战卡三国手游:access control list 访问控制列表

来源:百度文库 编辑:中财网 时间:2024/03/29 19:34:58

ACL(access control list 访问控制列表)
ACL是应用于路由器接口上的指令列表,它读取三层和四层包头中的信息,根据预先定义好的规则对包进行过滤。
当数据经过接口时将检查该接口是否应用了ACL,如果没有就对数据包进行正常处理。如果有,就检查是否同ACL上制定的任何一条规则匹配,注意,它是从上而下一条一条检查的,当检查到其中任何一条匹配后就按照规则的内容对数据包进行处理,如果到最后都没有找到一条匹配的规则,将有一条隐含的拒绝将此数据包丢弃。

常见的访问控制列表分标准的和扩展的访问控制列表两种,前者只针对源地址对包进行过滤,后者则可以根据源地址和目的地址,协议以及端口进行包过滤。

标准的访问控制列表的表号为1-99,配置命令如下:

全局配置下:access-list "表号" permit/deny "源地址"  "源地址反码" (permit表示允许,deny则表示拒绝)

如果要删除它,前面加个no就可以实现

接下来要将这个策略应用到接口上,进入接口模式:

ip access-group "表号"  in/out

(in表示应用在接口的入站方向,out则表示应用在接口的出站方向,一般情况下应用在入站方向的效率要高于应用在出站方向的,因为在入站方向先检查接口上有没有应用ACL,而在出站方向则先检查路由表,指定端口信息,然后检查是否应用了ACL)


扩展的访问控制列表的表号为100-199,配置命令如下:

全局配置下:access-list "表号" permit/deny "协议类型" "源地址" "源地址反码" "目的地址" "目的地址反码" "端口号"

例如,禁止源地址为192.168.0.1/24的主机telnet到10.0.0.1/8的主机上,配置如下:

accesslist-list 101 deny tcp 192.168.0.1 0.0.0.255 10.0.0.1 0.255.255.255 eq 23

eq表示等于,lt为小于,gt为大于,neq为不等于,还需要明确的是协议的类型,主要的有IP,ICMP,TCP,UDP等

因为针对的是主机,所以也可以运用通配符host,如下:

accesslist-list 101 deny tcp host 192.168.0.1 host 10.0.0.1  eq 23

如果想禁止主机192.168.0.1/24 PING 主机10.0.0.1/8,配置如下:

access-list 102 deny icmp host 192.168.0.1 host 10.0.0.1 echo-relay

access-list 102 deny icmp host 192.168.0.1 host 10.0.0.1 echo

定义好这两个策略后应用到相应的接口就可以了,该命令同标准的ACL相同,此处不在赘述。

另外,还可以定义一个命名访问控制列表:
全局配置下:ip access-list standard/extended "名字"
standard表示为一个标准的ACL,extended则表示为一个扩展的ACL


需要注意的是,前面的标准的和扩展的ACL应用的时候是从上到下依次匹配,但是不能手动删除其中的任意一条,如果要删除只能删除整个访问控制列表,而命名的ACL则可以实现手动删除其中的一条,其他的和前者一样。