日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 人文社科 > 生活经验 >内容正文

生活经验

路由器:访问控制列表

發布時間:2023/11/28 生活经验 26 豆豆
生活随笔 收集整理的這篇文章主要介紹了 路由器:访问控制列表 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

前言:

配置路由器全網互通后,更高級一點希望網絡中的資源不被非法使用和訪問
出現了訪問控制,訪問控制是網絡安全防范和保護的主要策略,
主要任務是保證網絡資源不被非法使用和訪問
它是保證網絡安全最重要的核心策略之一
訪問控制涉及的技術:包括入網訪問控制網絡權限控制目錄級控制以及屬性控制等多種手段。

訪問控制列表是其中重要的內容!根據列表來告訴路由器哪些數據包可以收、哪些數據包需要拒絕。

訪問控制列表(Access Control Lists,ACL)是應用在路由器接口的指令列表。
訪問控制列表好處:
控制網絡流量、流向的作用
很大程度上起到保護網絡設備、服務器的關鍵作用。
作為外網進入企業內網的第一道關卡,路由器上的訪問控制列表成為保護內網安全的有效手段。

了解訪問控制列表

進入到R2

R2#(config) access-list <1~99>訪問列表名字(標準) <100~199>extended(擴展的,防止不夠用)
R2#(config) access-list 10 :現在有一個訪問控制列表10  控制列表中有3類信息(deny 拒絕 permit允許 remark注釋)

在每一個控制列表下,通過這3類控制信息來決定列表內容的作用
舉例——remark

R2#(config) access-list 10  
remark deny to 4.4.4.4 traffic :注釋掉deny to 4.4.4.4 traffic 這句話,這句話本身是指拒絕到4.4.4.4的穿越流量
sho ip access-list 10    :查看控制列表10的信息

舉例——deny

R2#(config) access-list 10
deny( 可以跟3中信息A.B.C.D網段 / any所有 / host一個點 host 1.1.1.1)

訪問控制列表的7個特點和解釋

1)對數據流進行匹配
2)應用于接口

ip access-list standard 1   
   5  deny host  1.1.1.1   
   7  deny host 1.1.1.2  /  7  deny 1.1.1.2  0.0.0.0通過反掩碼自動計算出它是一個點
   9  permit any
exit
inf f0/10
ip access-group | in
1. 這里先建立了一個訪問控制列表,定義在f0/0接口的進方向上拒絕1.1.1.1 拒絕1.1.1.2 其余的允許通過
2. 然后,退出訪問控制列表的編輯狀態
3. 返回到f0/0接口下,將控制列表應用到這個接口的進方向上

如果存在多個接口,則要給每一個接口進行配置!

3)同一個方向只有一個可以應用對于R2上的每一個接口,上面的圖對每一個接口都是不同的方向,下面的圖對每一個接口都是同一個方向,但是同一個方向上,如果有多個訪問控制列表,只能應用其中的一個!如果同一個方向上運用了多個,到底該以哪一個做為依據,就會亂了!

在下圖中,配置這樣的命令

(R2#config) ip access-list standard 2
(R2#config)   5  deny   1.1.1.1
(R2#config)  10 deny  12.1.1.1
(R2#config)  15 permit  12.1.1.0  0.0.0.255
(R2#config)exit
(R2#config)inf f0/1
(R2#config)ip access-group in
在R2的f0/1接口的in方向上配置了拒絕1.1.1.1,拒絕12.1.1.1,允許12.1.1.0 0.0.255
由于R2上沒有12.1.1.1,一段時間后會down鄰居,導致ping不通(ping是一來一回的機制,雖然在1.1.1.2的out方向不受控制,但在1.1.1.2的in方向受控制,所以以1.1.1.1為源ping3.3.3.3回得來,但去不了,導致ping不通!
4)至少有一條permit行
也就說不能所有的都拒絕,這樣不就斷了,路由器放在這個位置也就沒用了!所以必須保證至少有一條是通的!
R2#(config) access-list 10
10 deny 1.1.1.1  10為語句序號
20 deny 1.1.1.2  20為語句序號
30 permit any
【deny any 最后默認】
其中的意思就是在R2上建立訪問控制列表,在列表上,第10行拒絕了1.1.1.1,第20行拒絕了1.1.1.2,然后其余的允許通過。默認也是缺省的意思,也就是當訪問控制列表什么都沒有的話,就拒絕所有!我覺得這樣也最安全!
10  20  30實際匹配時按照語句序號進行匹配的,他們之間為什么是10個單位一增加,因為如果想在其中添加,這樣不就可以直接添加了嘛!避免因為緊挨著順序使用控制列表,而導致不容易修改列表!

如果想改序列號30 permit any改為25,通過下面的語句

ip access-list standard 1
25 permit any

如果想刪除哪一個項

show access-list 10 :先顯示查看目前的列表 
no 25 permit any  :直接no掉就好了
通常在執行的過程中,一旦匹配成功一條,后面的就不再匹配(就像非誠勿擾里,一旦牽手了以為女嘉賓,你就不能再牽手其他女嘉賓了)

5)語句序號匹配,一旦匹配,其余不匹配
6)應用于穿越流量,不應用于發起流量
也就是訪問控制列表只對通過它的流向起作用,如果流量是它發出的,即便訪問控制列表里有這個東西,也不能阻礙流量穿過!
7)應用與目的最近的設備最好
就像治病,找到病根對癥下藥比盲目地為各個部位都治療效果好,應用于最近的設備,所能發揮的效果也最好,速度快,也不會影響周邊的通信。

總結

以上是生活随笔為你收集整理的路由器:访问控制列表的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。