第二十四章、访问控制列表ACL
一、标准的访问控制列表(ACL)
1、基本概念
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。基于数据包的五元组进行过滤(源IP,目标IP,源端口,目标端口,协议)
读取三层(网络层)和四层(传输层)
2、工作原理
①当一个数据包进入一个端口,路由器检查这个数据包是否可路由。
如果是可以路由的,路由器检查这个端口是否有ACL控制进入数据包。
如果有,根据ACL中的条件指令,检查这个数据包。
如果数据包是被允许的,就查询路由表,决定数据包的目标端口。
②路由器检查目标端口是否存在ACL控制流出的数据包。
若不存在,这个数据包就直接发送到目标端口。
若存在,就再根据ACL进行取舍。然后在转发到目的端口。
总之,一入站数据包,由路由器处理器调入内存,读取数据包的包头信息,如目标IP地址,并搜索路由器的路由表,查看是否在路由表项中,如果有,则从路由表的选择接口转发(如果无,则丢弃该数据包),数据进入该接口的访问控制列表(如果无访问控制规则,直接转发),然后按条件进行筛选。 [4]
当ACL处理数据包时,一旦数据包与某条ACL语句匹配,则会跳过列表中剩余的其他语句,根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配,那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续,直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配,通常会隐含拒绝一切数据包的指令。此时路由器不会让这些数据进入或送出接口,而是直接丢弃。最后这条语句通常称为隐式的“deny any”语句。由于该语句的存在,所以在ACL中应该至少包含一条permit语句,否则,默认情况下,ACL将阻止所有流量
确定路由器的出口和入口,从而减少流量
二、访问控制列表分类
1、标准:基于源IP地址进行控制;有表号1-99
2、扩展:基于源IP,目的IP,指定协议,端口号标志位来过滤
表号:100-199
3、命名的:没有表号,使用名字作为表号
直接使用标准standard来标识标准ACL,extended来标识扩展ACL
三、配合标准ACL
创建访问列表
Access-list 1 permit host 192.168.1.1#标识主机
将访问控制列表应用到接口
Int
F0/1
Ip access-group 1 in/out #in是接口为入口。Out为出口
ACL的运用规则
在一个接口上只能运用一组访问控制列表
四、扩展的ACL
Access-list 100 permit/deny 协议(ICMP。Ip tcp)原地址 目的地址 eq
Gt/neq/ range
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
