访问控制列表ACL(access control list)
一、作用
1.定义感兴趣的数据包(数据层面)
2. 定义感兴趣的路由(控制层面)
二、特点
1.定义permit(允许)deny(拒绝)
2.序列号由小到大
3.满足金字塔
4.一旦匹配,立即执行
5.调用是在接口上,in(先看ACL,后看路由),out(先看路由表,再看ACL)
6.标准ACL进来靠近目标,是因为标准的ACL只匹配源IP地址,扩展ACL尽量控制源,但不能在源上(ACL不能过滤自身所产生的流量),因为扩展ACL不仅可以匹配源目IP地址,还可以匹配协议和端口号
7.末尾隐含拒绝所有
三、分类
标准ACL:仅仅匹配源IP
扩展ACL:匹配源IP,目标IP地址,协议,端口
四、识别方式
1.编号方式
标准ACL:1-99、1300-1999
扩展ACL:100-1299、2000-2699
2.命名方式
标准ACL:standard
扩展ACL:extended
五、配置
编号方式
编号方式
查看定义的列表
调用定义的列表
拓展
如图R1上有五个环回1.1.1.1、1.1.2.1、、、、1.1.5.1,R4上有个环回4.4.4.4,通过ACL拒绝单数网段,让双数网段通过;然后用扩展ACL让1.1.1.1可以PING通,但是不能远程登陆4.4.4.4。
重要步骤
结果
扩展ACL
配置
R4上开启远程登陆
R1上测试是否成功开启
编号方式
定义列表
远程登陆是基于TCP 会话
选源和目标
telnet的端口号是23
选择IP是任意网络协议
选择任意源和目标通过
调用
结果
命名方式
先删除刚才定义的编号方式
列表的定义及调用