Um, visão geral da ACL
1.1 Lista de controle de acesso
(Lista de controle de acesso)
Nível de importância: alto!
1.2 A função da ACL
ACL é uma tecnologia de filtragem de pacotes!
1.3 Cenários de aplicação ACL
No roteador, no firewall
O roteador é denominado ACL!
Geralmente chamadas de políticas em firewalls! A política é uma versão atualizada do ACL, que pode ser filtrada com base em IP, porta, protocolo e dados da camada de aplicativo
2. Como filtrar ACL?
ACL é para filtrar pacotes de dados com base no endereço IP e no número da porta no pacote de dados!
Três, classificação ACL
3.1 ACL padrão
Padrão --- Padrão
Tabela No: 1-99 ou 1300-1999
Características: Filtre apenas os pacotes com base no endereço IP de origem!
3.2 ACL estendida
Estendido --- Estendido
Tabela No: 100-199 ou 2000-2699
Características: Pode filtrar pacotes com base no endereço IP de origem, endereço IP de destino, número da porta de destino, protocolo, etc.!
Quatro, princípio de filtragem ACL
4.1 Dicas de Fei Ge para configurar ACL
1)先判断要控制的数据流源和目标,并画出控制数据流的方向!进而判断ACL可以写在哪些路由器上!
2)打开那台路由器,开始编写ACL过滤规则!
3)最后将ACL表应用到某个接口的某个方向才能生效!
4.2 Princípio da ACL
1)ACL表配置完毕后,必须应用到接口的in或out方向上,才能生效!
2)一个接口的一个方向上只能应用一张表。
3)在所有ACL表的最后都有一条隐藏的拒绝所有条目(大boss) !
4)在匹配ACL时,是严格自上而下的匹配每一条的! 匹配成功,则完成动作,没匹配成功,则继续匹配下一条,如全部不匹配,则直接丢弃拒绝通过!(一定要注意书写的先后顺序!!)
5)标准ACL因为只能基于源IP对包进行过滤,so建议写在靠近目标端的地方!
6) 一个ACL编写完成后,默认情况下,不能删除某一条,也不能往中间插入新的条目,只能继续往最后追加新的条目!
4.3 Diagrama de processo do princípio de explicação do ACL
Cinco, comandos ACL
5.1 Comandos ACL padrão
conf t
access-list 表号 permit/deny 条件
Nº: 1-99
condições: fonte IP + Máscara de sub-rede trans
trans Máscara de sub-rede: 0.0.0.255 0 representante de uma correspondência exata e 255 não precisa corresponder!
Por exemplo:
access-list 1 deny 192.168.1.0 0.0.0.255 # 拒绝源IP为192.168.1.0网段的流量
access-list 1 permit 0.0.0.0 255.255.255.255 # 允许所有网段
access-list 1 deny 192.168.2.1 0.0.0.0 # 拒绝一台主机/拒绝一个人
simplificar:
0.0.0.0 255.255.255.255 == any
192.168.2.1 0.0.0.0 == host 192.168.2.1
Após simplificação:
access-list 1 deny 192.168.1.0 0.0.0.255 # 拒绝源IP为192.168.1.0网段的流量
access-list 1 permit any # 允许所有网段
access-list 1 deny host 192.168.2.1 # 拒绝一台主机/拒绝一个人
5.2 Comandos ACL estendidos
conf t
access-list 表号 permit/deny 协议 源IP 反掩码 目标IP 反掩码 [eq 端口号]
Número da tabela: 100-199
protocolos: TCP / UDP / IP / ICMP ( ao escrever um número de porta, escreva apenas tcp ou udp)
Notas: o protocolo ICMP é o protocolo usado pelo comando ping, o protocolo ICMP é uma detecção de protocolo de rede , ping outros , É gerar um pacote de detecção ICMP e enviá-lo para a outra parte, e então a outra parte me responde com um pacote de detecção ICMP, o que significa que o ping foi bem-sucedido!
[]: Opcional
O seguinte caso:
conf t
access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.6.1 0.0.0.0 eq 80
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 101 permit ip any any
Outro caso:
access-list 102 deny icmp 192.168.1.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 102 permit ip any any
Aqui está outro caso:
acc 103 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
acc 103 permit ip 192.168.1.0 0.0.0.255 host 192.168.6.1
acc 103 deny ip any any
Aqui está outro caso:
acc 104 deny ip host 192.168.1.1 any
acc 104 permit ip any any
5.3 Aplicar tabela ACL à interface
int f0/1
ip access-group 102 in/out
exit
5.4 Ver e listar todas as tabelas ACL
mostrar lista de acesso IP
Seis, denominado ACL
6.1 O método de criação de uma tabela com acl nomeado
conf t
lista de acesso IP estendida 表 名
Comece a editar cada entrada de permitir / negar
Você pode sair após escrever exit!
6.2 Benefícios de nomear ACLs
Use o formato ACL nomeado para excluir um determinado ou insira um certo!
Por exemplo:
R1(config)#do sh ip acce
Extended IP access list 120
10 deny icmp any any
20 deny udp 192.168.1.0 0.0.0.255 any eq domain
30 permit ip any any
Você pode excluir um item, se precisar excluir o segundo item, faça o seguinte:
R1(config)#ip access-list extended 120
R1(config-ext-nacl)#no 20
R1(config-ext-nacl)#exit
Os resultados são os seguintes:
R1(config)#do sh ip acce
Extended IP access list 120
10 deny icmp any any
30 permit ip any any
R1(config)#
Nota: Se você precisar inserir um determinado item, será necessário adicionar um número antes do item!