ACL(Access Control List):访问控制列表,它主要通过读取第三、四层的包头信息,再通过预定义好的规则进行匹配过滤,以达到访问控制的目的。大部分的路由交换系统中都集成了ACL功能。以下分别以思科和华为设备为例记录简单的ACL基础知识及命令配置。
#思科
ACL的分类:
1.标准访问控制列表
表号:1-99
特点:基于源IP来进行匹配过滤
2.扩展访问控制列表
表号:100-199
特点:基于源IP、目的IP、端口号、协议类型进行匹配过滤
3.命名访问控制列表
表号:无
特点:利用名称来定义ACL条目,使条目的含义看上去更直观,淡化了标准和扩展的界限
ACL的规则:
1.ACL匹配顺序是至上而下
2.ACL在应用中应把具体的条目放在最前面
3.一张ACL表中至少要有一条Permit
4.标准ACL应放在离目的地近的地方、扩展ACL放在离源近的地方
5.标准ACL和扩展ACL删除条目时、不能单独删除某一个条目,只能针对整张表进行删除
6.每一个接口的一个方向上只能应用一张ACL
7.ACL配置完成后需要调用才能生效,可以直接在接口下,也可以配合路由映射图
8.每张ACL中都有一条隐含Deny
ACL的简单配置命令:
Router(config)#access-list 1 permit 12.1.1.2 0.0.0.0
Router(config)#access-list 100 permit tcp host 12.1.1.2 host 34.1.1.4 eq telnet
Router(config-if)#ip access-group 1 out
Router(config)#route-map acl permit 10
Router(config-route-map)#match ip address 1
#华为
ACL分类:
[acl]acl number ?
INTEGER<2000-2999> Basic access-list(add to current using rules)
INTEGER<3000-3999> Advanced access-list(add to current using rules)
INTEGER<4000-4999> Specify a L2 acl group
INTEGER<5000-5999> User defined access-list
1.基本访问控制列表
表号:2000-2999
2.高级访问控制列表
表号:3000-3999
3.二层访问控制列表
表号:4000-49999
4.自定义访问控制列表
表号:5000-59999
基本访问控制列表配置如下:
[acl]acl number 2100
[acl-acl-basic-2100]rule 10 permit source 12.1.1.1 0 //默认rule id的布进是5
高级访问控制列表配置如下:
[acl]acl number 3010
[acl-acl-adv-3010]rule deny tcp source 12.1.1.1 0 destination 34.1.1.2 0 destination-port eq 23
[acl-acl-adv-3010]rule permit tcp source 23.1.1.1 0 destination 34.1.1.2 0 destination-port eq 23
[acl-acl-adv-3010]quit
[acl]dis current-configuration
#
acl number 2100
rule 10 permit source 12.1.1.1 0
#
acl number 3010
rule 5 deny tcp source 12.1.1.1 0 destination 34.1.1.2 0 destination-port eq te
lnet
rule 10 permit tcp source 23.1.1.1 0 destination 34.1.1.2 0 destination-port eq
telnet
#
原文链接:
http://www.wblog.me/97.html5000-5999>4000-4999>3000-3999>2000-2999>
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。