中小企业网络管理:ACL访问控制列表

第1页: 【IT168技术】现在网络是越来越复杂,网络数据也呈现出多样化,作为网络管理员必须能够不良的访问,同时又要允许正常的访问。当然现在有很多技术都可以实现,我们今天来看在企业网络管理中怎么利用Cisco由ACL来实现访问控制。 由器为了过滤数据包,需要配置一”

【路由器之家】-中小企业网络管理:ACL访问控制列表,下面就是【路由器网】小编整理的路由器设置教程。

 

  第1页:

中小企业网络管理:ACL访问控制列表

  【IT168技术】现在网络是越来越复杂,网络数据也呈现出多样化,作为网络管理员必须能够不良的访问,同时又要允许正常的访问。当然现在有很多技术都可以实现,我们今天来看在企业网络管理中怎么利用Cisco由ACL来实现访问控制。

  由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,什么样的数据包不应该通过;这些规则就是通过ACL来定义的。

  ACL全称是:AccessControlList,中文就是访问控制列表。ACL是由permit或deny语句组成的一系统有顺序的规则组成,这些规则根据数据包的源地址、目标地址、端口号等来描述。ACL通过这些规则对数据包进行分类,并将规则应用到由器的某个接口上,这样由器就可以根据这些规则来判断哪些数据包可以接收,哪些数据包需要。从而实现网络的安全性,因此我们总结ACL主要目的很简单就是允许、数据包通过由器;允许或Telnet会话的建立。

  当然由器上默认是没有ACL的也就是说默认情况下任何数据包都可以通过。就像如果你们单位没有保安,那么任何人的出入都不会受到。那么就会给单位的财产带来不安全的因素。因此,可以在单位门口设置一个保安部,那么这个保安就会看如果是本单位的人进入,直接通过,如果不是就要一番,如果是“”就大大的放行,如果是“日军”,就统统的“八个牙”那么同理我们也可以在由器的某个接口上设置这么一个保安,检查通过该接口上的每一个数据包,符合某个条件的通过,或者是符合某个条件的不允许通过。从而实现对数据包过滤的作用。

  我们所说的ACL分为两种:标准和扩展

  标准ACL

  ,如下图所示:

  中小企业网络管理:ACL访问控制列表

  标准ACL

  大家从图中可以看出,标准ACL只检查数据包中的源地址,至于数据帧头是HDLC,数据报头是TCP,标准ACL统统不管,就认一个源IP头,也就是说标准ACL只会检查IP数据包的源地址,然后根据是否满足条件来决定是允许还是整个协议集。

  扩展ACL

  ,如下图所示:

  中小企业网络管理:ACL访问控制列表

  扩展ACL

  扩展ACL比标准ACL检查的东西要多,检查源地址、目的地址、协议以及相应端口;即扩展ACL可以结合这四个参数来决定是允许还是某个特殊的协议如TCP,UDP,ICMP等等。所以扩展ACL的功能比标准ACL的功能要强!

  那么如何定义标准或者是扩展ACL呢?

  192.168.0.99ACL的定义可以分为两类:1使用数字号码范围来定义2使用名字来定义

  1使用数字号码范围定义

  标准ACL的范围是1-99,扩展范围1300-1999

  扩展ACL范围是100-1999,扩展范围2000-2699

  在此为什么使用扩展范围呢,主要是因为现在的网络规模和网络的复杂性都在增加,原来的号码范围可能已经不能满足需要,所以推出扩展范围。

  2使用名字来定义

  我们前面所介绍的标准ACL还是扩展ACL有一个使用起来很不方便的地方,就是如果在设置ACL的时候,如果发现中间有某个设置的不正确,希望删除某一条,是做不到的,那么就可以使用命名ACL,可以为每个ACL定义一个形象的名字。好处是可以对ACL中的每一个具体的规则进行处理,但如果是使用数字的话,只能是删除全部规则,不能删除其中一个规则。这样的话在大型网络中就不是很方便,而使用命名ACL可以解决这个问题:语法也很简单:

  (config)#ipaccess-listextended/standareddufei注意:标准和扩展都可以创建命名ACL

  然后在创建规则:如

  Permit10.10.10.100.0.0.0

  Perimit20.20.20.20.0.0.0.0

  Deny30.30.30.300.0.0.0

  那如果我们希望删除其中一个如第一个,则使用nopermit10.10.10.100.0.0.0即可,其他的仍然存在。

  访问控制列表还涉及到一个进站和出站的问题,也就是数据包的流向是进方向还是出方向。当然是进还是出要看具体情况,有的时候可以应用在任何一个。有的时候就必须唯一确定。

  我们看一下出站方向上的ACL应用,我们还是从一个图入手,如下图所示:

  中小企业网络管理:ACL访问控制列表

  ACL应用

  分析:

  1数据包通过入站接口进入由器,此时开始查找由表中是否有匹配的由条目,如果没有,则直接将其丢弃。这一步和ACL还没有任何关系,只是没有相应由,就无法转发数据包,所以在此也需要说明一点,ACL也必须在数据包能够被由的基础之上才起作用。

  2如果由表中有相应的由条目才被由到一个相应的接口上。

  3查看该接口是否有ACL的配置,如果没有则立即被转发,如果设置了ACL,则检查该数据包是否匹配ACL规则。如果匹配并规则中明确该数据包可以正常转发。否则丢弃!注意:如果ACL测试规则中没有明确指定数据包通过,则说明此数据包没有与相关的规则匹配,那么还有一个隐含的规则就是denyall,这一点和微软的ISA是一样的,安装好防火墙就有一个默认规则一切,可以说是“六亲不认”!

  下面咱们就来细说一下ACL规则测试,如下图:

  中小企业网络管理:ACL访问控制列表

  ACL规则

  如图所示,在ACL中可以有多个规则。如图:假设在ACL中有三个明确规则,则数据包进入后首先匹配第一个规则,如果数据包匹配该规则并设置为permit,则数据包被转发,如果数据包也匹配该规则,但却被设置为deny,则数据包直接被丢弃。

  如果第一个规则不匹配则该数据包继续向前走,此时再检查是否匹配第二个规则,如果匹配并设置为permit,则该数据包被转发,如果匹配但被设置为deny则被丢弃。

  如果第二个规则也不匹配则继续向前走,此时遇到第三个规则,同时还是检查是否匹配,如果匹配并设置为permit,同样也可以被转发,如果被设置为deny,则被丢弃。如果第三个是规则是最后一个,该数据包都没有匹配,

  注意:1规则最后千万不要忘记还有一个隐含规则:DenyALL!!!

  2在此还需要注意,Cisco的ACL规则完全是按照规则编写的顺序进行的。所以最精确的规则应当写在最上方,否则将被大范围的规则所覆盖而导致设置失效。如一台主机访问外网,必须先写这一台,然后再写运行所有,那如果顺序错了,运行所有在,一台在下面,系统会检查一个数据包,发现任何一个数据包都可以通过,就直接转发了,下面的一条就不起作用了!

  • 共2页:
  • 上一页
  • 1
  • 2
  • 下一页
  • 以上关于-【中小企业网络管理:ACL访问控制列表】内容,由【路由器之家】搜集整理分享。

    本文来自投稿,不代表路由百科立场,如若转载,请注明出处:https://www.qh4321.com/48009.html

    (0)

    相关推荐