CCNA学习基础:DynamicACL的应用
在CCNA和NP,我们了解了ACL,这是思科为网络访问提供的一种安全手段,是运行在思科IOS上的一个程序。传统ACL分为三类:标准ACL/扩展ACL/命名ACL。以下是对它们的简要回顾:
Cisco路由器可以使用两种方法识别访问列表:
访问列表编号——访问列表的编号决定了它要过滤的协议:
——(1-99)和(1300-1399)——标准IP访问列表
——(100-199)和(2000-2699)——扩展IP访问列表
访问列表名称(IOS版本gt 11.2)
名称包含字母数字字符
名称不能包含空格或标点,必须以字母字符开头
名称访问列表可以包含数字和字母,但不能包含空和标点符号,第一个字符是字母。
Cisco路由器支持两种基本类型IP访问列表:
——标准——仅根据源地址过滤IP数据包。
标准访问列表过滤源IP地址。
——扩展——基于几个属性过滤IP数据包,包括:
——协议类型。
——源和目的IP地址
——源和目的TCP/UDP端口
——ICMP和IGMP报文类型。
扩展访问列表根据以下几个属性过滤数据包:
类型、源和目的的IP地址、源和目的的四层端口号、ICMP或IGMP的报文类型。
1.标准ACL格式:访问列表列表号拒绝或允许源IP地址源IP掩码
访问列表2许可证1.1.1.0 0.0.0.255
如果它是一个名为ACL的标准,它会被写成:
(配置)#ip访问列表标准名称
(配置标准氯化钠)#拒绝1.1.1.0 0.0.0.255
二。扩展ACL格式:访问列表列表号拒绝或允许协议{源IP源通配符掩码|any|host}源端口号{目标IP目标通配符掩码|any|host}目标端口号[established] [log| log-input]
访问列表101允许TCP 1 . 1 . 1 . 0 0 . 0 . 0 . 255 53 2 . 2 . 2 . 0 0 . 0 . 0 . 255 gt 1023
如果是扩展的命名ACL,其编写方式与标准相同,但在定义访问策略时略有不同。
标记访问列表,看到ACL就一目了然了。
备注消息
示例:router (config) # access-list100备注到http-server的流量
路由器(配置)#访问列表100允许ip任意1.1.1.1 0 . 0 . 0 . 255 eq 80
以上只是ACL的编写,都是在全局配置模式下进行的,但访问列表只是一个规则,需要“人”来执行。那么遗嘱执行人是谁呢?它是流量流动的接口。再严密的访问列表编辑,再强的逻辑性,再高的安全性,如果不应用到界面上,一切都是徒劳!
界面上的应用:
R(config)#int fa0/0
r(config-if)# IP access-group 100 in/out或ip access-group cisco in/out
以上是标准和命名的访问表在接口上的应用方式。方向很重要,进和出完全是两码事!
1.标准访问列表通常放在离目标最近的地方;
2.扩展访问列表通常放在离源最近的地方。
位律师回复
0条评论