什么是标准访问列表(ACL)?详细指南

2021年3月21日16:39:01 发表评论 854 次浏览

先决条件–

访问列表(ACL)

访问列表(ACL)是为控制网络流量和减少网络攻击而定义的一组规则。 ACL用于根据为网络的传入或传出定义的一组规则过滤流量。

标准访问列表

这些是仅使用源IP地址制成的访问列表。这些ACL允许或拒绝整个协议套件。他们不会区分IP通信(例如TCP, UDP, Https等)。通过使用数字1-99或1300-1999, 路由器会将其理解为标准ACL, 并将指定地址作为源IP地址。

特征 -

  1. 标准访问列表通常应用于靠近目的地的位置(但并非总是如此)。
  2. 在标准访问列表中, 拒绝整个网络或子网。
  3. 标准访问列表使用范围1-99和扩展范围1300-1999。
  4. 标准访问列表仅使用源IP地址实现。
  5. 如果使用标准访问列表编号, 则记住规则不能删除。如果其中一项规则被删除, 则整个访问列表将被删除。
  6. 如果使用标准访问列表命名, 则可以灵活地从访问列表中删除规则。

注意 -与扩展访问列表相比, 标准访问列表使用较少, 因为整个IP协议套件将被允许或拒绝用于该流量, 因为它无法区分不同的IP协议流量。

配置–

标准访问列表1

这是一个小型拓扑, 其中有3个部门, 分别是销售, 财务和营销。具有网络172.16.40.0/24的销售部门, 具有网络172.16.50.0/24的财务部门和具有网络172.16.60.0/24的营销部门。现在, 要拒绝销售部门与财务部门之间的连接, 并允许其他人访问该网络。

现在, 首先配置编号的标准访问权限–列表, 用于拒绝从销售到财务部门的任何IP连接。

R1# config terminal
R1(config)# access-list 10 deny 172.16.40.0 0.0.0.255

在这里, 就像扩展访问列表一样, 你不能指定要允许或拒绝的特定IP通信。另外, 请注意, 已使用通配符掩码(0.0.0.255, 这表示子网掩码255.255.255.0)。从数字标准访问列表范围使用10。

R1(config)# access-list 110 permit ip any any

现在, 你已经知道每个访问列表的末尾都有一个隐式拒绝, 这意味着如果流量与访问列表的任何规则都不匹配, 则流量将被丢弃。

通过指定任何方式, 具有任何ip地址流量的源都将到达财务部门, 但该流量必须与你制定的上述规则相匹配。

现在, 你必须在路由器的接口上应用访问列表:

R1(config)# int fa0/1
R1(config-if)# ip access-group 10 out

如你所记得, 标准访问列表通常应用于目标, 并且在此处如果你将访问列表应用于目标附近, 它也会满足我们的需求, 因此, 已应用接口fa0 / 1的出站。

命名标准访问列表示例–

标准访问列表2

现在, 考虑相同的拓扑, 你将创建一个命名的标准访问列表。

R1(config)# ip access-list standard  blockacl

通过使用此命令, 你创建了一个名为blockacl的访问列表。

R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 
R1(config-std-nacl)# permit  any

然后在编号访问列表中进行相同的配置。

R1(config)# int fa0/1
R1(config-if)# ip access-group blockacl out

Telnet示例的标准访问列表–

如你所知, 你无法在标准访问列表中指定要拒绝的特定IP流量, 但是可以通过在vty行上应用访问列表来使用标准访问列表来允许或拒绝telnet连接。

标准访问列表3

在给定的图中, 你想从任何网络拒绝telnet到财务部门。配置相同:

R1(config)# access-list 10 deny any
R1(config)# line vty 0 4
R1(config-line)# access-class 10 out

木子山

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: