首页 博客列表 精选博客 智能问答 chat-GPT 关于我
(更新时间)2021年5月10日 网络安全 ACL
发布日期:2021-06-29 15:16:04 浏览次数:2 分类:技术文章

本文共 1798 字,大约阅读时间需要 5 分钟。

ACL

  1. Access Control List

  2. ACL是一种包过滤技术。

  3. ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号、[5层数据]

    基于三层和四层过滤

  4. ACL在路由器上配置,也可以在防火墙上配置(一般称为策略)

  5. ACL主要分为2大类:

    1)标准ACL
    2)扩展ACL

  6. 标准ACL:

    表号:1-99
    特点:只能基于源IP对包进行过滤
    命令:
    conf t
    access-list 表号 permit/deny 源IP或源网段 反子网掩码
    注释:反子网掩码:将正子网掩码0和1倒置
    255.0.0.0 – 0.255.255.255
    255.255.0.0 – 0.0.255.255
    255.255.255.0 – 0.0.0.255
    反子网掩码作用:用来匹配条件,与0对应的需要严格匹配,与1对应的忽略!

    例如: access-list 1 deny 10.0.0.0 0.255.255.255

    解释:该条目用来拒绝所有源IP为10开头的!

    access-list 1 deny 10.1.1.1 0.0.0.0

    解释:该条目用来拒绝所有源IP为10.1.1.1的主机

    简写: access-list 1 deny host 10.1.1.1

    access-list 1 deny 0.0.0.0 255.255.255.255

    解释:该条目用来拒绝所有所有人
    简写: access-list 1 deny any

完整的案例:

conf t
acc 1 deny host 10.1.1.1
acc 1 deny 20.1.1.0 0.0.0.255
acc 1 permit any

查看ACL表:

show ip access-list [表ID]

将ACL应用到接口:

int f0/x
ip access-group 表号 in/out
exit

sh run

7.扩展ACL:

表号:100-199
特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤
命令:
acc 100 permit/deny 协议 源IP或源网段 反子网掩码 目标IP或源网段 反子网掩码 [eq 端口号]
注释:协议:tcp/udp/icmp/ip

案例:

acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 permit icmp host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 permit ip any any

  1. ACL原理
    1)ACL表必须应用到接口的进或出方向才生效!
    2)一个接口的一个方向只能应用一张表!
    3)进还是出方向应用?取决于流量控制总方向
    4)ACL表是严格自上而下检查每一条,所以要主要书写顺序
    5)每一条是由条件和动作组成,当流量完全满足条件当某流量没有满足某条件,则继续检查下一条
    6)标准ACL尽量写在靠近目标的地方
    7)wencoll小原理:
    1)做流量控制,首先要先判断ACL写的位置(那个路由器?那个接口的哪个方向?)
    2)再考虑怎么写ACL。
    3)如何写?
    首先要判断最终要允许所有还是拒绝所有
    然后写的时候要注意:将严格的控制写在前面
    8)一般情况下,标准或扩展acl一旦编写号,无法修改某一条,也无法删除某一条,也无法修改顺序,也无法往中间插入新的条目,只能一直在最后添加新的条目
    如想修改或插入或删除,只能删除整张表,重新写!
    conf t
    no access-list 表号

9.命名ACL:

作用:可以对标准或扩展ACL进行自定义命名
优点:自定义命名更容易辨认,也便于记忆!
可以任意修改某一条,或删除某一条,也可以往中间插入某一条

命令:

conf t
ip access-list standard/extended 自定义表名
开始从deny或permit编写ACL条目
exit

删除某一条:

ip access-list standard/extended 自定义表名
no 条目ID
exit

插入某一条:

ip access-list standard/extended 自定义表名
条目ID 动作 条件
exit

转载地址:https://codeboy.blog.csdn.net/article/details/116573743 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!

上一篇:(更新时间)2021年5月11日 MongoDB数据库 MongoDB面试题
下一篇:(更新时间)2021年5月9日 网络安全 SHRP协议

发表评论

最新留言

第一次来,支持一个
[***.219.124.196]2024年04月15日 22时36分50秒

关于作者

    喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!

推荐文章

现在做硬件工程师还有前途吗? 2019-04-29
华为被超越!这家公司成中国最大智能手机制造商,不是小米! 2019-04-29
芯片为什么持续缺货? 2019-04-29
美国无人机在火星首飞成功,创造历史,3米飞行高度悬停30秒 2019-04-29
缺货涨价很久的MCU的国产和国外厂家汇总!(80家) 2019-04-29
单片机6年想转嵌入式Linux ,不知如何下手? 2019-04-29
华为重磅反击,鸿蒙来了! 2019-04-29
常用电子接口大全,遇到不认识的,就翻出来对照辨认! 2019-04-29
芯片IC附近为啥要放0.1uF的电容? 2019-04-29
电赛 | 19年全国一等奖,北航学子回忆录。 2019-04-29
电赛 | 19年全国一等奖,北航学子回忆录(上) 2019-04-29
电赛 | 19年全国一等奖,北航学子回忆录(下) 2019-04-29
突破!台积电1nm芯片,有了新进展。 2019-04-29
一文读懂全系列树莓派! 2019-04-29
自制一个害羞的口罩,见人就闭嘴,戴着可以喝奶茶 2019-04-29
聊聊我是如何编程入门的 2019-04-29
J-Link该如何升级固件? 2019-04-29
485通信自动收发电路,历史上最详细的解释 2019-04-29
【视觉盛宴三】不好意思,这些线材接口的横截面真的没见过 2019-04-29
一位头发发白的神人教你怎么写程序,运维,买电脑,写文章,平面设计! 2019-04-29
白红宇的个人博客 - 记录点点滴滴的事 - 您是第 310005858 位访客
访问时间: 2024-05-02 12:03:14 访问IP: 18.191.157.186     Copyright © 2020 - 2023 blog.css8.cn 京ICP备2021015314号-1 手机版