<存取清單ACL,Access Control List>
在路由器定義過濾封包的條件
步驟:
1.組態模式中定義ACL(statement)
2.在網路介面(interface)啟動ACL
ACL執行方向性
進入(inbound)與離開(outbound)
每個方向只能有一組ACL,若多設則被覆蓋
使用ACL語法:
(動作)+(條件)
ex:
permit host 192.168.10.1(封包來自192.168.10.1允許通過)
deny host 192.168.10.2(封包來自192.168.10.2不允許通過)
ACL種類
1.標準ACL:只檢查封包來源
2.延伸ACL:檢查封包來源.目的.協定.服務
ACL敘述的兩種設定方式
1.編號(Number):
標準ACL編號範圍199,13001999
延伸ACL編號範圍100-199,20002699
2.命名(Name)
無限制
ACL執行順序
執行第一項ACL,若符合條件(Match)則執行動作,之後的ACL敘述則不執行
若不符合則往下執行,若都沒符合條件,則執行deny any(預設執行不須加入),全部阻擋(Implicit Deny)
若都沒符合條件,最後想讓封包都通過,最後一項則加入permit any
<標準ACL>
指令:
新增一筆編號10的ACL敘述
R(config)#access-list 10 permit host 192.168.10.1
新增一筆編號10的ACL敘述
R(config)#access-list 10 deny host 192.168.10.2
在fa0/1啟動編號10 ACL檢查離開的封包
R(config)#int fa0/1
R(config)#ip access-group 10 out
查看ACL列表
#show access-list
match數:表示有符合ACL條件的封包數
重設match數
#clear access-list counters
查詢ACL敘述儲存
#show run
查詢介面啟動ACL
#show ip int fa0/1
<延伸ACL>
來源:檢查封包來源
目的:檢查封包目的
協定:檢查封包使用協定ex:IP.TCP.ICMP
服務:檢查封包使用服務ex:Telnet.WWW.ftp
語法:
檢查封包使用TCP協定來源IP為192.168.1.5來源port為3999(視窗編號.檢查無意義.通
常省略)的封包傳送到目的192.168.3.7的80 port(http服務)
access-list 101 permit tcp host 192.168.1.5 eq 3999 host 192.168.3.7 eq80
檢查port number運算子:
eq 等於給定port number
gt 大於給定port number
lt 小於給定port number
neg 不等於給定port number
range 在給定port number之間的範圍
規劃與執行延伸ACL
PCA:192.168.10.1可連接任何Web Server
PCB:192.168.10.2只能連接Web Server1
Web Server1:207.16.10.1
Web Server2:207.16.10.10
1.R(config)#access-list 100 permit host 192.168.10.1 any
2.R(config)#access-list 100 permit host 192.168.10.2 host 207.16.10.1
3.R(config)#access-list 100 deny host 192.168.10.2 host 207.16.10.10
4.R(config)#int fa0/1
R(config)#ip access-group 100 out
ACL建議設計原則
1.根據需求選擇標準ACL或延伸ACL
2.哪個網路介面和哪個方向啟動ACL
3.每個網路介面的每個方向只能啟動一組ACL
4.最後ACL敘述為隱含的deny any,路由器主動執行
5.ACL的條件嚴謹度,越前面幾項的ACL敘述條件要嚴謹,越後面的條件要越寬鬆
ACL放置的介面選擇
延伸ACL盡可能靠近拒絕流量的來源
標準ACL盡可能靠近目的地位址,因只能檢查封包來源
<使用命名方式設定延伸ACL>
deny ip any any為延伸ACL的全部阻擋,預設在路由器執行
設定命名延伸ACL指令,使用XXX名稱
R(config)#ip access-list extended XXX
需求:
1.PCA(192.168.10.1)只能使用http方式連接Server(207.16.10.1)
2.PCB(192.168.10.2)只能使用ftp連線Server(207.16.10.1)
3.其它流量都禁止
指令:
1.使用命名方式,名稱為R1-ACL
R(config)#ip access-list extended R1-ACL
2.允許PCA的http封包通過
R(config-ext-nacl)#permit tcp host 192.168.10.1 any eq www
3.允許PCB的ftp封包通過
R(config-ext-nacl)#permit tcp host 192.168.10.2 any eq ftp
4.R(config-ext-nacl)#deny ip any any建議使用者設定(show才看的見)
5.在介面fa0/0啟動ACL
R(config)#int fa0/0
R(config-if)#ip access-group R1-ACL in
CCNA筆記 (17)