하나, ACL 개요
1.1 액세스 제어 목록
(액세스 제어 목록)
중요도 : 높음!
1.2 ACL의 역할
ACL은 패킷 필터링 기술입니다!
1.3 ACL 애플리케이션 시나리오
라우터에서, 방화벽에서
라우터는 ACL이라고합니다!
일반적으로 방화벽에 대한 정책이라고합니다! 정책은 업그레이드 된 버전의 ACL이며 IP, 포트, 프로토콜 및 애플리케이션 계층 데이터를 기반으로 필터링 할 수 있습니다.
2. ACL을 필터링하는 방법은 무엇입니까?
ACL은 데이터 패킷의 IP 주소와 포트 번호를 기반으로 데이터 패킷을 필터링하는 것입니다!
세, ACL 분류
3.1 표준 ACL
표준 --- 표준
표 번호 : 1-99 또는 1300-1999
기능 : 소스 IP 주소를 기준으로 패킷 만 필터링합니다!
3.2 확장 ACL
확장 --- 확장
테이블 번호 : 100-199 또는 2000-2699
특징 : 소스 IP 주소, 대상 IP 주소, 대상 포트 번호, 프로토콜 등을 기반으로 패킷을 필터링 할 수 있습니다!
네, ACL 필터링 원리
4.1 Fei Ge의 ACL 구성 팁
1)先判断要控制的数据流源和目标,并画出控制数据流的方向!进而判断ACL可以写在哪些路由器上!
2)打开那台路由器,开始编写ACL过滤规则!
3)最后将ACL表应用到某个接口的某个方向才能生效!4.2 ACL의 원리
1)ACL表配置完毕后,必须应用到接口的in或out方向上,才能生效!
2)一个接口的一个方向上只能应用一张表。
3)在所有ACL表的最后都有一条隐藏的拒绝所有条目(大boss) !
4)在匹配ACL时,是严格自上而下的匹配每一条的! 匹配成功,则完成动作,没匹配成功,则继续匹配下一条,如全部不匹配,则直接丢弃拒绝通过!(一定要注意书写的先后顺序!!)
5)标准ACL因为只能基于源IP对包进行过滤,so建议写在靠近目标端的地方!
6) 一个ACL编写完成后,默认情况下,不能删除某一条,也不能往中间插入新的条目,只能继续往最后追加新的条目!4.3 ACL 설명 원리 프로세스 다이어그램
다섯, ACL 명령
5.1 표준 ACL 명령
conf t
access-list 表号 permit/deny 条件번호 : 1-99
조건 : 소스 IP + 서브넷 마스크 trans
trans 서브넷 마스크 : 0.0.0.255 0은 정확한 일치를 나타내며 255는 일치 할 필요가 없습니다!
예 :
access-list 1 deny 192.168.1.0 0.0.0.255 # 拒绝源IP为192.168.1.0网段的流量
access-list 1 permit 0.0.0.0 255.255.255.255 # 允许所有网段
access-list 1 deny 192.168.2.1 0.0.0.0 # 拒绝一台主机/拒绝一个人단순화 :
0.0.0.0 255.255.255.255 == any
192.168.2.1 0.0.0.0 == host 192.168.2.1단순화 후 :
access-list 1 deny 192.168.1.0 0.0.0.255 # 拒绝源IP为192.168.1.0网段的流量
access-list 1 permit any # 允许所有网段
access-list 1 deny host 192.168.2.1 # 拒绝一台主机/拒绝一个人5.2 확장 ACL 명령
conf t
access-list 表号 permit/deny 协议 源IP 反掩码 目标IP 反掩码 [eq 端口号]표 번호 : 100-199
프로토콜 : TCP / UDP / IP / ICMP ( 포트 번호를 쓸 때 tcp 또는 udp 만 작성)
참고 : ICMP 프로토콜은 ping 명령에 사용되는 프로토콜, ICMP 프로토콜은 네트워크 프로토콜 감지 , 기타 ping , ICMP 감지 패킷을 생성하여 상대방에게 전송하면 상대방이 ICMP 감지 패킷으로 응답하여 핑이 성공했음을 의미합니다!
[] : 선택 사항
다음과 같은 경우 :
conf t
access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.6.1 0.0.0.0 eq 80
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 101 permit ip any any
다른 경우 :
access-list 102 deny icmp 192.168.1.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 102 permit ip any any다음은 또 다른 경우입니다.
acc 103 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
acc 103 permit ip 192.168.1.0 0.0.0.255 host 192.168.6.1
acc 103 deny ip any any다음은 또 다른 경우입니다.
acc 104 deny ip host 192.168.1.1 any
acc 104 permit ip any any5.3 인터페이스에 ACL 테이블 적용
int f0/1
ip access-group 102 in/out
exit5.4 모든 ACL 테이블보기 및 나열
IP 액세스 목록 표시
여섯, 명명 된 ACL
6.1 acl이라는 이름의 테이블을 만드는 방법
conf t
ip 액세스 목록 확장 表 名
허가 / 거부에서 각 항목 편집 시작
종료 작성 후 종료 할 수 있습니다!
6.2 ACL 이름 지정의 이점
명명 된 ACL 형식을 사용하여 특정 형식을 삭제하거나 특정 형식을 삽입하십시오!
예 :
R1(config)#do sh ip acce
Extended IP access list 120
10 deny icmp any any
20 deny udp 192.168.1.0 0.0.0.255 any eq domain
30 permit ip any any한 항목을 삭제할 수 있습니다. 두 번째 항목을 삭제해야하는 경우 다음을 수행하십시오.
R1(config)#ip access-list extended 120
R1(config-ext-nacl)#no 20
R1(config-ext-nacl)#exit결과는 다음과 같습니다.
R1(config)#do sh ip acce
Extended IP access list 120
10 deny icmp any any
30 permit ip any any
R1(config)#참고 : 특정 항목을 삽입해야하는 경우 항목 앞에 숫자를 추가해야합니다!