器上!
2)打开那台路由器,开始编写ACL过滤规则!
3)最后将ACL表应用到某个接口的某个方向才能生效!
4.2 ACLの原則
1)ACL表配置完毕后,必须应用到接口的in或out方向上,才能生效!
2)一个接口的一个方向上只能应用一张表。
3)在所有ACL表的最后都有一条隐藏的拒绝所有条目(大boss) !
4)在匹配ACL时,是严格自上而下的匹配每一条的! 匹配成功,则完成动作,没匹配成功,则继续匹配下一条,如全部不匹配,则直接丢弃拒绝通过!(一定要注意书写的先后顺序!!)
5)标准ACL因为只能基于源IP对包进行过滤,so建议写在靠近目标端的地方!
6) 一个ACL编写完成后,默认情况下,不能删除某一条,也不能往中间插入新的条目,只能继续往最后追加新的条目!
4.3 ACLの説明原理のプロセス図
5、ACLコマンド
5.1標準ACLコマンド
conf t
access-list 表号 permit/deny 条件
No .: 1〜99の
条件:ソースIP +サブネットマスクtrans
transサブネットマスク:0.0.0.255 0は完全一致を表し、255は一致する必要はありません。
例えば:
access-list 1 deny 192.168.1.0 0.0.0.255 # 拒绝源IP为192.168.1.0网段的流量
access-list 1 permit 0.0.0.0 255.255.255.255 # 允许所有网段
access-list 1 deny 192.168.2.1 0.0.0.0 # 拒绝一台主机/拒绝一个人
簡素化する:
0.0.0.0 255.255.255.255 == any
192.168.2.1 0.0.0.0 == host 192.168.2.1
簡略化後:
access-list 1 deny 192.168.1.0 0.0.0.255 # 拒绝源IP为192.168.1.0网段的流量
access-list 1 permit any # 允许所有网段
access-list 1 deny host 192.168.2.1 # 拒绝一台主机/拒绝一个人
5.2拡張ACLコマンド
conf t
access-list 表号 permit/deny 协议 源IP 反掩码 目标IP 反掩码 [eq 端口号]
表番号:100-199
プロトコル:TCP / UDP / IP / ICMP ( ポート番号を書き込む場合は、tcpまたはudpのみを書き込み)
注:ICMPプロトコルはpingコマンドで使用されるプロトコル、ICMPプロトコルは ネットワークプロトコル検出 、その他のping 、ICMP検出パケットを生成して相手に送信することです。その後、相手はICMP検出パケットで応答します。つまり、pingは成功します。
[]:オプション
次の場合:
conf t
access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.6.1 0.0.0.0 eq 80
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 101 permit ip any any
別のケース:
access-list 102 deny icmp 192.168.1.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 102 permit ip any any
これは別のケースです:
acc 103 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
acc 103 permit ip 192.168.1.0 0.0.0.255 host 192.168.6.1
acc 103 deny ip any any
これは別のケースです:
acc 104 deny ip host 192.168.1.1 any
acc 104 permit ip any any
5.3 ACLテーブルをインターフェースに適用する
int f0/1
ip access-group 102 in/out
exit
5.4すべてのACLテーブルを表示および一覧表示する
show ip access-list
6、名前付きACL
6.1名前付きACLでテーブルを作成する方法
conf t
ip access-list extended表名
許可/拒否から各エントリの編集を開始します
exitを書き込んだ後、終了できます!
6.2 ACLに名前を付けることの利点
名前付きACL形式を使用して、特定のものを削除するか、特定のものを挿入します!
例えば:
R1(config)#do sh ip acce
Extended IP access list 120
10 deny icmp any any
20 deny udp 192.168.1.0 0.0.0.255 any eq domain
30 permit ip any any
1つのアイテムを削除できます。2番目のアイテムを削除する必要がある場合は、次の操作を行います。
R1(config)#ip access-list extended 120
R1(config-ext-nacl)#no 20
R1(config-ext-nacl)#exit
結果は次のとおりです。
R1(config)#do sh ip acce
Extended IP access list 120
10 deny icmp any any
30 permit ip any any
R1(config)#
注:特定のアイテムを挿入する必要がある場合は、アイテムの前に番号を追加する必要があります。