⑴ 簡述訪問控制列表應用的一般規則
H3C交換機典型訪問控制列表(ACL)配置實例
一 組網需求:
1.通過配置基本訪問控制列表,實現在每天8:00~18:00時間段內對源IP為10.1.1.2主機發出報文的過濾;
2.要求配置高級訪問控制列表,禁止研發部門與技術支援部門之間互訪,並限制研發部門在上班時間8:00至18:00訪問工資查詢伺服器;
3.通過二層訪問控制列表,實現在每天8:00~18:00時間段內對源MAC為00e0-fc01-0101的報文進行過濾。
二 組網圖:
三配置步驟:
H3C 3600 5600 5100系列交換機典型訪問控制列表配置 共用配置
1.根據組網圖,創建四個vlan,對應加入各個埠
system-view [H3C]vlan 10
[H3C-vlan10]port GigabitEthernet 1/0/1
[H3C-vlan10]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/2
[H3C-vlan20]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/3
[H3C-vlan20]vlan 30 [
H3C-vlan30]port GigabitEthernet 1/0/3
[H3C-vlan30]vlan 40
[H3C-vlan40]port GigabitEthernet 1/0/4
[H3C-vlan40]quit
2.配置各VLAN虛介面地址
[H3C]interface vlan 10
[H3C-Vlan-interface10]ip address 10.1.1.1 24
[H3C-Vlan-interface10]quit [H3C]interface vlan 20 [H3C-Vlan-interface20]ip address 10.1.2.1 24
[H3C-Vlan-interface20]quit [H3C]interface vlan 30 [H3C-Vlan-interface30]ip address 10.1.3.1 24
[H3C-Vlan-interface30]quit [H3C]interface vlan 40 [H3C-Vlan-interface40]ip address 10.1.4.1 24
[H3C-Vlan-interface40]quit
3.定義時間段 [H3C] time-range huawei 8:00 to 18:00 working-day 需求1配置(基本ACL配置)
⑵ ACL(訪問控制列表)詳解
訪問控制列表(ACL)是應用在 路由器 介面的指令列表(即規則)。這些指令列表用來告訴路由器,那些數據包可以接受,那些數據包需要拒絕。
ACL使用包過濾技術,在路由器上讀取OSI七層模型的第3層和第4層包頭中的信息。如源地址,目標地址,源埠,目標埠等,根據預先定義好的規則,對包進行過濾,從而達到訪問控制的目的。
ACl是一組規則的集合,它應用在路由器的某個介面上。對路由器介面而言,訪問控制列表有兩個方向。
出:已經通過路由器的處理,正離開路由器的數據包。
入:已到達路由器介面的數據包。將被路由器處理。
————————————————
1、Access Contral List
2、ACL是一種包過濾技術。
3、ACL基於 IP包頭的IP地址 、 四層TCP/UDP頭部的埠號; 基於三層和四層過濾
4、ACL在路由器上配置,也可以在防火牆上配置(一般稱為策略)
5、ACL主要分為2大類:
標准 ACL
表號是 1-99 特點;
只能基於 源IP地址 對包進行過濾
擴展 ACL
表號:100-199
特點:可以基於源IP、目標IP、埠號、協議對包進行過濾
————————————————
ACL原理
1)ACL表必須應用到介面的進或出方向生效
2) 一個介面的一個方向 只能應用一張表
3)進還是出方向應用?取決於流量控制總方向
4)ACL表是嚴格自上而下檢查每一條,所以要注意書寫順序
5)每一條是有條件和動作組成,當流量不滿足某條件,則繼續檢查;當流量完全 滿足某條件,不再往後檢查 直接執行動作。
6)標准ACL盡量寫在靠近目標的地方
————————————————
將ACL應用到介面:
———————
注釋:反子網掩碼:將正子網掩碼0和1倒置
反子網掩碼:用來匹配,與0對應的嚴格匹配,與1對應的忽略匹配。
———————
例如:access-list 1 deny 10.1.1.1 0.255.255.255
解釋:該條目用來拒絕所有源IP為10開頭的
access-list 1 deny 10.1.1.1 0.0.0.0
簡寫:access-list 1 deny host 10.1.1.1
解釋:該條目用來拒絕所有源IP為10.1.1.1的主機
access-list 1 deny 0.0.0.0 255.255.255.255
簡寫:access-list 1 deny any
解釋:該條目用來拒絕所有人
————————————————
————————————————
1)做流量控制,首先要先判斷ACL寫的位置(那個路由器?那個介面的哪個方向?)
2)再考慮怎麼寫ACL
首先要判斷最終要 允許所有還是拒絕所有
將 【詳細的嚴格的控制】 寫在最前面
3)一般情況下,標准或擴展ACL一旦編寫,無法修改某一條,也無法刪除某一條,也無法往中間插入新的條目,只能一直在最後添加新的條目
如想修改插入或刪除,只能刪除整張表,重新寫!
conf t
no access-list 表號
查看ACL表:
show ip access-list [表ID]
————————————————
擴展ACL:
表號:100-199
特點:可以基於源IP、目標IP、埠號、協議對包進行過濾
命令:
acc 100 permint/deny 協議 源IP或源網段 反子網掩碼 目標IP 或源網段 反子網掩碼 [eq埠號]
注釋:協議:tcp/udp/icmp/ip
案例:
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 deny ip host 10.1.1.1 20.1.1.1 0.0.0.255
————————————————
命名ACL:
作用:可以對標准或擴展ACL進行自定義命名
優點:
自定義命名更容易辨認,也便於記憶!
可以任意修改某一條,或刪除某一條,也可以往中間插入某一條
conf t
ip access-list standard/extended 自定義表名
開始從deny或permit編寫ACL條目
exit
刪除某一條:
ip access-list standard/extended 自定義表名
no 條目ID
exit
插入某一條:
IP access-list standard/extended 自定義表名
條目ID 動作 條件
————————————————
以上是以思科命令為例。
⑶ 思科Cisco路由器的ACL控制列表設置
1、首先在電腦上點擊打開Cisco軟體。准備兩個PC,一個server和三個路由器,並連接。
⑷ 路由器IP訪問列表怎麼設置
IP Access-list:IP訪問列表或訪問控制列表,簡稱IP ACL
ACL就是對經過網路設備的數據包根據一定的規則進行數據包的過濾
訪問控制列表的作用
內網布署安全策略,保證內網安全許可權的資源訪問
內網訪問外網時,進行安全的數據過濾
防止常見病毒、木馬、攻擊對用戶的破壞
ACL一般配置步驟
1、定義規則(哪些數據允許通過,哪些數據不允許通過);
2、將規則應用在路由器(或三層交換機)的介面上。
兩種類型:
標准ACL(standard IP ACL)
擴展ACL (extended IP ACL)
IP標准訪問列表的配置
1、定義標准ACL
編號的標准訪問列表(路由器和三層交換機支持)Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩碼]
命名的標准訪問列表(路由器、三層交換機和二層交換機支持)
2、應用ACL到介面
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的標准訪問列表(路由器、三層交換機)
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩碼]
switch(config-if)#ip access-group name { in | out }
IP擴展訪問列表的配置
1.定義擴展的ACL:
編號的擴展ACL (路由器和三層交換機支持)
Router(config)#access-list <100-199> { permit /deny }
協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
命名的擴展ACL (路由器、三層交換機和二層交換機支持)
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
2.應用ACL到介面:
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基於時間的訪問控制列表
通過基於時間的定時訪問控制列表,定義在什麼時間允許或拒絕數據包。
只不過在配置ACL之前定義一個時間范圍。然後再通過引用這個時間范圍來對網路中的流量進行科學合理的限制。
對於不同的時間段實施不同的訪問控制規則
在原有ACL的基礎上應用時間段
任何類型的ACL都可以應用時間段
基於時間的列表的配置
校正路由器時鍾
在全局模式
Clock set hh:mm:ss date month year 設置路由器的當前時間
Clock up_calender 保存設置
配置時間段
時間段
絕對時間段(absolute)
周期時間段(periodic)
混合時間段:先絕對,後周期
Router(config)# time-range time-range-name 給時間段取名,配置ACL時通過名字引用
配置絕對時間
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date:表示時間段的起始時間。time表示時間,格式為「hh:mm」。date表示日期,格式為「日 月 年」
end time date:表示時間段的結束時間,格式與起始時間相同
示例:absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期時間
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 說明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平時(星期一至五)
Weekend 周末(星期六至日)
示例:periodic weekdays 09:00 to 18:00
3、關聯ACL與時間段,應用時間段
在ACL規則中使用time-range參數引用時間段
只有配置了time-range的規則才會在指定的時間段內生效,其它未引用時間段的規則將不受影響
access-list 101 permit ip any any time-range time-range-name
驗證訪問列表和time-range介面配置
Router# show access-lists !顯示所有訪問列表配置
Router#show time-range ! 顯示time-range介面配置
註:1、一個訪問列表多條過濾規則
按規則來進行匹配。
規則匹配原則:
從頭到尾,至頂向下的匹配方式
匹配成功,則馬上使用該規則的「允許/拒絕……」
一切未被允許的就是禁止的。定義訪問控制列表規則時,最終的預設規則是拒絕所有數據包通過,即deny any any
顯示全部的訪問列表
Router#show access-lists
顯示指定的訪問列表
Router#show access-lists <1-199>
顯示介面的訪問列表應用
Router#show ip interface 介面名稱 介面編號
一個埠在一個方向上只能應用一組ACL。
銳捷全系列交換機可針對物理介面和SVI介面應用ACL。
針對物理介面,只能配置入棧應用(In);
針對SVI(虛擬VLAN)介面,可以配置入棧(In)和出棧(Out)應用。
訪問列表的預設規則是:拒絕所有。
對於標准ACL,應盡量將ACL設置在離目標網路最近的介面,以盡可能擴大源網路的訪問范圍。
對於擴展ACL,應盡量將ACL設置在離源網路最近的介面,以盡可能減少網路中的無效數據流。
⑸ 配置訪問控制列表必須作的配置是什麼
配置訪問控制列表必須作的配置是:定義訪問控制列表;在介面上應用訪問控制列表;啟動防火牆對數據包過濾。
訪問控制列表(ACL)是一種基於包過濾的訪問控制技術,它可以根據設定的條件對介面上的數據包進行過濾,允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機,藉助於訪問控制列表,可以有效地控制用戶對網路的訪問,從而最大程度地保障網路安全。
(5)定義訪問控制列表規則時擴展閱讀:
訪問控制列表具有許多作用,如限制網路流量、提高網路性能;通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;提供網路安全訪問的基本手段;在路由器埠處決定哪種類型的通信流量被轉發或被阻塞,例如,用戶可以允許E-mail通信流量被路由,拒絕所有的 Telnet通信流量等。
ARG3系列路由器支持兩種匹配順序:配置順序和自動排序。配置順序按ACL規則編號(rule-id)從小到大的順序進行匹配。通過設置步長,使規則之間留有一定的空間。默認步長是5。路由器匹配規則時默認採用配置順序。自動排序使用「深度優先」的原則進行匹配,即根據規則的精確度排序。
⑹ 訪問控制列表有哪幾種類型,分別在哪個位置
1、標准IP訪問列表
編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。
2、擴展IP訪問
編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
3、命名的IP訪問
4、標准IPX訪問
標准IPX訪問控制列表的編號范圍是800-899。
5、擴展IPX訪問
擴展IPX訪問控制列表的編號范圍是900-999。
6、命名的IPX訪問
與命名的IP訪問控制列表一樣,命名的IPX訪問控制列表是使用列表名取代列表編號。
相關信息
ACL技術可以有效的在三層上控制網路用戶對網路資源的訪問,它可以具體到兩台網路設備間的網路應用,也可以按照網段進行大范圍的訪問控制管理,為網路應用提供了一個有效的安全手段。
一方面,採用ACL技術,網路管理員需要明確每一台主機及工作站所在的IP子網並確認它們之間的訪問關系,適用於網路終端數量有限的網路。對於大型網路,為了完成某些訪問控制甚至不得不浪費很多的IP地址資源。同時,巨大的網路終端數量,同樣會增加管理的復雜度和難度。
另一方面,維護ACL不僅耗時,而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強,並且牽涉到網路的整體規劃,它的使用對於策略制定及網路規劃的人員的技術素質要求比較高。因此,是否採用ACL技術及在多大的程度上利用它,是管理效益與網路安全之間的一個權衡。
⑺ 訪問控制列表的基本定義
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
訪問控制列表(Access Control Lists,ACL)是應用在路由器介面的指令列表。這些指令列表用來告訴路由器哪些數據包可以收、哪些數據包需要拒絕。至於數據包是被接收還是拒絕,可以由類似於源地址、目的地址、埠號等的特定指示條件來決定。
訪問控制列表不但可以起到控制網路流量、流向的作用,而且在很大程度上起到保護網路設備、伺服器的關鍵作用。作為外網進入企業內網的第一道關卡,路由器上的訪問控制列表成為保護內網安全的有效手段。
此外,在路由器的許多其他配置任務中都需要使用訪問控制列表,如網路地址轉換(Network Address Translation,NAT)、按需撥號路由(Dial on Demand Routing,DDR)、路由重分布(Routing Redistribution)、策略路由(Policy-Based Routing,PBR)等很多場合都需要訪問控制列表。
訪問控制列表從概念上來講並不復雜,復雜的是對它的配置和使用,許多初學者往往在使用訪問控制列表時出現錯誤。