cisco路由器配置ACL詳解
本文從ACL的基本概念,使用原則,訪問的時間等方面詳細的講述了配置ACL的操作步驟。
如果有人說路由交換設備主要就是路由和交換的功能,僅僅在路由交換數據包時應用的話他一定是個門外漢。
如果僅僅為了交換數據包我們使用普通的HUB就能勝任,如果只是使用路由功能我們完全可以選擇一臺WINDOWS服務器來做遠程路由訪問配置。
實際上路由器和交換機還有一個用途,那就是網絡管理,學會通過硬件設備來方便有效的管理網絡是每個網絡管理員必須掌握的技能。今天我們就為大家簡單介紹訪問控制列表在CISCO路由交換設備上的配置方法與命令。
什么是ACL?
訪問控制列表簡稱為ACL,訪問控制列表使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址,目的地址,源端口,目的端口等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。該技術初期僅在路由器上支持,近些年來已經擴展到三層交換機,部分最新的二層交換機也開始提供ACL的支持了。
訪問控制列表使用原則
由于ACL涉及的配置命令很靈活,功能也很強大,所以我們不能只通過一個小小的例子就完全掌握全部ACL的配置。在介紹例子前為大家將ACL設置原則羅列出來,方便各位讀者更好的消化ACL知識。
標準訪問列表:
訪問控制列表ACL分很多種,不同場合應用不同種類的ACL。其中最簡單的就是標準訪問控制列表,標準訪問控制列表是通過使用IP包中的源IP地址進行過濾,使用的訪問控制列表號1到99來創建相應的ACL
√ 標準訪問控制列表的格式
√ 標準訪問控制列表實例一
√ 標準訪問控制列表實例二
擴展訪問控制列表:
上面我們提到的標準訪問控制列表是基于IP地址進行過濾的,是最簡單的ACL。那么如果我們希望將過濾細到端口怎么辦呢?或者希望對數據包的目的地址進行過濾。這時候就需要使用擴展訪問控制列表了。使用擴展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容許他使用某個特定服務(例如WWW,FTP等)。擴展訪問控制列表使用的ACL號為100到199。
√ 擴展訪問控制列表的格式
√ 擴展訪問控制列表實例
基于名稱的訪問控制列表
不管是標準訪問控制列表還是擴展訪問控制列表都有一個弊端,那就是當設置好ACL的規則后發現其中的某條有問題,希望進行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會影響到整個ACL列表。這一個缺點影響了我們的工作,為我們帶來了繁重的負擔。不過我們可以用基于名稱的訪問控制列表來解決這個問題。
√ 基于名稱的訪問控制列表
反向訪問控制列表:
我們使用訪問控制列表除了合理管理網絡訪問以外還有一個更重要的方面,那就是防范病毒,我們可以將平時常見病毒傳播使用的端口進行過濾,將使用這些端口的數據包丟棄。這樣就可以有效的防范病毒的攻擊。
不過即使再科學的訪問控制列表規則也可能會因為未知病毒的傳播而無效,畢竟未知病毒使用的端口是我們無法估計的,而且隨著防范病毒數量的增多會造成訪問控制列表規則過多,在一定程度上影響了網絡訪問的速度。這時我們可以使用反向控制列表來解決以上的問題。
√ 反向訪問控制列表的用途及格式
√ 反向訪問控制列表配置實例
基于時間的訪問控制列表:
上面我們介紹了標準ACL與擴展ACL,實際上我們數量掌握了這兩種訪問控制列表就可以應付大部分過濾網絡數據包的要求了。不過實際工作中總會有人提出這樣或那樣的苛刻要求,這時我們還需要掌握一些關于ACL的高級技巧。基于時間的訪問控制列表就屬于高級技巧之一。
√ 基于時間的訪問控制列表
√ 基于時間的訪問控制列表配置實例
訪問控制列表流量記錄
網絡管理員就是要能夠合理的管理公司的網絡,俗話說知己知彼方能百戰百勝,所以有效的記錄ACL流量信息可以第一時間的了解網絡流量和病毒的傳播方式。下面這篇文章就為大家簡單介紹下如何保存訪問控制列表的流量信息,方法就是在擴展ACL規則最后加上LOG命令。
√ 訪問控制列表流量的記錄
【編輯推薦】
