ACL(访问控制列表):访问控制列表(多用于路,由三层交换中建立包过滤防火墙)
一、ACL分类
<强> 1,标准型访问控制列表
(1)只能基于源IP地址过滤
(2)该种列表的访问控制列表号为1 ~ 99
<强> 2,扩展访问控制列表
(1)基于源IP、目的IP,指定协议,端口,标志过滤数据
(2)该种列表的访问控制列表号为100 ~ 199
<强> 3,命名访问控制列表——包含标准访问和扩展访问
(1)该种列表允许在标准和扩展列表中使用“名称代替表号”
二,过滤参数
1,访问控制列表基于三层(基于IP)四层(基于端口,协议)进行过滤
2,应用防火墙,基于七层进行过滤
3,常用端口以及协议如下图
<强>匹配规则:自上而下所有,逐条匹配,默认隐含拒绝所有
五,配置
<强> 1,标准访问控制列表配置
(1)创建ACL
<代码>访问——列表access-list-number{允许|否认}来源【source-wildcard】
访问列表1否认:拒绝所有
access-list-number:列表号(1 - 99)
源[source-wildcard]:源IP +子网掩码反码
关键字:主机/任何
(2)删除ACL
<代码>没有访问——列表access-list-number
(3)将ACL应用于端口
<代码> ip访问组access-list-number{在|}
(4)取消ACL应用在端口
<代码>没有ip访问组access-list-number{在|}
<强>提示:ACL的访问控制列表在口大部分在离限制方近的一端
<强> 2,扩展访问控制列表
(1)创建ACL
<代码>访问——列表access-list-number |否认}{许可证协议{源source-wildcard目标destination-wildcard}【运营商operan】
协议:协议名称(TCP, UDP, ICMP ........)
source-wildcard目的地destination-wildcard:源IP、掩码反码和目标IP、掩码反码
操作符operan:服务的端口或者名字(80/www服务)
(2)删除ACL
<代码>没有访问——列表access-list-numbe
(3)将ACL应用于端口
<代码> ip访问组access-list-number{在|}
(4)在接口上取消ACL的应用
<代码>没有ip访问组access-list-number{在|}
提示:ip包含所有协议
任何任何:源ip,目标ip
<强> 3,命名访问控制列表
(1)创建ACL
<代码> ip访问列表{扩展标准|}access-list-name
access-list-name:列表名称(自己取),
(2)配置标准命名ACL
<代码>(序列号){允许|否认}源(source-wildcard)
<强>序号:列表中的序列号,决定ACL语句在列表当中的位置。
(3)配置扩展命名ACL
<代码>(序列号)|否认}{许可证协议源{source-wildcard目的地destination-wildcard}【运营商operan】
(4)删除组中单一ACL语句
——没有序列号
——没有ACL语句
(5)删除整组ACL
<代码>没有ip访问列表{扩展标准|}access-list-name
(6)将ACL应用于接口
<代码> ip访问组access-list-name{在|}
(7)取消接口上ACL的应用
<代码> ip访问组access-list-name{在|
(8)在ACL中添加特定序列号的语句
<代码> ip访问列表{扩展标准|}access-list-name
序列号+执行的操作命令
<>强拓展:
1, NAT地址转换:一个私网转换为一个公网地址
2,特殊形式
帕特:多个私网转换为一个公网地址(端口多路复用)
作用:缓解了可用IP地址资源的枯竭,提高了IP地址的利用率。
