01-访问控制列表

01-访问控制列表

一、ACL介绍

访问控制列表ACL是一种基于包过滤的访问控 制技术 会降低速率 实现网络安全

传输---->分段

每小段---->包

所有小段---->流

二、功能：可以定义一系列不同的规则

1、

ACL需要设备接口进行入方向或出方向的调用。根据这些规则对数据进行分类，对不同类型的报文执行不同得物处理动作

源IP 目的IP 源端口 目的端口 协议

①、匹配流量======>五元组 先匹配出来才能控制

②、访问控制

2、通配符：

ospf中 network 192.168.1.0 0.0.0.255 area 0

0.0.0.255 通配符

0表示匹配

1表示不匹配 （255是8个1）

​

​

255.255.255.255表示 所有地址

192.168.0.1
0.0.3.255
子网划分：
1、先把反掩码变成正掩码   255.255.252.0
2、块大小 （只能是2的n次方）（特殊的掩码+1） 256-252=4
3、范围 0在以4为一个范围的哪个范围内  0-3中
所有匹配出来的地址就是
192.168.0.0（最小值）   192.168.3.255（最大值）

3、奇偶匹配：奇数末位为1 偶数末位为0

1 0001

2 0010

3 0011

4 0100

匹配最后一位

192.168.0.1
0.0.254.255

192.168.偶.x
看254对应的数字为奇偶

4、ACL语句 ACE 访问控制表项

ACE匹配顺序 自上而下，即编号从低到高

一旦匹配成功，则跳出ACL

默认存在一条默认拒绝所有 deny any any

序号10 20 方便中间插入

标准ACL只能拒绝源IP地址

扩展ACL 可以匹配源IP/目的IP，协议（TCP/IP）、协议信息（端口号、标志代码）登特定功能（五元组）

​

5、ACL命名

标准ACl 1–99，1300–1999

扩展ACL 100–199,2000–2699

自定义名称 写明标准还是扩展ACL

​

​

6、书写原则

1、ACL书写步骤

①、确定配置位置

拒绝xxx：

因为标准ACL只能匹配源地址，因此离目的近。 精准些

扩展ACL离源近

只允许xxx：

标准ACL：离目的近

扩展ACL：离目的近

‍

②、配置ACL

拒绝xxx：

deny xxx

permit any

只允许xxx：

peimit xxx

配置ACL注意事项：

1、配置顺序：  先小后大，先写小范围 后写大范围
2、一个ACl至少有一条允许的语句 permit

②、调用ACL：

确定接口方向 画线法

2、配置 命令：

192.168.10.0 0.0.0.0 == host 192.168.10.0

0.0.0.0 255.255.255.255 == any 匹配所有

​

​

​

​

方法一：
ip access-list standard 1
 10 deny host 192.168.1.1 
 15 deny host 192.168.2.1 
 20 permit any 

方法二：
access-list 2 permit hos 192.168.1.1
两种方法一样的效果

标准acl：

1：拒绝PC4访问PC6R3的g0/0口出方向

deny ip host 192.168.1.4

permit any

‍

R3(config)ip access-list standard 1

R3(config-std-nacl)deny host 192.168.1.4

R3(config-std-nacl)permit any

R3(config-std-nacl)int g0/0

R3(config-if-GigabitEthernet 0/0)#ip access-group 1 out

‍

2：只允许PC4 访问PC6

R3 g0/0 出permit host 192.168.1.4

R3(config)#access-list 2 permit host 192.168.1.4

ip access-list standard 2 permit host 192.168.1.4

‍

扩展ACL

1：拒绝R1访问R3的telnet流量

access-list 100 permit host 源ip host 目的ip

ip access-list extend deny telnet

10 deny tcp host 12.1.1.1 host 23.1.1.3 eq telnet

20 permit ip any any

int g0/0 ip access-group deny telnet in

‍

基于时间的acl：

R2(config)time-range work

R2(config-time-range)periodic weekdays 9:30 to 17:30

R2(config)#ip access-list extended denytelnet

10 deny tcp host 12.1.1.1 host 23.1.1.3 eq telnet time-range work

20 permit ip any any

‍

NTP时间同步协议R1clock set 14:16:00 6 22 2024

R1(config)ntp master //配置成为NTP服务器

R2(config)#ntp server 12.1.1.1 //客户端设置服务器地址