Download
1 / 13
130 likes | 321 Vues
ACL 访问控制技术. 3. 3. ACL 概 述. 1. 3. ACL 的分类. 2. ACL 配置. ACL 的访问顺序. 4. 目录. ACL 概 述. 一、什么是 ACL ACL 全称访问控制列表: Access Control List ,网络中常说的 ACL 是 IOS/NOS 等网络操作系统所提供的一种访问控制技术,初期仅在路由器上支持,现在已经扩展到三层交换机,部分最新的二层交换机也开始提供 ACL 支持。 二、 ACL 的原理、功能与局限性
E N D
3 3 ACL 概 述 1 3 ACL的分类 2 ACL配置 ACL的访问顺序 4 目录
ACL 概 述 一、什么是ACL • ACL全称访问控制列表:Access Control List,网络中常说的ACL是IOS/NOS等网络操作系统所提供的一种访问控制技术,初期仅在路由器上支持,现在已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL支持。 二、 ACL的原理、功能与局限性 • 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 • 功能: ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点对资源节点的访问权限。 • 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
ACL 概 述 三、ACL的工作过程
ACL的分类 1.标准ACL 2.扩展ACL 3.命名ACL 4.基于时间的访问控制列表
ACL的配置 1.标准ACL的配置 第一步,定义访问控制列表,其命令格式如下: Router(config)# access-list access-list-number { permit | deny } source [source-wildcard] [log] 例如: Router(config)# access-list 1 permit 10.0.0.0 0.255.255.255 第二步,把标准 ACL应用到一个具体接口 Router(config)# int interface Router(config-if)# { protocol } access-group access-list-number {in | out} 例如: Router(config)# int s1/1 Router(config-if)# ip access-group 1 out
ACL的配置 2.扩展ACL的配置 第一步,定义访问控制列表,其命令格式如下: Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand]destination destination-wildcard [ operator operand] [ established ] [log] 例如:Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 第二步,把扩展 ACL应用到一个具体接口: Router(config)# int interface Router(config-if)# { protocol } access-group access-list-number {in | out} 例如: Router(config)# int s1/1 Router(config-if)# ip access-group 1 out
ACL的配置 3.命名ACL配置 第一步,创建一个ACL命名,要求名字字符串要唯一 Router(config)# ip access-list { standard | extended } name 第二步,定义访问控制列表,其命令格式如下 标准的ACL: Router(config-sta-nacl)# { permit | deny } source [source-wildcard] [log] 或扩展的ACL Router(config-ext-nacl)# { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log] 第三步,把 ACL应用到一个具体接口上: Router(config)# int interface Router(config-if)# { protocol } access-group name {in | out}
ACL的配置 4.基于时间的访问控制列表 第一步是定义一个时间范围; 格式为:time-range time-range-name(时间范围的名称) 可以定义绝对时间范围和周期、重复使用的时间范围。 第二步是在访问列表中用t i m e -range引用时间范围 基于时间的标准ACL: Router(config)# access-list access-list-number { permit | deny } source [source-wildcard] [log] [time-range time-range-name] 基于时间的扩展ACL: Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand]destination destination-wildcard [ operator operand] [ established ] [log] [time-range time-range-name] 第三步,把ACL应用到一个具体接口: Router(config)# int interface Router(config-if)# { protocol } access-group access-list-number {in | out}
ACL的配置 基于时间的访问控制列表配置实例: router# configure terminal router(config)# time-range allow-www router(config-time-range)# asbolute start 7:00 1 June 2010 end 17:00 31 December 2010 router(config-time-range)# periodic weekend 7:00 to 17:00 router(config-time-range)# exit router(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq www time-range allow-www router(config)# interface serial 1/1 router(config-if)# ip access-group 101 out
ACL的访问顺序 ACL访问控制列表,由一系列访问控制语句组成,按照各访问控制语句在ACL中的顺序,根据其判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。 如果所有的条件语句都没有被匹配,则最后将强加一条拒绝全部流量的隐含语句。在缺省情况下,虽然看不到最后一行,但最后总是拒绝全部流量的。 当一个ACL被创建后,新的语句行总是被加到ACL的最后,因此,无法删除某一条ACL语句,只能删除整个ACL列表。
ACL的访问顺序 ACL的执行顺序如图
