在路由器的各個介面上進行訪問的控制—限制流量的進或出
定義感興趣流量—幫助其他的策略協議來抓取流量
訪問控制:當流量在路由器上的各個介面,進入或離開時,acl對流量進行匹配,之後產生動態-----允許、拒絕
擴充套件列表 ----關注資料報中的源、目標ip位址,協議號、目標埠號
匹配規則:至上而下逐一匹配,上條匹配按上條執行,不再檢視下條;末尾隱含拒絕所有;
呼叫規則:盡早的進行策略,避免流量在網路無謂的傳輸;千萬不能誤刪掉不限制的流量;
.寫法:
編號寫法 ----1-99標準列表編號 100-199擴充套件列表編號 乙個編號為一張表
刪除一條,整表消失;
命名寫法 ----乙個名字為一張表 可以使用序號隨意的刪除或插入
r2
(config)#access-list 1 deny host 192.168
.2.2
r2(config)#access-list 1 deny 192.168
.1.0
0.0.0
.255
r2(config)#access-list 1 permit any
動作 源ip位址
匹配規則雖然相同,但反掩碼必須為連續的0或1;萬用字元可以1、0穿插;
.介面呼叫
r2
(config)#inte***ce
fastethernet0/
0r2(config-
if)#ip access-group 1
?in inbound packets
out outbound packets
r2(config-
if)#ip access-group 1 out
r2
(config)#ip access-list standard ***
r2(config-std-nacl)#deny host 192.168
.2.2
r2(config-std-nacl)#permit any
r2(config-std-nacl)#exit
r2(config)#inte***cef0/
0r2(config-
if)#ip access-group *** out
r2(config)# ip access-list standard ***
r2(config-std-nacl)#15 deny host 192.168
.2.3
r2(config-std-nacl)#no 15
因為擴充套件acl關注資料報中的源、目標ip,協議號、目標埠號
故在呼叫時,盡量靠近源,但不能在源上;acl不能限制本地的流量;
r1
(config)#access-list 100 deny ip host 192.168
.1.2 host 192.168
.2.2
動作 源ip 目標ip
r1
(config)#access-list 100 deny ip host 192.168
.1.2 host 192.168
.2.2
拒絕 192.168
.1.2 到 192.168
.2.2
r1(config)#access-list 100 permit ip any any
r1(config)#inte***ce
fastethernet0/
0.1r1
(config-subif)#ip access-group 100
in
可以實現在vlan內的過濾mac資料(二層)和ip資料(三層)
mac access-list extended name
permit/deny h.h
.h/any/host
呼叫:vlan access-map name 1
action drop/forward
match mac/ip address acl
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...
ACL訪問控制列表
技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...
訪問控制列表 ACL
訪問控制列表的條件引數都在ip包中,協議號和ip位址 源位址和目的位址 都在ip包頭部分,埠號在ip包的資料部分,也就是第四層頭部。訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些資料報可以接收 哪些資料報需要拒絕。訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網...