01-访问控制列表
一、ACL介绍
访问控制列表ACL是一种基于包过滤的访问控制技术 会降低速率 实现网络安全
传输---->分段
每小段---->包
所有小段---->流
二、功能:可以定义一系列不同的规则
1、
ACL需要设备接口进行入方向或出方向的调用。根据这些规则对数据进行分类,对不同类型的报文执行不同得物处理动作
源IP 目的IP 源端口 目的端口 协议
①、匹配流量======>五元组 先匹配出来才能控制
②、访问控制
2、通配符:
ospf中 network 192.168.1.0 0.0.0.255 area 0
0.0.0.255 通配符
0表示匹配
1表示不匹配 (255是8个1)
255.255.255.255表示 所有地址
192.168.0.1
0.0.3.255
子网划分:
1、先把反掩码变成正掩码 255.255.252.0
2、块大小 (只能是2的n次方)(特殊的掩码+1) 256-252=4
3、范围 0在以4为一个范围的哪个范围内 0-3中
所有匹配出来的地址就是
192.168.0.0(最小值) 192.168.3.255(最大值)
3、奇偶匹配:奇数末位为1 偶数末位为0
1 0001
2 0010
3 0011
4 0100
匹配最后一位
192.168.0.1
0.0.254.255
192.168.偶.x
看254对应的数字为奇偶
4、ACL语句 ACE 访问控制表项
ACE匹配顺序 自上而下,即编号从低到高
一旦匹配成功,则跳出ACL
默认存在一条默认拒绝所有 deny any any
序号10 20 方便中间插入
标准ACL只能拒绝源IP地址
扩展ACL 可以匹配源IP/目的IP,协议(TCP/IP)、协议信息(端口号、标志代码)登特定功能(五元组)
5、ACL命名
标准ACl 1--99,1300--1999
扩展ACL 100--199,2000--2699
自定义名称 写明标准还是扩展ACL
6、书写原则
1、ACL书写步骤
①、确定配置位置
拒绝xxx:
因为标准ACL只能匹配源地址,因此离目的近。 精准些
扩展ACL离源近
只允许xxx:
标准ACL:离目的近
扩展ACL:离目的近
②、配置ACL
拒绝xxx:
deny xxx
permit any
只允许xxx:
peimit xxx
配置ACL注意事项:
1、配置顺序: 先小后大,先写小范围 后写大范围
2、一个ACl至少有一条允许的语句 permit
②、调用ACL:
确定接口方向 画线法
2、配置 命令:
192.168.10.0 0.0.0.0 == host 192.168.10.0
0.0.0.0 255.255.255.255 == any 匹配所有
方法一:
ip access-list standard 1
10 deny host 192.168.1.1
15 deny host 192.168.2.1
20 permit any
方法二:
access-list 2 permit hos 192.168.1.1
两种方法一样的效果
标准acl:
1:拒绝PC4访问PC6R3的g0/0口出方向
deny ip host 192.168.1.4
permit any
R3(config)ip access-list standard 1
R3(config-std-nacl)deny host 192.168.1.4
R3(config-std-nacl)permit any
R3(config-std-nacl)int g0/0
R3(config-if-GigabitEthernet 0/0)#ip access-group 1 out
2:只允许PC4 访问PC6
R3 g0/0 出permit host 192.168.1.4
R3(config)#access-list 2 permit host 192.168.1.4
ip access-list standard 2 permit host 192.168.1.4
扩展ACL
1:拒绝R1访问R3的telnet流量
access-list 100 permit host 源ip host 目的ip
ip access-list extend deny telnet
10 deny tcp host 12.1.1.1 host 23.1.1.3 eq telnet
20 permit ip any any
int g0/0 ip access-group deny telnet in
基于时间的acl:
R2(config)time-range work
R2(config-time-range)periodic weekdays 9:30 to 17:30
R2(config)#ip access-list extended denytelnet
10 deny tcp host 12.1.1.1 host 23.1.1.3 eq telnet time-range work
20 permit ip any any
NTP时间同步协议R1clock set 14:16:00 6 22 2024
R1(config)ntp master //配置成为NTP服务器
R2(config)#ntp server 12.1.1.1 //客户端设置服务器地址
标签:01,访问控制,ip,192.168,ACL,host,permit,列表,any From: https://www.cnblogs.com/nyanonCat/p/18635749/01access-control-list-iwhrq