3p原則
記住 3p 原則,您便記住了在路由器上應用 acl 的一般規則。您可以為每種協議 (per protocol)、每個方向 (per direction)、每個介面 (per inte***ce) 配置乙個 acl:
每種協議乙個 acl:要控制介面上的流量,必須為介面上啟用的每種協議定義相應的 acl。
每個介面乙個 acl :乙個 acl 只能控制乙個介面(例如快速乙太網0/0)上的流量。
執行過程
乙個埠執行哪條acl,這需要按照列表中的條件語句執行順序來判斷。如果乙個資料報的報頭跟表中某個條件判斷語句相匹配,那麼後面的語句就將被忽略,不再進行檢查。
資料報只有在跟第乙個判斷條件不匹配時,它才被交給acl中的下乙個條件判斷語句進行比較。如果匹配(假設為允許傳送),則不管是第一條還是最後一條語句,資料都會立即傳送到目的介面。如果所有的acl判斷語句都檢測完畢,仍沒有匹配的語句出口,則該資料報將視為被拒絕而被丟棄。這裡要注意,acl不能對本路由器產生的資料報進行控制。
acl分類
目前有三種主要的acl:標準acl、擴充套件acl及命名acl。其他的還有標準mac acl、時間控制acl、以太協議 acl 、ipv6 acl等。
在標準與擴充套件訪問控制列表中均要使用錶號,而在命名訪問控制列表中使用乙個字母或數字組合的字串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目,這樣可以讓我們在使用過程中方便地進行修改。 在使用命名訪問控制列表時,要求路由器的ios在11.2以上的版本,並且不能以同一名字命名多個acl,不同型別的acl也不能使用相同的名字。
隨著網路的發展和使用者要求的變化,從ios 12.0開始,思科(cisco)路由器新增加了一種基於時間的訪問列表。通過它,可以根據一天中的不同時間,或者根據一星期中的不同日期,或二者相結合來控制網路資料報的**。這種基於時間的訪問列表,就是在原來的標準訪問列表和擴充套件訪問列表中,加入有效的時間範圍來更合理有效地控制網路。首先定義乙個時間範圍,然後在原來的各種訪問列表的基礎上應用它。
基於時間訪問列表的設計中,用time-range 命令來指定時間範圍的名稱,然後用absolute命令,或者乙個或多個periodic命令來具體定義時間範圍
正確放置
acl通過過濾資料報並且丟棄不希望抵達目的地的資料報來控制通訊流量。然而,網路能否有效地減少不必要的通訊流量,這還要取決於網路管理員把acl放置在哪個地方。
假設在的乙個執行tcp/ip協議的網路環境中,網路只想拒絕從routera的t0介面連線的網路到routerd的e1介面連線的網路的訪問,即禁止從網路1到網路2的訪問。
根據減少不必要通訊流量的通行準則,網管員應該盡可能地把acl放置在靠近被拒絕的通訊流量的**處,即routera上。如果網管員使用標準acl來進行網路流量限制,因為標準acl只能檢查源ip位址,所以實際執**況為:凡是檢查到源ip位址和網路1匹配的資料報將會被丟掉,即網路1到網路2、網路3和網路4的訪問都將被禁止。由此可見,這個acl控制方法不能達到網管員的目的。同理,將acl放在routerb和routerc上也存在同樣的問題。只有將acl放在連線目標網路的routerd上(e0介面),網路才能準確實現網管員的目標。由此可以得出乙個結論: 標準acl要盡量靠近目的端。
網管員如果使用擴充套件acl來進行上述控制,則完全可以把acl放在routera上,因為擴充套件acl能控制源位址(網路1),也能控制目的位址(網路2),這樣從網路1到網路2訪問的資料報在routera上就被丟棄,不會傳到routerb、routerc和routerd上,從而減少不必要的網路流量。因此,我們可以得出另乙個結論:擴充套件acl要盡量靠近源端。acl的主要的命令 命令描述access-list 定義訪問控制列表引數ip access-group 指派乙個訪問控制列表到乙個介面ip access-list extended 定義乙個擴充套件訪問控制列表remark 注釋乙個訪問控制列表show ip access-list 顯示已配置的訪問控制列表。
命令格式
access-list命令
(1)標準訪問列表
access-list access-list-number
命令解釋如下。
access-list:訪問列表命令。
access-list-number:訪問列表號碼,值為1~99.
permit:允許。
deny:拒絕。
(2)擴充套件訪問列表
access-list access-list-number | any }[protocol-specific options][log]
命令解釋如下。
access-list-number:訪問列表號碼,值為100~199.
protocol \ protocol-keyword:可使用的協議,包括ip、icmp、igrp、eigrp、ospf等。
protocol-specific options:協議制定的選項。
log:記錄有關資料報進入訪問列表的資訊。
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...
ACL訪問控制列表
技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...
訪問控制列表 ACL
訪問控制列表的條件引數都在ip包中,協議號和ip位址 源位址和目的位址 都在ip包頭部分,埠號在ip包的資料部分,也就是第四層頭部。訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些資料報可以接收 哪些資料報需要拒絕。訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網...