㈠ 簡述標准和擴展訪問控制列表的工作過程
摘要 標準的訪問控制列表在1-99之間
㈡ 訪問控制列表有哪幾種類型,分別在哪個位置
1、標准IP訪問列表
編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。
2、擴展IP訪問
編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
3、命名的IP訪問
4、標准IPX訪問
標准IPX訪問控制列表的編號范圍是800-899。
5、擴展IPX訪問
擴展IPX訪問控制列表的編號范圍是900-999。
6、命名的IPX訪問
與命名的IP訪問控制列表一樣,命名的IPX訪問控制列表是使用列表名取代列表編號。
相關信息
ACL技術可以有效的在三層上控制網路用戶對網路資源的訪問,它可以具體到兩台網路設備間的網路應用,也可以按照網段進行大范圍的訪問控制管理,為網路應用提供了一個有效的安全手段。
一方面,採用ACL技術,網路管理員需要明確每一台主機及工作站所在的IP子網並確認它們之間的訪問關系,適用於網路終端數量有限的網路。對於大型網路,為了完成某些訪問控制甚至不得不浪費很多的IP地址資源。同時,巨大的網路終端數量,同樣會增加管理的復雜度和難度。
另一方面,維護ACL不僅耗時,而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強,並且牽涉到網路的整體規劃,它的使用對於策略制定及網路規劃的人員的技術素質要求比較高。因此,是否採用ACL技術及在多大的程度上利用它,是管理效益與網路安全之間的一個權衡。
㈢ 簡述訪問控制列表應用的一般規則
H3C交換機典型訪問控制列表(ACL)配置實例
一 組網需求:
1.通過配置基本訪問控制列表,實現在每天8:00~18:00時間段內對源IP為10.1.1.2主機發出報文的過濾;
2.要求配置高級訪問控制列表,禁止研發部門與技術支援部門之間互訪,並限制研發部門在上班時間8:00至18:00訪問工資查詢伺服器;
3.通過二層訪問控制列表,實現在每天8:00~18:00時間段內對源MAC為00e0-fc01-0101的報文進行過濾。
二 組網圖:
三配置步驟:
H3C 3600 5600 5100系列交換機典型訪問控制列表配置 共用配置
1.根據組網圖,創建四個vlan,對應加入各個埠
system-view [H3C]vlan 10
[H3C-vlan10]port GigabitEthernet 1/0/1
[H3C-vlan10]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/2
[H3C-vlan20]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/3
[H3C-vlan20]vlan 30 [
H3C-vlan30]port GigabitEthernet 1/0/3
[H3C-vlan30]vlan 40
[H3C-vlan40]port GigabitEthernet 1/0/4
[H3C-vlan40]quit
2.配置各VLAN虛介面地址
[H3C]interface vlan 10
[H3C-Vlan-interface10]ip address 10.1.1.1 24
[H3C-Vlan-interface10]quit [H3C]interface vlan 20 [H3C-Vlan-interface20]ip address 10.1.2.1 24
[H3C-Vlan-interface20]quit [H3C]interface vlan 30 [H3C-Vlan-interface30]ip address 10.1.3.1 24
[H3C-Vlan-interface30]quit [H3C]interface vlan 40 [H3C-Vlan-interface40]ip address 10.1.4.1 24
[H3C-Vlan-interface40]quit
3.定義時間段 [H3C] time-range huawei 8:00 to 18:00 working-day 需求1配置(基本ACL配置)
㈣ 配置訪問控制列表必須作的配置是什麼
配置訪問控制列表必須作的配置是:定義訪問控制列表;在介面上應用訪問控制列表;啟動防火牆對數據包過濾。
訪問控制列表(ACL)是一種基於包過濾的訪問控制技術,它可以根據設定的條件對介面上的數據包進行過濾,允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機,藉助於訪問控制列表,可以有效地控制用戶對網路的訪問,從而最大程度地保障網路安全。
(4)簡述訪問控制列表的應用步驟擴展閱讀:
訪問控制列表具有許多作用,如限制網路流量、提高網路性能;通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;提供網路安全訪問的基本手段;在路由器埠處決定哪種類型的通信流量被轉發或被阻塞,例如,用戶可以允許E-mail通信流量被路由,拒絕所有的 Telnet通信流量等。
ARG3系列路由器支持兩種匹配順序:配置順序和自動排序。配置順序按ACL規則編號(rule-id)從小到大的順序進行匹配。通過設置步長,使規則之間留有一定的空間。默認步長是5。路由器匹配規則時默認採用配置順序。自動排序使用「深度優先」的原則進行匹配,即根據規則的精確度排序。
㈤ acl名詞解釋
訪問控制列表(Access Control Lists,ACL)是應用在路由器介面的指令列表。這些指令列表用來告訴路由器哪些數據包可以收、哪些數據包需要拒絕。至於數據包是被接收還是拒絕,可以由類似於源地址、目的地址、埠號等的特定指示條件來決定。
訪問控制列表具有許多作用,如限制網路流量、提高網路性能;通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;提供網路安全訪問的基本手段;在路由器埠處決定哪種類型的通信流量被轉發或被阻塞,例如,用戶可以允許E-mail通信流量被路由,拒絕所有的 Telnet通信流量等。
訪問控制列表從概念上來講並不復雜,復雜的是對它的配置和使用,許多初學者往往在使用訪問控制列表時出現錯誤。功能
1)限制網路流量、提高網路性能。例如,ACL可以根據數據包的協議,指定這種類型的數據包具有更高的優先順序,同等情況下可預先被網路設備處理。2)提供對通信流量的控制手段。
3)提供網路訪問的基本安全手段。
4)在網路設備介面處,決定哪種類型的通信流量被轉發、哪種類型的通信流量被阻塞。
例如,用戶可以允許E- mail通信流量被路由,拒絕所有的Telnet通信流量。例如,某部門要求只能使用WWW這個功能,就可以通過ACL實現;又例如,為了某部門的保密性,不允許其訪問外網,也不允許外網訪問它,就可以通過ACL實現。
㈥ 簡述訪問控制列表的作用和組成
訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至於數據包是被接收還是被拒絕,可以由類似於源地址、目的地址、埠號、協議等特定指示條件來決定。通過靈活地增加訪問控制列表,ACL可以當作一種網路控制的有力工具,用來過濾流入和流出路由器介面的數據包。
建立訪問控制列表後,可以限制網路流量,提高網路性能,對通信流量起到控制的手段,這也是對網路訪問的基本安全手段。在路由器的介面上配置訪問控制列表後,可以對入站介面、出站介面及通過路由器中繼的數據包進行安全檢測。
IP訪問控制列表的分類
標准IP訪問控制列表
當我們要想阻止來自某一網路的所有通信流量,或者充許來自某一特定網路的所有通信流量,或者想要拒絕某一協議簇的所有通信流量時,可以使用標准訪問控制列表來實現這一目標。標准訪問控制列表檢查路由的數據包的源地址,從而允許或拒絕基於網路、子網或主機的IP地址的所有通信流量通過路由器的出口。
擴展IP訪問控制列表
擴展訪問控制列表既檢查數據包的源地址,也檢查數據包的目的地址,還檢查數據包的特定協議類型、埠號等。擴展訪問控制列表更具有靈活性和可擴充性,即可以對同一地址允許使用某些協議通信流量通過,而拒絕使用其他協議的流量通過。
命名訪問控制列表
在標准與擴展訪問控制列表中均要使用表號,而在命名訪問控制列表中使用一個字母或數字組合的字元串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目,這樣可以讓我們在使用過程中方便地進行修改。
在使用命名訪問控制列表時,要求路由器的IOS在11.2以上的版本,並且不能以同一名字命名多個ACL,不同類型的ACL也不能使用相同的名字。
通配符掩碼
通配符掩碼是一個32比特位的數字字元串,它被用點號分成4個8位組,每組包含8比特位。在通配符掩碼位中,0表示「檢查相應的位」,1表示「不檢查相應的位」。通配符掩碼與IP地址是成對出現的,通配符掩碼與子網掩碼工作原理是不同的。在IP子網掩碼中,數字1和0用來決定是網路、子網,還是相應的主機的IP地址。如表示172.16.0.0這個網段,使用通配符掩碼應為0.0.255.255。
在通配符掩碼中,可以用255.255.255.255表示所有IP地址,因為全為1說明所有32位都不檢查相應的位,這是可以用any來取代。而0.0.0.0的通配符掩碼則表示所有32位都要進行匹配,這樣只表示一個IP地址,可以用host表示。所以在訪問控制列表中,可以選擇其中一種表示方法來說明網路、子網或主機。
實現方法
首先在全局配置模式下定義訪問列表,然後將其應用到介面中,使通過該介面的數據包需要進行相應的匹配,然後決定被通過還是拒絕。並且訪問列表語句按順序、邏輯地處理,它們在列表中自上向下開始匹配數據包。如果一個數據包頭與訪問許可權表的某一語句不匹配,則繼續檢測列表中的下一個語句。在執行到訪問列表的最後,還沒有與其相匹配的語句,數據包將被隱含的「拒絕」語句所拒絕。
標准IP訪問控制列表
在實現過程中應給每一條訪問控制列表加上相應的編號。標准IP訪問控制列表的編號為1至99,作用是阻止某一網路的所有通信流量,或允許某一網路的所有通信流量。語法為:
Router(config)#access-list access-list-number(1~99){deny|permit} source [source-wildcard]
如果沒有寫通配符掩碼,則默認值會根據源地址自動進行匹配。下面舉例來說明:要阻止源主機為
192.168.0.45的一台主機通過E0,而允許其他的通訊流量通過E0埠。
Router(config)#access-list 1 deny 192.168.0.45 0.0.0.0
或Router(config)#access-list 1 deny host 192.168.0.45
或Router(config)#access-list 1 deny 192.168.0.45
Router(config)#access-list 1 permit any
Router(config)#interface ethernet 0
Router(config-if)#ip access-group 1 in
首先我們在全局配置模式下定義一條拒絕192.168.0.45主機通過的語句,通配符掩碼可以使用0.0.0.0或host,或使用預設值來表示一台主機,然後將其訪問列表應用到介面中。如果現在又修改了計算機的IP地址,那麼這條訪問控制列表將對您不起作用。
擴展IP訪問控制列表
擴展IP訪問控制列表的編號為100至199,並且功能更加靈活。例如,要阻止192.168.0.45主機Telnet流量,而允許Ping流量。
Router(config)#access-list 101 permit icmp 192.168.0.45 0.0.0.0 any
Router(config)#access-list 101 deny tcp 192.168.0.45 0.0.0.0 any eq 23
Router(config)#access-list 101 permit ip any any
Router(config)#interface ethernet 0
Router(config-if)#ip access-group 101 in
因為Ping命令使用網路層的ICMP協議,所以讓ICMP協議通過。而Telnet使用埠23,所以將埠號為23的數據包拒絕了,最終應用到某一介面,這樣就可以達到目的。
命名訪問控制列表
對於某一給定的協議,在同一路由器上有超過99條的標准ACL,或有超過100條的擴展ACL。想要通過一個字母數字串組成的名字來直觀地表示特定的ACL時,並且路由器的IOS版本在11.2及以上時,可以使用命名訪問控制列表,也就是用某些字元串來取代標准與擴展ACL的訪問列表號。命名訪問控制列表的語法格式為:
Router(config)#ip access-list {standard|extended} name
在ACL配置模式下,通過指定一個或多個允許或拒絕條件,來決定一個數據包是允許通過還是被丟棄。語法格式如下:
Router(config{std-|ext-}nacl)#{permit|deny} {source [source-wildcad]|any}
下面是一個配置實例:
ip access-list extended nyist
permit tcp 172.16.0.0 0.0.255.255 any eq 23
deny tcp any any
deny udp 172.16.0.0 0.0.255.255 any lt 1024
interface Ethernet 0
ip access-group nyist in
基於時間訪問列表的應用
隨著網路的發展和用戶要求的變化,從IOS 12.0開始,思科(CISCO)路由器新增加了一種基於時間的訪問列表。通過它,可以根據一天中的不同時間,或者根據一星期中的不同日期,或二者相結合來控制網路數據包的轉發。這種基於時間的訪問列表,就是在原來的標准訪問列表和擴展訪問列表中,加入有效的時間范圍來更合理有效地控制網路。首先定義一個時間范圍,然後在原來的各種訪問列表的基礎上應用它。
基於時間訪問列表的設計中,用time-range 命令來指定時間范圍的名稱,然後用absolute命令,或者一個或多個periodic命令來具體定義時間范圍。IOS命令格式為:
time-range time-range-name absolute
[start time date] [end time date]
periodic days-of-the week hh:mm to [days-of-the week] hh:mm
下面分別來介紹一下每個命令和參數的詳細情況:
time-range 用來定義時間范圍的命令。
time-range-name 時間范圍名稱,用來標識時間范圍,以便於在後面的訪問列表中引用。
absolute 該命令用來指定絕對時間范圍。它後面緊跟著start和end兩個關鍵字。在這兩個關鍵字後面的時間要以24小時制hh:mm表示,日期要按照日/月/年來表示。如果省略start及其後面的時間,則表示與之相聯系的permit 或deny語句立即生效,並一直作用到end處的時間為止。如果省略end及其後面的時間,則表示與之相聯系的permit 或deny語句在start處表示的時間開始生效,並且一直進行下去。
periodic 主要是以星期為參數來定義時間范圍的一個命令。它的參數主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合,也可以是daily(每天)、weekday(周一至周五),或者weekend(周末)。
下面我們來看一個實例:在一個網路中,路由器的乙太網介面E0連接著202.102.240.0網路,還有一個串口S0連入Internet。為了讓202.102.240.0網路內的公司員工在工作時間內不能進行WEB瀏覽,從2003年5月1日1時到2003年5月31日晚24時這一個月中,只有在周六早7時到周日晚10時才可以通過公司的網路訪問Internet。
我們通過基於時間的擴展訪問控制列表來實現這一功能:
Router# config t
Router(config)# interface Ethernet 0
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)#absolute start 1:00 1
may 2003 end 24:00 31 may 2003 periodic Saturday 7:00 to Sunday 22:00
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http
我們是在一個擴展訪問列表的基礎上,再加上時間控制就達到了目的。因為是控制WEB訪問的協議,所以必須要用擴展列表,那麼編號需在100至199之間。我們定義了這個時間范圍的名稱是http,這樣,我們就在列表中的最後一句方便地引用了。
合理有效地利用基於時間的訪問控制列表,可以更有效、更安全、更方便地保護我們的內部網路,這樣您的網路才會更安全,網路管理人員也會更加輕松。
檢驗
在路由器中用show running-config命令檢查當前正在運行的配置文件,用show ip access-list命令來查看訪問控制列表,並在計算機的命令提示符下用Ping/Telnet命令進行測試。
網路安全保障的第一道關卡
對於許多網管員來說,配置路由器的訪問控制列表是一件經常性的工作,可以說,路由器的訪問控制列表是網路安全保障的第一道關卡。訪問列表提供了一種機制,它可以控制和過濾通過路由器的不同介面去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息流,以制定公司內部網路的相關策略。這些策略可以描述安全功能,並且反映流量的優先順序別。例如,某個組織可能希望允許或拒絕Internet對內部Web伺服器的訪問,或者允許內部區域網上一個或多個工作站能夠將數據流發到廣域網上。這些情形,以及其他的一些功能都可以通過訪問表來達到目的。
訪問列表的種類劃分
目前的路由器一般都支持兩種類型的訪問表:基本訪問表和擴展訪問表。
基本訪問表控制基於網路地址的信息流,且只允許過濾源地址。
擴展訪問表通過網路地址和傳輸中的數據類型進行信息流控制,允許過濾源地址、目的地址和上層應用數據。
表1列出了路由器所支持的不同訪問表的號碼范圍。
㈦ 簡述標准和擴展訪問控制列表的工作過程
咨詢記錄 · 回答於2021-07-19
㈧ cisco路由器如何配置標准訪問控制列表 ACL
標准ACL配置
提問:如何只允許埠下的用戶只能訪問特定的伺服器網段?
回答:
步驟一:定義ACL
S5750#conf t ----進入全局配置模式
S5750(config)#ip access-list standard 1 ----定義標准ACL
S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255
----允許訪問伺服器資源
S5750(config-std-nacl)#deny any ----拒絕訪問其他任何資源
S5750(config-std-nacl)#exit ----退出標准ACL配置模式
步驟二:將ACL應用到介面上
S5750(config)#interface GigabitEthernet 0/1 ----進入所需應用的埠
S5750(config-if)#ip access-group 1 in ----將標准ACL應用到埠in方向
注釋:
1. S1900系列、S20系列交換機不支持基於硬體的ACL。
2. 實際配置時需注意,在交換機每個ACL末尾都隱含著一條「拒絕所有數據流」的語句。
3. 以上所有配置,均以銳捷網路S5750-24GT/12SFP 軟體版本10.2(2)為例。
其他說明,其詳見各產品的配置手冊《訪問控制列表配置》一節。
㈨ 怎樣配置路由器的ACL命名訪問控制列表
1.配置標准命名ACL:其中name就是要配置ACL名稱,一般使用英文字母及數字組成
步驟一:配置標准命名ACL
Router(config)# ip access-list standard name
步驟二:在命名的ACL配置模式下輸入相應的語句
Router(config-std-nacl)# deny | permit source-ip-addres wildcard-mask [log]
步驟三:將ACL列表應用到相應介面的相應方向
Router(config-if)# IP access-group acl-name {in|out}
2.配置擴展命名ACL:其中name就是要配置ACL名稱,一般使用英文字母及數字組成
步驟一:配置擴展命名ACL
Router(config)# ip access-list extended name
步驟二:在命名的ACL配置模式下輸入相應的語句
Router(config-ext-nacl)# deny | permit protocol | protocol-keyword source-ip wildcard-mask destination-ip wildcard-mask [operator operand][established]
步驟三:將ACL列表應用到相應介面的相應方向
Router(config-if)# IP access-group acl-name {in|out}