訪問控制列表配置
❶ 怎樣配置路由器的ACL命名訪問控制列表
1.配置標准命名ACL:其中name就是要配置ACL名稱,一般使用英文字母及數字組成
步驟一:配置標准命名ACL
Router(config)# ip access-list standard name
步驟二:在命名的ACL配置模式下輸入相應的語句
Router(config-std-nacl)# deny | permit source-ip-addres wildcard-mask [log]
步驟三:將ACL列表應用到相應介面的相應方向
Router(config-if)# IP access-group acl-name {in|out}
2.配置擴展命名ACL:其中name就是要配置ACL名稱,一般使用英文字母及數字組成
步驟一:配置擴展命名ACL
Router(config)# ip access-list extended name
步驟二:在命名的ACL配置模式下輸入相應的語句
Router(config-ext-nacl)# deny | permit protocol | protocol-keyword source-ip wildcard-mask destination-ip wildcard-mask [operator operand][established]
步驟三:將ACL列表應用到相應介面的相應方向
Router(config-if)# IP access-group acl-name {in|out}
❷ 路由器IP訪問列表怎麼設置
IP Access-list:IP訪問列表或訪問控制列表,簡稱IP ACL
ACL就是對經過網路設備的數據包根據一定的規則進行數據包的過濾
訪問控制列表的作用
內網布署安全策略,保證內網安全許可權的資源訪問
內網訪問外網時,進行安全的數據過濾
防止常見病毒、木馬、攻擊對用戶的破壞
ACL一般配置步驟
1、定義規則(哪些數據允許通過,哪些數據不允許通過);
2、將規則應用在路由器(或三層交換機)的介面上。
兩種類型:
標准ACL(standard IP ACL)
擴展ACL (extended IP ACL)
IP標准訪問列表的配置
1、定義標准ACL
編號的標准訪問列表(路由器和三層交換機支持)Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩碼]
命名的標准訪問列表(路由器、三層交換機和二層交換機支持)
2、應用ACL到介面
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的標准訪問列表(路由器、三層交換機)
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩碼]
switch(config-if)#ip access-group name { in | out }
IP擴展訪問列表的配置
1.定義擴展的ACL:
編號的擴展ACL (路由器和三層交換機支持)
Router(config)#access-list <100-199> { permit /deny }
協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
命名的擴展ACL (路由器、三層交換機和二層交換機支持)
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
2.應用ACL到介面:
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基於時間的訪問控制列表
通過基於時間的定時訪問控制列表,定義在什麼時間允許或拒絕數據包。
只不過在配置ACL之前定義一個時間范圍。然後再通過引用這個時間范圍來對網路中的流量進行科學合理的限制。
對於不同的時間段實施不同的訪問控制規則
在原有ACL的基礎上應用時間段
任何類型的ACL都可以應用時間段
基於時間的列表的配置
校正路由器時鍾
在全局模式
Clock set hh:mm:ss date month year 設置路由器的當前時間
Clock up_calender 保存設置
配置時間段
時間段
絕對時間段(absolute)
周期時間段(periodic)
混合時間段:先絕對,後周期
Router(config)# time-range time-range-name 給時間段取名,配置ACL時通過名字引用
配置絕對時間
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date:表示時間段的起始時間。time表示時間,格式為「hh:mm」。date表示日期,格式為「日 月 年」
end time date:表示時間段的結束時間,格式與起始時間相同
示例:absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期時間
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 說明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平時(星期一至五)
Weekend 周末(星期六至日)
示例:periodic weekdays 09:00 to 18:00
3、關聯ACL與時間段,應用時間段
在ACL規則中使用time-range參數引用時間段
只有配置了time-range的規則才會在指定的時間段內生效,其它未引用時間段的規則將不受影響
access-list 101 permit ip any any time-range time-range-name
驗證訪問列表和time-range介面配置
Router# show access-lists !顯示所有訪問列表配置
Router#show time-range ! 顯示time-range介面配置
註:1、一個訪問列表多條過濾規則
按規則來進行匹配。
規則匹配原則:
從頭到尾,至頂向下的匹配方式
匹配成功,則馬上使用該規則的「允許/拒絕……」
一切未被允許的就是禁止的。定義訪問控制列表規則時,最終的預設規則是拒絕所有數據包通過,即deny any any
顯示全部的訪問列表
Router#show access-lists
顯示指定的訪問列表
Router#show access-lists <1-199>
顯示介面的訪問列表應用
Router#show ip interface 介面名稱 介面編號
一個埠在一個方向上只能應用一組ACL。
銳捷全系列交換機可針對物理介面和SVI介面應用ACL。
針對物理介面,只能配置入棧應用(In);
針對SVI(虛擬VLAN)介面,可以配置入棧(In)和出棧(Out)應用。
訪問列表的預設規則是:拒絕所有。
對於標准ACL,應盡量將ACL設置在離目標網路最近的介面,以盡可能擴大源網路的訪問范圍。
對於擴展ACL,應盡量將ACL設置在離源網路最近的介面,以盡可能減少網路中的無效數據流。
❸ 如何配置ACL訪問控制列表
這個需求是不能通過配置ACL實現的。ACL訪問控制列表是針對文件或者文件夾的訪問控制。你說的這個需求,需要在邊緣防火牆上實現。比如微軟的ISA,或者硬體防火牆。或者也可以有個替代性的方法,就是在銷售部的計算機上host文件裡面加 www.google.com的解析為一個不可用的IP。財務部的所有計算機的host文件裡面添加 www..com的不可用記錄。
❹ cisco 訪問控制列表 配置命令及注釋理解
配置訪問控制列表的步驟:
第一步:創建訪問控制列表:
access-list access-list-number {deny|permit} {test conditions}
//access-list-number:序列號,這個地方也可以寫命名的名稱;
//deny:拒絕;
//permit:允許;
//test conditions:過濾條件語句
第二步:應用訪問控制列表:
A、首先要進入介面模式;
B、ip access-group access-list-number {in|out}
7、標准訪問控制列表的格式:
access-list [list number| word] [permit|deny] [source address] [wildcard mask]
//[list number|word]列表序列號或者命名
//[permit|deny]允許或者拒絕
//[source address]源IP地址
//[wildcard mask]掩碼,如果不使用掩碼,則使用關鍵字Host ,例:host 192.168.2.4
8、擴展訪問控制列表的格式:
access-list [list number| word] [permit | deny] [protocol | protocol key word] [source address] [source-swidcard mask] [source port] [destination address] [destination-wildceard mask] [destination port]
//[list number| word]訪問控制列表的序列號或者命名
//[permit | deny]允許或者拒絕
//[protocol | protocol key word]協議或者協議號
//[source address] 源IP地址
//[source-swidcard mask]源地址掩碼,如果使用關鍵字host,則不用掩碼
//[source port]源埠
//[destination address]目的地IP地址
//[destination-wildceard mask]目的地地址掩碼,如果使用host關鍵字,則不用掩碼
//[destination port]目的埠
❺ 訪問控制列表的作用和組成是什麼
標准和擴展標準的ACL使用 1 ~ 99 以及1300~1999之間的數字作為表號 擴展的ACL使用 100 ~ 199以及2000~2699之間的數字作為表號作用:控制流量對網路統一管理流量允許、拒絕用 標准ACL對單以服務或協議控制允許、拒絕用 擴展ACL。
❻ 思科Cisco路由器的ACL控制列表設置
1、首先在電腦上點擊打開Cisco軟體。准備兩個PC,一個server和三個路由器,並連接。
❼ 華為acl配置基本和高級訪問
訪問控制列表ACL(Access Control List)是由一系列規則組成的集合,ACL通過這些規則對報文進行分類,從而使設備可以對不同類報文進行不同的處理。
高級ACL:
表示方式:ID,取值控制為:3000~3999
可以同時匹配數據包的源IP地址、目標IP地址、協議、源埠、目標埠;
匹配數據更加的精確
拓撲圖:
步驟:
1.基本配置:
如拓撲圖和配置圖所示,完成各個物理設備和介面的配置,並測試連通性:
2.搭建OSPF網路:
僅以R1為例,其他同理:
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
1
2
3
4
1
2
3
4
配置完成後,查看R1的ospf路由條目:
可以看到,R1已經學習到了所有路由信息。
3.配置Telnet:
[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
1
2
3
1
2
3
用1.1.1.1嘗試登陸R4的兩個環回介面:
均登陸成功過,可以得知,只要擁有Telnet的密碼均可以成功登陸到R4上。
4.配置高級ACL訪問控制:
我們的目標是R1的環回介面只能通過R4的4.4.4.4介面訪問Telnet,不能通過40.40.40.40訪問。基本ACL只能控制源地址因此不能完成此任務,高級ACL不僅能控制源地址,還能控制目的地址,可以完成此任務:
[R4]acl 3000
[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0
1
2
1
2
查看ACL配置信息:
接著,使用vty進行acl的調用:
[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 3000 inbound
1
2
1
2
配置完成後,再使用1.1.1.1訪問40.40.40.40:
可以看到,配置已生效,1.1.1.1不能通過40.40.40.40訪問Telnet。