没有合适的资源?快使用搜索试试~ 我知道了~
思科ACL配置全解,整个过程,包括各种应用
需积分: 18 9 下载量 18 浏览量
2011-04-01
09:09:28
上传
评论 1
收藏 97KB DOC 举报
温馨提示
试读
31页
cisco路由器acl配置详解,非常详细,适合稍微有点基础,但有不懂命令的同学,绝对值得这个资源分
资源推荐
资源详情
资源评论
ACL 配置全解
ACL(Access Control List,访问控制列表)
技术从来都是一把双刃剑,网络应用与互联网的普及在大
幅提高企业的生产经营效率的同时,也带来了诸如数据的
安全性,员工利用互联网做与工作不相干事等负面影响。
如何将一个网络有效的管理起来,尽可能的降低网络所带
来的负面影响就成了摆在网络管理员面前的一个重要课题
A 公司的某位可怜的网管目前就面临了一堆这样的问题。
A 公司建设了一个企业网,并通过一台路由器接入到互联网。
在网络核心使用一台基于 IOS 的多层交换机,所有的二层
交换机也为可管理的基于 IOS 的交换机,在公司内部使用
了 VLAN 技术,按照功能的不同分为了 6 个 VLAN。分别是
网 络 设 备 与 网 管 (VLAN1 , 10.1.1.0/24) 、 内 部 服 务 器
(VLAN2)、Internet 连接(VLAN3)、财务部(VLAN4)、市
场 部 (VLAN5) 、 研 发 部 门 ( VLAN6 ) , 出 口 路 由 器 上
Fa0/0 接公司内部网,通过 s0/0 连接到 Internet。每个网段
的三层设备(也就是客户机上的缺省网关)地址都从高位
向下分配,所有的其它节点地址均从低位向上分配。该网
络的拓朴如下图所示:
自从网络建成后麻烦就一直没断过,一会儿有人试图登录
网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,
员工成天就知道泡网;一会儿财务的人又说研发部门的员
工看了不该看的数据。这些抱怨都找这位可怜的网管,搞
得他头都大了。那有什么办法能够解决这些问题呢?答案
就是使用网络层的访问限制控制技术――访问控制列表
(下文简称 ACL)。
那么,什么是 ACL 呢?ACL 是种什么样的技术,它能做什
么,又存在一些什么样的局限性呢?
ACL 的基本原理、功能与局限性
网络中常说的 ACL 是 Cisco IOS 所提供的一种访问控
制技术,初期仅在路由器上支持,近些年来已经扩展到三
层交换机,部分最新的二层交换机如 2950 之类也开始提供
ACL 的支持。只不过支持的特性不是那么完善而已。在其
它厂商的路由器或多层交换机上也提供类似的技术,不过
名称和配置方式都可能有细微的差别。本文所有的配置实
例均基于 Cisco IOS 的 ACL 进行编写。
基本原理:ACL 使用包过滤技术,在路由器上读取第三层
及第四层包头中的信息如源地址、目的地址、源端口、目
的端口等,根据预先定义好的规则对包进行过滤,从而达
到访问控制的目的。
功能:网络中的节点资源节点和用户节点两大类,其中资
源节点提供服务或数据,用户节点访问资源节点所提供的
服务与数据。ACL 的主要功能就是一方面保护资源节点,
阻止非法用户对资源节点的访问,另一方面限制特定的用
户节点所能具备的访问权限。
配置 ACL 的基本原则:在实施 ACL 的过程中,应当遵循如
下两个基本原则:
u 最小特权原则:只给受控对象完成任务所必须的最小的权
限
u 最靠近受控对象原则:所有的网络层访问权限控制
局限性:由于 ACL 是使用包过滤技术来实现的,过滤的依
据又仅仅只是第三层和第四层包头中的部分信息,这种技
术具有一些固有的局限性,如无法识别到具体的人,无法
识别到应用内部的权限级别等。因此,要达到 end to end
的权限控制目的,需要和系统级及应用级的访问权限控制
结合使用。
ACL 配置技术详解
“说那么多废话做什么,赶快开始进行配置吧。”,A 公司的
网管说。呵呵,并不是我想说那么多废话,因为理解这些
基础的概念与简单的原理对后续的配置和排错都是相当有
用的。说说看,你的第一个需求是什么。
“ 做为 一 个 网 管 , 我 不 期 望 普 通 用 户 能 telnet 到 网 络 设
备”――ACL 基础
“ 补 充 一 点 , 要 求 能 够 从 我 现 在 的 机 器 ( 研 发 VLAN 的
10.1.6.66)上 telnet 到网络设备上去。”。hamm,是个不错
的主意,谁都不希望有人在自己的花园中撤野。让我们分
析一下,在 A 公司的网络中,除出口路由器外,其它所有
的网络设备段的是放在 Vlan1 中,那个我只需要在到 VLAN
1 的路由器接口上配置只允许源地址为 10.1.6.66 的包通过,
其它的包通通过滤掉。这中只管源 IP 地址的 ACL 就叫做
标准 IP ACL:
我们在 SWA 上进行如下的配置:
access-list 1 permit host 10.1.6.66
access-list 1 deny any
int vlan 1
ip access-group 1 out
这几条命令中的相应关键字的意义如下:
access-list:配置均 ACL 的关键字,所有的 ACL 均使用这
个命令进行配置。
access-list 后面的 1:ACL 号,ACL 号相同的所有 ACL 形
成一个组。在判断一个包时,使用同一组中的条目从上到
下逐一进行判断,一遇到满足的条目就终止对该包的判断
1-99 为标准的 IP ACL 号,标准 IP ACL 由于只读取 IP 包头
的源地址部分,消耗资源少。
permit/deny:操作。Permit 是允许通过,deny 是丢弃包。
host 10.1.6.66/any:匹配条件,等同于 10.1.6.66 0.0.0.0。
刚 才 说 过 , 标 准 的 ACL 只 限 制 源 地 址 。 Host
10.1.6.66(10.1.6.66 0.0.0.0) 的 意 思 是 只 匹 配 源 地 址 为
10.1.6.66 的包。0.0.0.0 是 wildcards,某位的 wildcards 为
0 表示 IP 地址的对应位必须符合,为 1 表示 IP 地址的对应
位不管是什么都行。简单点说,就是 255.255.255.255 减去
子网掩码后的值,0.0.0.0 的 wildcards 就是意味着 IP 地址
必须符合 10.1.6.66,可以简称为 host 10.1.6.66。any 表示
匹配所有地址。
注 意 : IOS 中 的 ACL 均 使 用 wildcards , 并 且 会 用
wildcards 对 IP 地 址 进 行 严 格 的 对 齐 , 如 你 输 入 一 条
access-list 1 permit 10.1.1.129 0.0.0.31 , 在 你 show
access-list 看时 , 会 变 成 access-list 1 permit 10.1.1.128
0.0.0.31,PIXOS 中的 ACL 均使用 subnet masks,并且不
会进行对齐操作。更为详细的关于 IP V4 地址的资料可以参
见 拙 著 《 IP V4 基 础 知
剩余30页未读,继续阅读
资源评论
tiemuzhen2000
- 粉丝: 0
- 资源: 5
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功