目录
ACL
**含义:**访问控制列表,其是一种包过滤技术,主要实现了对访问资源的控制。
注意:
- ACL基于IP包头中的IP地址、四层TCP/IP头部的端口号(这里路由器破例可以参与四层工作)
- ACL在路由器上的接口处配置,也可以在防火墙上配置(在防火墙上配置的一般称为策略)
ACL原理
- ACL表必须应用到接口的进或出方向才能生效
- 一个接口的一个方向(进口/出口)仅能应用一张ACL表
- 进出方向的配置取决于流量控制的总方向
- ACL表是严格按照自上而下检查每一条策略,所以要注意书写顺序
- 每一条ACL条目由条件和动作组成,当某流量没有满足某条件,则继续检查下一条
- 所有ACL策略的末端默认有一条隐藏的拒绝所有策略,这个策略我们不用写。
ACL包过滤方式
当一个包来了之后,该包的特征若和条件特征完全吻合,那么就不会往后继续检查进而执行后面动作(放行或阻止),若有一丁点不吻合,则该条策略不起作用,进而检查下一条策略。
**总结:**层层过滤,层层放行。
ACL通用命令
查看ACL表命令
进入特权模式
show ip access-list [表号]
**注意:**这里面可以看到表条目的编号,该编号在命名ACL里面会有用。
删除整张表命令
进入全局模式
no access-list 表号
接口配置ACL
进入接口配置模式
**在接口配置ACL:**ip access-group 表号 in/out
**将ACL从接口取出:**no ip access-group 表号 in/out
**注意:**最后的in/out指明了该表应用在接口的进口还是出口方向上
ACL分类
前言
- 我们想要在路由器上过滤时,首先我们要在路由器上创建一张ACL表
- 当在路由器上创建一个标准ACL时,必须要首先指定标准ACL表的名字(表号)
- ACL表主要有标准ACL和扩展ACL
- 标准ACL的表号范围为1-99;扩展ACL表号范围为100-199
- 在一个路由器上表号不能相同,在多个路由器上表号可以相同
进入全局配置模式
**ACL语法:**access-list 表号 动作与条件
注意:
- 上面着个语法适用于所有种类ACL
- 不同ACL编写语法的不同也就是后面的动作与条件书写方式的不同
- 若路由器没有ACL表则执行以上命令会创建一张表并为表增加该条目,若有了该表,则执行以上命令就会为该表添加一个表条目
标准ACL
**前言:**标准ACL只能基于源IP对包进行过滤,其表号范围为1-99.
标准ACL的动作与条件
**语法:**动作 源IP/源网段范围
动作
- **允许:**permit
- **否决:**deny
源IP/源网段范围
- **host IP地址:**仅对某一个主机的源IP进行匹配(类似于------IP地址 0.0.0.0)
- **源IP/源网段 通配符掩码:**匹配某一网段的范围或IP地址的数据包
- **any:**所有的范围的源IP进行匹配(类似于------IP地址 255.255.255.255)
通配符掩码
**通配符掩码作用:**用来匹配网段或IP地址,与0对应的需要严格匹配,与1对应的忽略,其主要用于控制该网段或IP地址包的过滤。
具体案例
**源IP为10.1网段的包都进行阻止:**access-list 1 deny 10.1.3.1 0.0.255.255
源IP为10.1.3.1IP地址的包都进行放行
- **普通写法:**access-list 1 permit 10.1.3.1 0.0.0.0
- **简化写法:**access-list 1 permit host 10.1.3.1
所有数据包都进行阻止
- **普通写法:**access-list 1 deny 10.1.3.1 255.255.255.255
- **简化写法:**access-list 1 deny any
扩展ACL
**前言:**扩展ACL可以基于源IP、目标IP、目标端口号、协议等来对包进行过滤,其表号范围为100-199
扩展ACL的动作与条件
**语法:**动作 协议 源IP/源网段范围 目标IP/目标网段范围 [逻辑符号 目标端口号]
动作
- **允许:**permit
- **否决:**deny
IP/网段范围
- **host IP地址:**仅对某一个主机的IP进行匹配(类似于------IP地址 0.0.0.0)
- **IP/网段 通配符掩码:**匹配某一网段的范围或IP地址的数据包
- **any:**所有的范围的IP进行匹配(类似于------IP地址 255.255.255.255)
注意:
- 协议类型:tcp/udp/icmp/ip(若后面加端口号,则前面协议仅有2个选择------tcp/udp)
- 逻辑符号:(eq:等于、gt:大于:lt:小于)主要用来匹配范围端口
- 目标端口号可以不写,但其他的条件必须写
- 若只满足其中的一点条件,那么不叫满足这个条件,只有来的数据包所有特征和这里面的条目完全吻合,才被称为满足条件,才会执行相应的动作
具体案例
10.1.1.1访问20.1.1.3中80端口的tcp数据都放行
access-list 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
放行所有ip数据包
access-list 100 permit ip any any
命名ACL
前言
- 一般情况下,标准或扩展ACL一旦编写好,那么就无法修改某一条,也无法删除某一条,甚至无法修改顺序,只能一直在最后添加新的条目。
- 在标准或扩展ACL中若想修改、插入、删除,只能删除整张表
- 之前我们通过表号对ACL进行命名,但是当我们在一台设备上起的表非常多的时候,我们不能很快的通过表号判断该表的作用,这就用到了命名ACL
**命名ACL作用:**可以对标准/扩展ACL进行自定义命名,也可以通过命名ACL对标准/扩展ACL进行条目的增删改操作。
优点:
- ACL自定义命名更容易辨认,也便于记忆
- 可以任意修改某一条,或删除某一条,也可以往中间插入某一条
书写方式
进入全局配置模式
**创建/进入一张ACL表:**ip access-list 表类型 ACL表名称
进入了扩展ACL配置模式
在扩展ACL配置模式下书写动作与条件
**删除ACL条目:**no ACL条目编号
**插入ACL条目:**ACL条目编号 动作与条件
表类型
- **standred:**标准ACL
- **extended:**扩展ACL
ACL条目编号
**前言:**下面的10、20、30就是ACL条目编号(在其中可以插入个位级的条目编号)
注意:
- 在创建ACL表时,表名称可以随意书写。
- 在特定的表类型的情况下仅能书写特定的动作与条件
- 命名ACL可以修改已经创建好ACL表的标准或扩展ACL,只需要通过表号作为表名称进入该表即可
- 命名ACL不属于ACL分类中的一种