ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

Cisco-ACL

2021-09-21 09:35:26  阅读:122  来源: 互联网

标签:Cisco 0.0 list 192.168 ACL access 列表


一、ACL是什么?

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

二、ACL的两大主要功能

1.流量控制

2.匹配感兴趣流量

三、ACL的类型

1.标准访问控制列表
只能根据源地址做过滤
针对整个协议采取相关动作(允许或禁止)
2.扩展访问控制列表
能根据源、目的地地址、端口号等等进行过滤
能允许或拒绝特定的协议
3.命名访问控制列表
****标准和扩展ACL的缺陷****
无法编辑或删除或添加
删除的话,得整个删除列表
使用数字编号,不直观
命名访问控制列表解决了以上几点缺陷

四、ACL的标示

IPv4 ACL Type
标准访问控制列表取值范围:1-99,1300-1999
扩展访问扩展列表取值范围:100-199,2000-2699

五、标准访问控制列表的配置

Router(config)# access-list access-list-number 动作{permit/deny} 源地址(source)通配符(wildcard mask)

eg: access-list 1 deny 192.168.1.0 0.0.0.255
(1)编号一般选择1-99
(2)通配符若无,默认0.0.0.0
(3)"no access-list access-list-number"将会删除整个ACL列表
在相应接口上进行应用
Router(config-if)#ip access-group access-list-number { in | out }
(1)在接口中应用
(2)应用时关联入或出站方向
(3)默认出站
(4)“no ip access-group access-list-number”可移除接口上应用的访问列表
eg: interface f0/0——将配置好的ACL添加到相应的接口上
ip access-group 1 in/out
在这里插入图片描述

如图所示,为ACL应用到接口的工作过程

通配符和掩码的区别
通配符是用来匹配特定的位
0 需严格匹配
1 表示无所谓
eg:
192.168.1.0 0.0.0.255——>192.168.1.0-192.168.1.255
192.168.1.1 0.0.0.0——>192.168.1.1
192.168.1.1 0.0.0.2——>192.168.1.0-192.168.1.3
192.168.1.1 0.0.0.000000XX 有四种结果
通配符缩写:access-list 1 deny/permit 192.168.1.1 0.0.0.0 = host 192.168.1.1 (精确匹配某个ip时)
access-list 1 permit/deny 0.0.0.0 255.255.255.255 = any (匹配所有IP)
默认情况下隐含一条ACL(access-list 1 deny any),配置完其它ACL不改变这条ACL的动作的话,其它ACL命令不会生效
配置完其它,access-list 1 permit any记得加上
ACL不能对本地始发的流量做过滤,只能对穿越本地路由器的流量做过滤

六、扩展访问控制列表的配置

格式:access-list 100 permit | deny 协议号 源地址 通配符 目的地址 通配符

七、命名访问控制列表

ip access-list {extended(可扩展) | standard(标准)}自定义列表名称

自定义编号+permit | deny 协议号 源地址 通配符 目的地址 通配符
以下图为例,自定义编号10和20两条ACL策略,如果想添加新的ACL策略,那么在10-20之间的数值可以进行相应的添加
在这里插入图片描述

标签:Cisco,0.0,list,192.168,ACL,access,列表
来源: https://blog.csdn.net/qq_44526151/article/details/120397392

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有