最近在弄網路互聯的課程設計,需要使用cisco的模擬器進行設計,
在區域網設計時,要考慮到區域網的安全問題,最首先考慮到的是acl(訪問控制列表)的設定,
因為這能很有效的控制不同網段的訪問,並且能在一定程度上阻止非法網段的訪問,
acl必須要做能處理第三層的裝置上執行,所以一般會在路由器上進行配置,
不過三層交換機也具備路由功能,所以也能在三層交換機上配置,
配置過程如下:(以下只是標準acl 1-99的配置,並沒有配置擴充套件acl 100-199,
文章中有錯誤的地方請多多包涵,在寫部落格時沒有認真檢查)
1、進入特權模式;
2、輸入 access-list (1-99) deny(or permit) (ip) (wildcard mask)
如: access-list 6 deny 192.168.10.0 0.0.0.255
3、值得注意的是可以對同乙個access-list(這裡是6)多加入別的規則,
並且規則按順序匹配,匹配到最後,系統預設是拒絕所有,所以記得最後加上允許條件,
如:access-list 6 permit any
4、在運用acl時,必須與乙個固定介面繫結使用,
如在路由器f0/1介面設定此acl規則:
ip access-group 6 out(or in)
這裡值得注意的是out與in的設定,很容易弄不清楚的地方是怎麼才是out或怎麼才算是in,
剛開始我也有些糊塗,不過經高人指點大概清楚了,
就拿f0/1這個介面來舉例,資料從這個埠流入算in,從這個埠流出算out……
自己感覺解釋了和沒解釋一樣,不過這絕對是最迷惑初學者的地方,如果你是初學者的話可以自己思考一下再試一試,
你會發現原來這句話裡的內容很有意思;
5、三層交換機配置acl需要注意一些問題:
三層交換機預設沒有開啟路由功能,需要進入相應介面後使用no switchport命令開啟路由介面,
然後這個介面就和路由器的介面一樣進行配置了,
還有一種情況就是不想將交換埠配置為路由埠,但又想應用acl規則,
這時就需要設定乙個虛擬的vlan介面,在讓這個介面與這個vlan關聯起來,若為trunk口則會與所有vlan介面關聯,
要設定vlan介面,首先要建立相應的vlan,然後使用命令:inte***ce vlan (1-n) 進入介面模式,
最後其設定與設定路由器acl的設定相同。
訪問控制列表
使用 acl 的指導原則 命名 acl 為 acl 指定名稱 名稱中可以包含字母數字字元。建議名稱以大寫字母書寫。名稱中不能包含空格或標點,而且必須以字母開頭。您可以新增或刪除 acl 中的條目。acl 的最佳做法 注 使用 acl 時務必小心謹慎 關注細節。一旦犯錯可能導致代價極高的後果,例如停機...
訪問控制列表
1 acl access control list。訪問控制列表 是用來實現資料報識別功能的 2 acl可應用於諸多方面 包過濾防火牆功能 nat network address translation,網路位址轉換 qos quality of service,服務質量 的資料分類 路由策略和過濾...
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...