TCP / IPセキュリティーACLアクセス制御リスト

1つは、ACLの概要

1.1アクセス制御リスト

（アクセス制御リスト）

重要度：高！

1.2 ACLの役割

ACLはパケットフィルタリングテクノロジーです。

1.3 ACLアプリケーションのシナリオ

ルーター上、ファイアウォール上

ルーターはACLと呼ばれます。

一般にファイアウォールのポリシーと呼ばれます！ポリシーはACLのアップグレードバージョンであり、IP、ポート、プロトコル、およびアプリケーションレイヤーデータに基づいてフィルタリングできます。

2. ACLをフィルタリングする方法は？

ACLは、データパケットのIPアドレスとポート番号に基づいてデータパケットをフィルター処理します。

3、ACL分類

3.1標準ACL

標準---標準

表番号：1-99または1300-1999

機能：送信元IPアドレスに基づいてのみパケットをフィルタリングします！

 

3.2拡張ACL

拡張---拡張

表番号：100-199または2000-2699

機能：送信元IPアドレス、宛先IPアドレス、宛先ポート番号、プロトコルなどに基づいてパケットをフィルタリングできます。

 

4、ACLフィルタリングの原則

4.1 ACLを構成するためのFei Geのヒント

1）先判断要控制的数据流源和目标，并画出控制数据流的方向！进而判断ACL可以写在哪些路由器上！
2）打开那台路由器，开始编写ACL过滤规则！
3）最后将ACL表应用到某个接口的某个方向才能生效！

4.2 ACLの原則

1）ACL表配置完毕后，必须应用到接口的in或out方向上，才能生效！  
2）一个接口的一个方向上只能应用一张表。
3）在所有ACL表的最后都有一条隐藏的拒绝所有条目（大boss） ！
4）在匹配ACL时，是严格自上而下的匹配每一条的！  匹配成功，则完成动作，没匹配成功，则继续匹配下一条，如全部不匹配，则直接丢弃拒绝通过！（一定要注意书写的先后顺序！！）
5）标准ACL因为只能基于源IP对包进行过滤，so建议写在靠近目标端的地方！
6) 一个ACL编写完成后，默认情况下，不能删除某一条，也不能往中间插入新的条目，只能继续往最后追加新的条目！

4.3 ACLの説明原理のプロセス図

5、ACLコマンド

5.1標準ACLコマンド

conf  t
access-list  表号  permit/deny  条件

No .: 1〜99の
条件：ソースIP +サブネットマスクtrans
transサブネットマスク：0.0.0.255 0は完全一致を表し、255は一致する必要はありません。

例えば：

access-list  1  deny  192.168.1.0  0.0.0.255        # 拒绝源IP为192.168.1.0网段的流量
access-list  1  permit  0.0.0.0  255.255.255.255    # 允许所有网段
access-list  1  deny  192.168.2.1  0.0.0.0          # 拒绝一台主机/拒绝一个人

簡素化する：

0.0.0.0  255.255.255.255  == any
192.168.2.1  0.0.0.0   ==  host  192.168.2.1

簡略化後：

access-list  1  deny  192.168.1.0  0.0.0.255              # 拒绝源IP为192.168.1.0网段的流量
access-list  1  permit  any                               # 允许所有网段
access-list  1  deny  host  192.168.2.1                   # 拒绝一台主机/拒绝一个人

5.2拡張ACLコマンド

conf  t
access-list 表号 permit/deny  协议  源IP 反掩码 目标IP 反掩码  [eq  端口号]

表番号：100-199
プロトコル：TCP / UDP / IP / ICMP （ ポート番号を書き込む場合は、tcpまたはudpのみを書き込み）
注：ICMPプロトコルはpingコマンドで使用されるプロトコル、ICMPプロトコルは ネットワークプロトコル検出 、その他のping 、ICMP検出パケットを生成して相手に送信することです。その後、相手はICMP検出パケットで応答します。つまり、pingは成功します。
[]：オプション

次の場合：

conf  t
access-list  101  permit  tcp  192.168.1.0  0.0.0.255  192.168.6.1  0.0.0.0   eq  80
access-list  101  deny    ip   192.168.1.0  0.0.0.255  192.168.6.0  0.0.0.255
access-list  101  permit  ip   any  any

別のケース：

access-list  102  deny  icmp  192.168.1.0  0.0.0.255  192.168.6.0  0.0.0.255
access-list  102  permit  ip  any  any

これは別のケースです：

acc  103  deny  tcp  192.168.1.0  0.0.0.255  host  192.168.6.1   eq  23
acc  103  permit  ip  192.168.1.0  0.0.0.255   host  192.168.6.1
acc  103  deny  ip  any  any

これは別のケースです：

acc  104  deny  ip  host  192.168.1.1  any
acc  104  permit  ip  any  any

5.3 ACLテーブルをインターフェースに適用する

int f0/1
    ip access-group 102 in/out
    exit

5.4すべてのACLテーブルを表示および一覧表示する

show ip access-list

6、名前付きACL

6.1名前付きACLでテーブルを作成する方法

conf t

ip access-list extended表名

許可/拒否から各エントリの編集を開始します

exitを書き込んだ後、終了できます！

6.2 ACLに名前を付けることの利点

名前付きACL形式を使用して、特定のものを削除するか、特定のものを挿入します！

例えば：

R1(config)#do sh ip acce
Extended IP access list 120
    10 deny icmp any any
    20 deny udp 192.168.1.0 0.0.0.255 any eq domain
    30 permit ip any any

1つのアイテムを削除できます。2番目のアイテムを削除する必要がある場合は、次の操作を行います。

R1(config)#ip access-list extended 120
R1(config-ext-nacl)#no 20
R1(config-ext-nacl)#exit

結果は次のとおりです。

R1(config)#do sh ip acce
Extended IP access list 120
    10 deny icmp any any
    30 permit ip any any
R1(config)#

注：特定のアイテムを挿入する必要がある場合は、アイテムの前に番号を追加する必要があります。