⑴ 简述访问控制列表应用的一般规则
H3C交换机典型访问控制列表(ACL)配置实例
一 组网需求:
1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;
2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;
3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。
二 组网图:
三配置步骤:
H3C 3600 5600 5100系列交换机典型访问控制列表配置 共用配置
1.根据组网图,创建四个vlan,对应加入各个端口
system-view [H3C]vlan 10
[H3C-vlan10]port GigabitEthernet 1/0/1
[H3C-vlan10]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/2
[H3C-vlan20]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/3
[H3C-vlan20]vlan 30 [
H3C-vlan30]port GigabitEthernet 1/0/3
[H3C-vlan30]vlan 40
[H3C-vlan40]port GigabitEthernet 1/0/4
[H3C-vlan40]quit
2.配置各VLAN虚接口地址
[H3C]interface vlan 10
[H3C-Vlan-interface10]ip address 10.1.1.1 24
[H3C-Vlan-interface10]quit [H3C]interface vlan 20 [H3C-Vlan-interface20]ip address 10.1.2.1 24
[H3C-Vlan-interface20]quit [H3C]interface vlan 30 [H3C-Vlan-interface30]ip address 10.1.3.1 24
[H3C-Vlan-interface30]quit [H3C]interface vlan 40 [H3C-Vlan-interface40]ip address 10.1.4.1 24
[H3C-Vlan-interface40]quit
3.定义时间段 [H3C] time-range huawei 8:00 to 18:00 working-day 需求1配置(基本ACL配置)
⑵ ACL(访问控制列表)详解
访问控制列表(ACL)是应用在 路由器 接口的指令列表(即规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。
ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。
ACl是一组规则的集合,它应用在路由器的某个接口上。对路由器接口而言,访问控制列表有两个方向。
出:已经通过路由器的处理,正离开路由器的数据包。
入:已到达路由器接口的数据包。将被路由器处理。
————————————————
1、Access Contral List
2、ACL是一种包过滤技术。
3、ACL基于 IP包头的IP地址 、 四层TCP/UDP头部的端口号; 基于三层和四层过滤
4、ACL在路由器上配置,也可以在防火墙上配置(一般称为策略)
5、ACL主要分为2大类:
标准 ACL
表号是 1-99 特点;
只能基于 源IP地址 对包进行过滤
扩展 ACL
表号:100-199
特点:可以基于源IP、目标IP、端口号、协议对包进行过滤
————————————————
ACL原理
1)ACL表必须应用到接口的进或出方向生效
2) 一个接口的一个方向 只能应用一张表
3)进还是出方向应用?取决于流量控制总方向
4)ACL表是严格自上而下检查每一条,所以要注意书写顺序
5)每一条是有条件和动作组成,当流量不满足某条件,则继续检查;当流量完全 满足某条件,不再往后检查 直接执行动作。
6)标准ACL尽量写在靠近目标的地方
————————————————
将ACL应用到接口:
———————
注释:反子网掩码:将正子网掩码0和1倒置
反子网掩码:用来匹配,与0对应的严格匹配,与1对应的忽略匹配。
———————
例如:access-list 1 deny 10.1.1.1 0.255.255.255
解释:该条目用来拒绝所有源IP为10开头的
access-list 1 deny 10.1.1.1 0.0.0.0
简写:access-list 1 deny host 10.1.1.1
解释:该条目用来拒绝所有源IP为10.1.1.1的主机
access-list 1 deny 0.0.0.0 255.255.255.255
简写:access-list 1 deny any
解释:该条目用来拒绝所有人
————————————————
————————————————
1)做流量控制,首先要先判断ACL写的位置(那个路由器?那个接口的哪个方向?)
2)再考虑怎么写ACL
首先要判断最终要 允许所有还是拒绝所有
将 【详细的严格的控制】 写在最前面
3)一般情况下,标准或扩展ACL一旦编写,无法修改某一条,也无法删除某一条,也无法往中间插入新的条目,只能一直在最后添加新的条目
如想修改插入或删除,只能删除整张表,重新写!
conf t
no access-list 表号
查看ACL表:
show ip access-list [表ID]
————————————————
扩展ACL:
表号:100-199
特点:可以基于源IP、目标IP、端口号、协议对包进行过滤
命令:
acc 100 permint/deny 协议 源IP或源网段 反子网掩码 目标IP 或源网段 反子网掩码 [eq端口号]
注释:协议:tcp/udp/icmp/ip
案例:
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 deny ip host 10.1.1.1 20.1.1.1 0.0.0.255
————————————————
命名ACL:
作用:可以对标准或扩展ACL进行自定义命名
优点:
自定义命名更容易辨认,也便于记忆!
可以任意修改某一条,或删除某一条,也可以往中间插入某一条
conf t
ip access-list standard/extended 自定义表名
开始从deny或permit编写ACL条目
exit
删除某一条:
ip access-list standard/extended 自定义表名
no 条目ID
exit
插入某一条:
IP access-list standard/extended 自定义表名
条目ID 动作 条件
————————————————
以上是以思科命令为例。
⑶ 思科Cisco路由器的ACL控制列表设置
1、首先在电脑上点击打开Cisco软件。准备两个PC,一个server和三个路由器,并连接。
⑷ 路由器IP访问列表怎么设置
IP Access-list:IP访问列表或访问控制列表,简称IP ACL
ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤
访问控制列表的作用
内网布署安全策略,保证内网安全权限的资源访问
内网访问外网时,进行安全的数据过滤
防止常见病毒、木马、攻击对用户的破坏
ACL一般配置步骤
1、定义规则(哪些数据允许通过,哪些数据不允许通过);
2、将规则应用在路由器(或三层交换机)的接口上。
两种类型:
标准ACL(standard IP ACL)
扩展ACL (extended IP ACL)
IP标准访问列表的配置
1、定义标准ACL
编号的标准访问列表(路由器和三层交换机支持)Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]
命名的标准访问列表(路由器、三层交换机和二层交换机支持)
2、应用ACL到接口
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的标准访问列表(路由器、三层交换机)
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
switch(config-if)#ip access-group name { in | out }
IP扩展访问列表的配置
1.定义扩展的ACL:
编号的扩展ACL (路由器和三层交换机支持)
Router(config)#access-list <100-199> { permit /deny }
协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
命名的扩展ACL (路由器、三层交换机和二层交换机支持)
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
2.应用ACL到接口:
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基于时间的访问控制列表
通过基于时间的定时访问控制列表,定义在什么时间允许或拒绝数据包。
只不过在配置ACL之前定义一个时间范围。然后再通过引用这个时间范围来对网络中的流量进行科学合理的限制。
对于不同的时间段实施不同的访问控制规则
在原有ACL的基础上应用时间段
任何类型的ACL都可以应用时间段
基于时间的列表的配置
校正路由器时钟
在全局模式
Clock set hh:mm:ss date month year 设置路由器的当前时间
Clock up_calender 保存设置
配置时间段
时间段
绝对时间段(absolute)
周期时间段(periodic)
混合时间段:先绝对,后周期
Router(config)# time-range time-range-name 给时间段取名,配置ACL时通过名字引用
配置绝对时间
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date:表示时间段的起始时间。time表示时间,格式为“hh:mm”。date表示日期,格式为“日 月 年”
end time date:表示时间段的结束时间,格式与起始时间相同
示例:absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期时间
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 说明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平时(星期一至五)
Weekend 周末(星期六至日)
示例:periodic weekdays 09:00 to 18:00
3、关联ACL与时间段,应用时间段
在ACL规则中使用time-range参数引用时间段
只有配置了time-range的规则才会在指定的时间段内生效,其它未引用时间段的规则将不受影响
access-list 101 permit ip any any time-range time-range-name
验证访问列表和time-range接口配置
Router# show access-lists !显示所有访问列表配置
Router#show time-range ! 显示time-range接口配置
注:1、一个访问列表多条过滤规则
按规则来进行匹配。
规则匹配原则:
从头到尾,至顶向下的匹配方式
匹配成功,则马上使用该规则的“允许/拒绝……”
一切未被允许的就是禁止的。定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过,即deny any any
显示全部的访问列表
Router#show access-lists
显示指定的访问列表
Router#show access-lists <1-199>
显示接口的访问列表应用
Router#show ip interface 接口名称 接口编号
一个端口在一个方向上只能应用一组ACL。
锐捷全系列交换机可针对物理接口和SVI接口应用ACL。
针对物理接口,只能配置入栈应用(In);
针对SVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用。
访问列表的缺省规则是:拒绝所有。
对于标准ACL,应尽量将ACL设置在离目标网络最近的接口,以尽可能扩大源网络的访问范围。
对于扩展ACL,应尽量将ACL设置在离源网络最近的接口,以尽可能减少网络中的无效数据流。
⑸ 配置访问控制列表必须作的配置是什么
配置访问控制列表必须作的配置是:定义访问控制列表;在接口上应用访问控制列表;启动防火墙对数据包过滤。
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
(5)定义访问控制列表规则时扩展阅读:
访问控制列表具有许多作用,如限制网络流量、提高网络性能;通信流量的控制,例如ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量;提供网络安全访问的基本手段;在路由器端口处决定哪种类型的通信流量被转发或被阻塞,例如,用户可以允许E-mail通信流量被路由,拒绝所有的 Telnet通信流量等。
ARG3系列路由器支持两种匹配顺序:配置顺序和自动排序。配置顺序按ACL规则编号(rule-id)从小到大的顺序进行匹配。通过设置步长,使规则之间留有一定的空间。默认步长是5。路由器匹配规则时默认采用配置顺序。自动排序使用“深度优先”的原则进行匹配,即根据规则的精确度排序。
⑹ 访问控制列表有哪几种类型,分别在哪个位置
1、标准IP访问列表
编号范围是从1到99的访问控制列表是标准IP访问控制列表。
2、扩展IP访问
编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
3、命名的IP访问
4、标准IPX访问
标准IPX访问控制列表的编号范围是800-899。
5、扩展IPX访问
扩展IPX访问控制列表的编号范围是900-999。
6、命名的IPX访问
与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号。
相关信息
ACL技术可以有效的在三层上控制网络用户对网络资源的访问,它可以具体到两台网络设备间的网络应用,也可以按照网段进行大范围的访问控制管理,为网络应用提供了一个有效的安全手段。
一方面,采用ACL技术,网络管理员需要明确每一台主机及工作站所在的IP子网并确认它们之间的访问关系,适用于网络终端数量有限的网络。对于大型网络,为了完成某些访问控制甚至不得不浪费很多的IP地址资源。同时,巨大的网络终端数量,同样会增加管理的复杂度和难度。
另一方面,维护ACL不仅耗时,而且在较大程度上增加路由器开销。访问控制列表的策略性非常强,并且牵涉到网络的整体规划,它的使用对于策略制定及网络规划的人员的技术素质要求比较高。因此,是否采用ACL技术及在多大的程度上利用它,是管理效益与网络安全之间的一个权衡。
⑺ 访问控制列表的基本定义
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
此外,在路由器的许多其他配置任务中都需要使用访问控制列表,如网络地址转换(Network Address Translation,NAT)、按需拨号路由(Dial on Demand Routing,DDR)、路由重分布(Routing Redistribution)、策略路由(Policy-Based Routing,PBR)等很多场合都需要访问控制列表。
访问控制列表从概念上来讲并不复杂,复杂的是对它的配置和使用,许多初学者往往在使用访问控制列表时出现错误。