访问控制列表配置
❶ 怎样配置路由器的ACL命名访问控制列表
1.配置标准命名ACL:其中name就是要配置ACL名称,一般使用英文字母及数字组成
步骤一:配置标准命名ACL
Router(config)# ip access-list standard name
步骤二:在命名的ACL配置模式下输入相应的语句
Router(config-std-nacl)# deny | permit source-ip-addres wildcard-mask [log]
步骤三:将ACL列表应用到相应接口的相应方向
Router(config-if)# IP access-group acl-name {in|out}
2.配置扩展命名ACL:其中name就是要配置ACL名称,一般使用英文字母及数字组成
步骤一:配置扩展命名ACL
Router(config)# ip access-list extended name
步骤二:在命名的ACL配置模式下输入相应的语句
Router(config-ext-nacl)# deny | permit protocol | protocol-keyword source-ip wildcard-mask destination-ip wildcard-mask [operator operand][established]
步骤三:将ACL列表应用到相应接口的相应方向
Router(config-if)# IP access-group acl-name {in|out}
❷ 路由器IP访问列表怎么设置
IP Access-list:IP访问列表或访问控制列表,简称IP ACL
ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤
访问控制列表的作用
内网布署安全策略,保证内网安全权限的资源访问
内网访问外网时,进行安全的数据过滤
防止常见病毒、木马、攻击对用户的破坏
ACL一般配置步骤
1、定义规则(哪些数据允许通过,哪些数据不允许通过);
2、将规则应用在路由器(或三层交换机)的接口上。
两种类型:
标准ACL(standard IP ACL)
扩展ACL (extended IP ACL)
IP标准访问列表的配置
1、定义标准ACL
编号的标准访问列表(路由器和三层交换机支持)Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]
命名的标准访问列表(路由器、三层交换机和二层交换机支持)
2、应用ACL到接口
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的标准访问列表(路由器、三层交换机)
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
switch(config-if)#ip access-group name { in | out }
IP扩展访问列表的配置
1.定义扩展的ACL:
编号的扩展ACL (路由器和三层交换机支持)
Router(config)#access-list <100-199> { permit /deny }
协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
命名的扩展ACL (路由器、三层交换机和二层交换机支持)
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
2.应用ACL到接口:
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基于时间的访问控制列表
通过基于时间的定时访问控制列表,定义在什么时间允许或拒绝数据包。
只不过在配置ACL之前定义一个时间范围。然后再通过引用这个时间范围来对网络中的流量进行科学合理的限制。
对于不同的时间段实施不同的访问控制规则
在原有ACL的基础上应用时间段
任何类型的ACL都可以应用时间段
基于时间的列表的配置
校正路由器时钟
在全局模式
Clock set hh:mm:ss date month year 设置路由器的当前时间
Clock up_calender 保存设置
配置时间段
时间段
绝对时间段(absolute)
周期时间段(periodic)
混合时间段:先绝对,后周期
Router(config)# time-range time-range-name 给时间段取名,配置ACL时通过名字引用
配置绝对时间
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date:表示时间段的起始时间。time表示时间,格式为“hh:mm”。date表示日期,格式为“日 月 年”
end time date:表示时间段的结束时间,格式与起始时间相同
示例:absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期时间
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 说明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平时(星期一至五)
Weekend 周末(星期六至日)
示例:periodic weekdays 09:00 to 18:00
3、关联ACL与时间段,应用时间段
在ACL规则中使用time-range参数引用时间段
只有配置了time-range的规则才会在指定的时间段内生效,其它未引用时间段的规则将不受影响
access-list 101 permit ip any any time-range time-range-name
验证访问列表和time-range接口配置
Router# show access-lists !显示所有访问列表配置
Router#show time-range ! 显示time-range接口配置
注:1、一个访问列表多条过滤规则
按规则来进行匹配。
规则匹配原则:
从头到尾,至顶向下的匹配方式
匹配成功,则马上使用该规则的“允许/拒绝……”
一切未被允许的就是禁止的。定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过,即deny any any
显示全部的访问列表
Router#show access-lists
显示指定的访问列表
Router#show access-lists <1-199>
显示接口的访问列表应用
Router#show ip interface 接口名称 接口编号
一个端口在一个方向上只能应用一组ACL。
锐捷全系列交换机可针对物理接口和SVI接口应用ACL。
针对物理接口,只能配置入栈应用(In);
针对SVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用。
访问列表的缺省规则是:拒绝所有。
对于标准ACL,应尽量将ACL设置在离目标网络最近的接口,以尽可能扩大源网络的访问范围。
对于扩展ACL,应尽量将ACL设置在离源网络最近的接口,以尽可能减少网络中的无效数据流。
❸ 如何配置ACL访问控制列表
这个需求是不能通过配置ACL实现的。ACL访问控制列表是针对文件或者文件夹的访问控制。你说的这个需求,需要在边缘防火墙上实现。比如微软的ISA,或者硬件防火墙。或者也可以有个替代性的方法,就是在销售部的计算机上host文件里面加 www.google.com的解析为一个不可用的IP。财务部的所有计算机的host文件里面添加 www..com的不可用记录。
❹ cisco 访问控制列表 配置命令及注释理解
配置访问控制列表的步骤:
第一步:创建访问控制列表:
access-list access-list-number {deny|permit} {test conditions}
//access-list-number:序列号,这个地方也可以写命名的名称;
//deny:拒绝;
//permit:允许;
//test conditions:过滤条件语句
第二步:应用访问控制列表:
A、首先要进入接口模式;
B、ip access-group access-list-number {in|out}
7、标准访问控制列表的格式:
access-list [list number| word] [permit|deny] [source address] [wildcard mask]
//[list number|word]列表序列号或者命名
//[permit|deny]允许或者拒绝
//[source address]源IP地址
//[wildcard mask]掩码,如果不使用掩码,则使用关键字Host ,例:host 192.168.2.4
8、扩展访问控制列表的格式:
access-list [list number| word] [permit | deny] [protocol | protocol key word] [source address] [source-swidcard mask] [source port] [destination address] [destination-wildceard mask] [destination port]
//[list number| word]访问控制列表的序列号或者命名
//[permit | deny]允许或者拒绝
//[protocol | protocol key word]协议或者协议号
//[source address] 源IP地址
//[source-swidcard mask]源地址掩码,如果使用关键字host,则不用掩码
//[source port]源端口
//[destination address]目的地IP地址
//[destination-wildceard mask]目的地地址掩码,如果使用host关键字,则不用掩码
//[destination port]目的端口
❺ 访问控制列表的作用和组成是什么
标准和扩展标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号 扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号作用:控制流量对网络统一管理流量允许、拒绝用 标准ACL对单以服务或协议控制允许、拒绝用 扩展ACL。
❻ 思科Cisco路由器的ACL控制列表设置
1、首先在电脑上点击打开Cisco软件。准备两个PC,一个server和三个路由器,并连接。
❼ 华为acl配置基本和高级访问
访问控制列表ACL(Access Control List)是由一系列规则组成的集合,ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。
高级ACL:
表示方式:ID,取值控制为:3000~3999
可以同时匹配数据包的源IP地址、目标IP地址、协议、源端口、目标端口;
匹配数据更加的精确
拓扑图:
步骤:
1.基本配置:
如拓扑图和配置图所示,完成各个物理设备和接口的配置,并测试连通性:
2.搭建OSPF网络:
仅以R1为例,其他同理:
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
1
2
3
4
1
2
3
4
配置完成后,查看R1的ospf路由条目:
可以看到,R1已经学习到了所有路由信息。
3.配置Telnet:
[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
1
2
3
1
2
3
用1.1.1.1尝试登陆R4的两个环回接口:
均登陆成功过,可以得知,只要拥有Telnet的密码均可以成功登陆到R4上。
4.配置高级ACL访问控制:
我们的目标是R1的环回接口只能通过R4的4.4.4.4接口访问Telnet,不能通过40.40.40.40访问。基本ACL只能控制源地址因此不能完成此任务,高级ACL不仅能控制源地址,还能控制目的地址,可以完成此任务:
[R4]acl 3000
[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0
1
2
1
2
查看ACL配置信息:
接着,使用vty进行acl的调用:
[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 3000 inbound
1
2
1
2
配置完成后,再使用1.1.1.1访问40.40.40.40:
可以看到,配置已生效,1.1.1.1不能通过40.40.40.40访问Telnet。