使用 acl 的指導原則:
命名 acl:
為 acl 指定名稱:
名稱中可以包含字母數字字元。
建議名稱以大寫字母書寫。
名稱中不能包含空格或標點,而且必須以字母開頭。
您可以新增或刪除 acl 中的條目。
acl 的最佳做法(注:使用 acl 時務必小心謹慎、關注細節。一旦犯錯可能導致代價極高的後果,例如停機、耗時的故障排查以及糟糕的網路服務)
指導原則:根據組織的安全策略設定 acl。優點:可確保遵循組織的安全要求。
指導原則:記下您打算用 acl 來達到什麼目的。優點:有助於避免不小心造成訪問問題。
指導原則:使用文字編輯器來建立、編輯和儲存 acl。優點:有助於建立可重複使用的 acl 庫。
指導原則:在生產網路中部署 acl 之前,先在開發網路中進行測試。優點:可避免造成代價高昂的錯誤。
配置標準 acl:
標準 acl 命令的完整語法如下:
router(config)#access-list access-list-number(acl 的編號。這是乙個十進位制數,值在 1 到 99 或 1300 到 1999 之間,適用於標準 acl)) [deny(匹配條件時拒絕訪問)|permit(匹配條件時准許訪問)|remark(在 ip 訪問列表中新增備註,增強列表的可讀性,每條注釋限制在 100 個字元以內)] [log](可選,對匹配條目的資料報生成資訊性日誌訊息,該訊息將隨後傳送到控制台。控制台採用哪種級別記錄該訊息取決於 logging console 命令。訊息內容包括 acl 號、資料報是被允許還是拒絕、源位址以及資料報數目。此訊息在出現與條件匹配的第乙個資料報時生成,隨後每五分鐘生成一次,其中會包含在過去的五分鐘內允許或拒絕的資料報的數量。)
例:router(config)#access-list 10 remark permit hosts from the 192.168.10.0 lan
router(config)#access-list 10 permit 192.168.10.0
設定出入介面:
router(config-if)#ip access-group
使用 acl 控制 vty 訪問:
access-classaccess-list-number (引數 in 限制特定 cisco 裝置與訪問列表中位址之間的傳入連線,而引數 out 則限制特定 cisco 裝置與訪問列表中位址之間的傳出連線)注:當配置 vty 上的訪問列表時,應該考慮以下幾點:只有編號訪問列表可以應用到 vty。應該在所有 vty 上設定相同的限制,因為使用者可以嘗試連線到任意 vty
例:router(config)#access-list 10 permit 192.168.10.0 0.0.0.255
router(config)#access-list 10 deny any
router(config)#line vty 0 4
router(config-line)#login
router(config-line)#password cisco
router(config-line)#access-class 10 in ( acl 允許網路 192.168.10.0訪問 vty 0 - 4。所有其它網路都被拒絕訪問這些 vty
建立標準命名 acl :
router(config)#ip access-list [standard(標準) | extended(擴充套件)] name
router(config-std-nacl)#[permit | deny | remark] [log]
router(config-if)#ip access-group name
router#show access-lists (監控和檢驗acl)
配置擴充套件 acl:
router(config)#access-list access-list-number protocol(internet 協議的名稱或編號。常見的關鍵字包括 icmp、ip、tcp 或 udp。要匹配所有 internet 協議(包括 icmp、tcp 和 udp),使用 ip 關鍵字) source [source-wildcard] [operator operand(對比源或目的埠。可用的操作符包括 lt(小於)、gt(大於)、eq(等於)、neq(不等於)和 range(範圍))] [port port-number or name(可選,tcp 或 udp 埠的十進位制編號或名稱)] destination [destination-wildcard] [operator operand] [port port-number or name] [established(可選,僅用於 tcp 協議:指示已建立的連線)]
例:拒絕 ftp:
router(config)#access-list 114 deny tcp 192.168.20.0 0.0.0.255 any eq ftp
router(config)#access-list 114 deny tcp 192.168.20.0 0.0.0.255 any eq ftp-data(請注意對於 ftp 來說,需要同時指定 ftp 和 ftp-data)
建立命名擴充套件 acl:
router(config)#ip access-list extended name (命令建立命名 acl)
r2(config-ext-nacl)#permit tcp any host 192.168.20.254 eq www(僅允許 outside host 通過埠 80 與內部 web server 建立 web 會話)
r2(config-ext-nacl)#permit tcp any any established(僅允許 outside host 通過埠 80 與內部 web server 建立 web 會話)
r2(config-ext-nacl)#permit icmp any any echo-reply(允許 ping 應答通過 r2)
r2(config-ext-nacl)#deny ip any any
動態 acl 的配置步驟:
router(config)#username student password 0 cisco(建立用於身份驗證的使用者名稱和口令)
router(config)#access-list 114 tcp permit any host 10.2.2.2 eq telnet
router(config)#access-list 114 dynamic testlist timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255(允許使用者開啟到路由器的telnet連線,除非觸發「鎖和鑰匙」,否則該求動態acl條目會被忽略,視窗將開啟15分鐘,15分鐘後無論是否正在使用,該視窗都將自動關閉)
router(config)#int s0/0/1
router(config-if)#ip access-group 101 in(對s0/0/0介面應用114)
router(config)#line vty 0 4
router(config-if)#login local
router(config-if)#autocommand access-enable host timeout 5(一旦telnet使用者通過身份驗證,autocommand命令便會執行,telnet會話也將終止,使用者現在可以訪問網路192.168.30.0,如果閒置時間超過5分鐘,該視窗將關閉)
自反 acl 示例:
router(config)#ip access-list extended outboundfilters
router(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 any reflect tcptraffic
router(config-ext-nacl)#permit icmp 192.168.0.0 0.0.255.255 any reflect icmptraffic(使路由器跟蹤內部發起的流量)
router(config)#ip access-list extended inboundfilters
router(config-ext-nacl)#evaluate tcptraffic
router(config-ext-nacl)#evaluate icmptraffic(建立入站策略,該策略要求路由器檢查傳入流量是否由內部發起,並將outboundfilters acl的自反acl部分(稱為tcptraffic)與inboundfilters acl關聯在一起)
router(config)#inte***ce s0/1/0
router(config-if)#ip access-group inboundfilters in
router(config-if)#ip access-group outboundfilters out(對該介面同時應用入站acl和出站acl)
基於時間的 acl 示例:
router(config)#time-range everyotherday
router(config-time-range)#periodic monday wednsday friday 8:00 to 17:00(定義時間範圍,並命名為everyotherday)
router(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range everyotherday(對該acl應用此時間範圍)
router(config)#inte***ce s0/1/0
router(config-if)#ip access-group 101 in
訪問控制列表
1 acl access control list。訪問控制列表 是用來實現資料報識別功能的 2 acl可應用於諸多方面 包過濾防火牆功能 nat network address translation,網路位址轉換 qos quality of service,服務質量 的資料分類 路由策略和過濾...
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...
ACL訪問控制列表
技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...