01- 访问控制列表

一、ACL 介绍

访问控制列表 ACL 是一种基于包过滤的访问控 制技术 会降低速率 实现网络安全

传输---->分段

每小段---->包

所有小段---->流

二、功能：可以定义一系列不同的规则

1、

ACL 需要设备接口进行入方向或出方向的调用。根据这些规则对数据进行分类，对不同类型的报文执行不同得物处理动作

源 IP 目的 IP 源端口 目的端口 协议

①、匹配流量======>五元组 先匹配出来才能控制

②、访问控制

2、通配符：

ospf 中 network 192.168.1.0 0.0.0.255 area 0

0.0.0.255 通配符

0 表示匹配

1 表示不匹配 （255 是 8 个 1）

​​

255.255.255.255 表示 所有地址

192.168.0.1
0.0.3.255
子网划分：
1、先把反掩码变成正掩码   255.255.252.0
2、块大小 （只能是2的n次方）（特殊的掩码+1） 256-252=4
3、范围 0在以4为一个范围的哪个范围内  0-3中
所有匹配出来的地址就是
192.168.0.0（最小值）   192.168.3.255（最大值）
​

3、奇偶匹配：奇数末位为 1 偶数末位为 0

1 0001

2 0010

3 0011

4 0100

匹配最后一位

192.168.0.1
0.0.254.255

192.168.偶.x
看254对应的数字为奇偶
​

4、ACL 语句 ACE 访问控制表项

ACE 匹配顺序 自上而下，即编号从低到高

一旦匹配成功，则跳出 ACL

默认存在一条默认拒绝所有 deny any any

序号 10 20 方便中间插入

标准 ACL 只能拒绝源 IP 地址

扩展 ACL 可以匹配源 IP/目的 IP，协议（TCP/IP）、协议信息（端口号、标志代码）登特定功能（五元组）

​

5、ACL 命名

标准 ACl 1--99，1300--1999

扩展 ACL 100--199,2000--2699

自定义名称 写明标准还是扩展 ACL

​​

6、书写原则

1、ACL 书写步骤

①、确定配置位置

拒绝 xxx：

因为标准 ACL 只能匹配源地址，因此离目的近。 精准些

扩展 ACL 离源近

只允许 xxx：

标准 ACL：离目的近

扩展 ACL：离目的近

‍

②、配置 ACL

拒绝 xxx：

deny xxx

permit any

只允许 xxx：

peimit xxx

配置ACL注意事项：

1、配置顺序：  先小后大，先写小范围 后写大范围
2、一个ACl至少有一条允许的语句 permit
​

②、调用 ACL：

确定接口方向 画线法

2、配置 命令：

192.168.10.0 0.0.0.0 == host 192.168.10.0

0.0.0.0 255.255.255.255 == any 匹配所有

​​

​​

方法一：
ip access-list standard 1
 10 deny host 192.168.1.1 
 15 deny host 192.168.2.1 
 20 permit any 

方法二：
access-list 2 permit hos 192.168.1.1
两种方法一样的效果

​

标准 acl：

1：拒绝 PC4 访问 PC6R3 的 g0/0 口出方向

deny ip host 192.168.1.4

permit any

‍

R3(config)ip access-list standard 1

R3(config-std-nacl)deny host 192.168.1.4

R3(config-std-nacl)permit any

R3(config-std-nacl)int g0/0

R3(config-if-GigabitEthernet 0/0)#ip access-group 1 out

‍

2：只允许 PC4 访问 PC6

R3 g0/0 出 permit host 192.168.1.4

R3(config)#access-list 2 permit host 192.168.1.4

ip access-list standard 2 permit host 192.168.1.4

‍

扩展 ACL

1：拒绝 R1 访问 R3 的 telnet 流量

access-list 100 permit host 源 ip host 目的 ip

ip access-list extend deny telnet

10 deny tcp host 12.1.1.1 host 23.1.1.3 eq telnet

20 permit ip any any

int g0/0 ip access-group deny telnet in

‍

基于时间的 acl：

R2(config)time-range work

R2(config-time-range)periodic weekdays 9:30 to 17:30

R2(config)#ip access-list extended denytelnet

10 deny tcp host 12.1.1.1 host 23.1.1.3 eq telnet time-range work

20 permit ip any any

‍

NTP 时间同步协议 R1clock set 14:16:00 6 22 2024

R1(config)ntp master //配置成为 NTP 服务器

R2(config)#ntp server 12.1.1.1 //客户端设置服务器地址