第七部分 访问控制列表的配置.docx
- 文档编号:12849554
- 上传时间:2023-06-08
- 格式:DOCX
- 页数:23
- 大小:26.68KB
第七部分 访问控制列表的配置.docx
《第七部分 访问控制列表的配置.docx》由会员分享,可在线阅读,更多相关《第七部分 访问控制列表的配置.docx(23页珍藏版)》请在冰点文库上搜索。
第七部分访问控制列表的配置
第七部分访问控制列表的配置
标准访问控制列表的配置
访问控制列表(ACLs)是一种基于包过滤的防火墙技术,它可以对接口上的数据包进行过滤,允许其通过或丢弃。
标准访问控制列表只根据数据包的源IP地址进行过滤,根据设定的规则,允许或拒绝数据包通过。
标准访问控制列表用标号或名字进行标识,可使用的标号是1~99、1300~1999。
标准ACLs的语句规则
标准访问控制列表由一系列的规则组成,每条规则用一个permit或deny关键字定义。
1、permit规则:
permit规则定义的是允许通过,有三种格式。
permitany
这条规则指定了源IP为任意值的数据包通过。
permithostip-address
这条规则指定了允许源IP为指定地址的数据包通过。
如:
permit192.168.1.10
permitaddresswildcard
这条规则指定了允许源IP和指定的地址样式相匹配的数据包通过。
如:
permit192.168.2.00.0.0.255。
addresswildcard用于定义一种地址样式,wildcard称为通配符掩码,它是一个32位二进制数,它和address搭配指定了一种地址样式。
其中和wildcard中“0”对应位要求匹配,和“1”对应的位忽略。
如:
permit192.168.2.00.0.0.255表示地址前3个数必须为192、168、2,最后一个数忽略。
这样192.168.2.1~192.168.2.254的地址都是满足条件的地址,允许通过。
如:
192.168.2.80.0.0.3表示地址前3个数必须为192、168、2,最后一个数的前2位必须为二进制数10,后2位忽略。
这样只有192.168.2.8~192.168.2.11的地址能满足要求,允许通过。
(注:
8的二进制值为1000,11的二进制值为1011。
)
注意:
permit规则只是定义了某种数据包可以通过,对于不满足规则的数据包不会拒绝,它们能否通过取决于后续的规则。
如:
permit192.168.2.00.0.0.255表示允许源IP为192.168.2.*格式的数据包通过,不满足此规则的数据包将继续判定下一条规则。
2、deny规则:
deny规则定义的是拒绝通过,也有三种格式。
denyany
这条规则拒绝了所有数据包通过。
denyhostip-address
这条规则只拒绝源IP为指定地址的数据包通过。
如:
deny192.168.1.10
denyaddresswildcard
这条规则拒绝了源IP和指定的地址样式相匹配的数据包通过。
如:
deny192.168.2.00.0.0.255。
注意:
deny规则只是定义了拒绝某种数据包通过,对于不满足规则的数据包需要由后续规则处理。
3、隐含规则:
在每个标准ACLs中,最后一条规则隐含为denyany,这样,如果一个数据包的源IP地址没有和前面的permit规则相匹配,则这个数据包将被拒绝通过。
配置标号的标准ACLs
标准访问控制列表有两种配置方法:
标号的ACLs和命名的ACLs,以下是标号的标准ACLs配置。
标号的标准ACLs在全局配置模式中配置;
标号的标准ACLs由一系列access-list语句组成;
属于同一个标准ACLs的access-list语句使用相同的标号。
1、access-list语句:
Ruijie(config)#access-listlist-id规则
list-id是标准ACLs的标号,取值范围是1~99和1300~1999,同一个ACLs中的各语句标号必须相同。
规则就是前面所说的permit和deny规则。
说明:
早期的系统只支持1~99的标号,1300~1999是现在的系统新增的。
2、包过滤的配置:
定义的ACLs必须应用在指定的接口上,才能起到包过滤的作用。
Ruijie(config)#interfaceinterface-id
Ruijie(config-if)#ipaccess-grouplist-idin|out
interface命令指定了一个接口。
ipaccess-group命令指定在接口上应用的访问控制列表,list-id是访问列表的标号,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。
说明:
在每个接口、每个方向上只能应用一个访问列表。
在一个接口的入口和出口方向上可应用不同的访问列表。
使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用合适选择。
配置举例:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#access-list1permit192.168.2.00.0.0.255
Ruijie(config)#access-list1denyhost192.168.10.5
Ruijie(config)#access-list1permit192.168.10.00.0.0.255
Ruijie(config)#interfacef0/1
Ruijie(config-if)#ipaccess-group1in
本例定义了一个标准访问控制列表,它由4条规则组成:
①允许源IP为192.168.2.*的数据包通过;
②拒绝源IP为192.168.10.5的数据包通过;
③允许源IP为192.168.10.*的数据包通过,本句和②联在一起可解释为除了192.168.10.5,其它的形如192.168.10.*的数据包都能通过;
④拒绝所有数据包通过。
这句是由隐含的规则定义的。
整个配置可以解释为,在f0/1接口的输入流中执行包过滤,只有源IP为192.168.2.*和源IP为192.168.10.*(192.168.10.5除外)的数据包可以进入设备,其余的都拒绝进入。
注意:
在用ACLs过滤时,当数据包匹配了一条规则后,就按该规则进行处理,不再匹配下一条规则,所以,在上例中,如果把②和③的顺序调换,则192.168.10.5将是permit,不会再检查下一条规则。
配置命名的标准ACLs
标准访问控制列表有两种配置方法:
标号的ACLs和命名的ACLs,以下是命名的标准ACLs配置。
命名的标准ACLs用标号或名字区分各个访问列表;
命名的标准ACLs的规则在访问列表配置模式中配置。
1、进入访问列表配置模式:
Ruijie(config)#ipaccess-liststandardlist-id|list-name
Ruijie(config-std-nacl)#
本命令用于进入标准访问列表的配置模式。
list-id是标准ACLs的标号,取值范围是1~99和1300~1999。
list-name是标准ACLs的名字,用字母、数字命名。
list-id和list-name只能指定一个,如果指定的访问列表不存在,则创建它并进入访问列表配置模式。
2、配置访问列表的规则:
Ruijie(config-std-nacl)#permit规则
Ruijie(config-std-nacl)#deny规则
规则形式参照前面的描述。
3、包过滤的配置:
把定义的ACLs应用在指定的接口上。
Ruijie(config)#interfaceinterface-id
Ruijie(config-if)#ipaccess-grouplist-id|list-namein|out
interface命令指定了一个接口。
ipaccess-group命令指定在接口上应用的访问控制列表,list-id和list-name是访问列表的标号或名字,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。
配置举例:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#ipaccess-liststandardls1
Ruijie(config-std-nacl)#permit192.168.2.00.0.0.255
Ruijie(config-std-nacl)#denyhost192.168.10.5
Ruijie(config-std-nacl)#permit192.168.10.00.0.0.255
Ruijie(config-std-nacl)#exit
Ruijie(config)#interfacef0/1
Ruijie(config-if)#ipaccess-groupls1in
本例和前面的例子是一样的,只是采用了命名的方式定义的。
扩展访问控制列表的配置
访问控制列表(ACLs)是一种基于包过滤的防火墙技术,它可以对接口上的数据包进行过滤,允许其通过或丢弃。
扩展访问控制列表可根据数据包的源IP地址、目的IP地址、使用的协议、用途设置过滤,根据设定的规则,允许或拒绝数据包通过。
扩展访问控制列表用标号或名字进行标识,可使用的标号是100~199、2000~2699。
扩展ACLs的语句规则
扩展访问控制列表由一系列的规则组成,每条规则用一个permit或deny关键字定义,规则的格式为:
[permit|deny][协议][源地址][目的地址][表达式]
1、permit|deny:
必需。
permit定义的是允许通过的规则,deny定义的是拒绝通过的规则。
2、协议:
必需。
指定数据包使用的网络层或传输层协议,常用的有:
ip、icmp、tcp、udp。
3、源地址:
必需。
指定数据包源IP的样式。
有三种格式:
any表示任意地址
hostip-address表示单一地址
addresswildcard表示一组地址
它们的含义和标准访问控制列表的相同。
4、目的地址:
必需。
指定数据包目的IP的样式。
有三种格式:
any表示任意地址
hostip-address表示单一地址
addresswildcard表示一组地址
5、表达式:
可选。
指定数据包的用途。
常用格式:
eq端口名称
eq端口号
eq是等于运算符,可用的运算符还有:
lt(小于)、gt(大于)、neq(不等于)、range(范围)。
使用range时需要给出两个端口号,其余的只要给出一个端口号。
端口名称或端口号指定了数据包的用途。
举例:
permitipany192.168.1.00.0.0.255
允许源地址为任意,目的地址为192.168.1.*的IP数据报通过。
permittcp172.16.0.00.0.255.255host192.168.1.5eqftp
允许源地址为172.16.*.*,目的地址为192.168.1.5,协议为TCP,用途为ftp的数据报通过。
denyudphost172.16.8.10host192.168.1.5eqtftp
拒绝源地址为172.16.8.10,目的地址为192.168.1.5,协议为UDP,用途为tftp的数据报通过。
denytcpanyanyeq80
允许地址任意的,使用协议为TCP,端口号为80的数据报通过。
说明:
在每个扩展ACLs中,最后一条规则隐含为denyipanyany,它表示拒绝任何IP数据报通过。
配置标号的扩展ACLs
扩展访问控制列表有两种配置方法:
标号的ACLs和命名的ACLs,以下是标号的扩展ACLs配置。
标号的扩展ACLs在全局配置模式中配置;
标号的扩展ACLs由一系列access-list语句组成;
属于同一个扩展ACLs的access-list语句使用相同的标号。
1、access-list语句:
Ruijie(config)#access-listlist-id规则
list-id是扩展ACLs的标号,取值范围是100~199和2000~2699,同一个ACLs中的各语句标号必须相同。
规则就是前面所说的permit和deny规则。
说明:
早期的系统只支持100~199的标号,2000~2699是现在的系统新增的。
注意:
标准ACLs和扩展ACLs是用标号区分的,标号为1~99、1300~1999的是标准ACLs,只能使用标准ACLs的规则,标号为100~199、2000~1699的是扩展ACLs,只能使用扩展ACLs的规则。
2、包过滤的配置:
定义的ACLs必须应用在指定的接口上,才能起到包过滤的作用。
Ruijie(config)#interfaceinterface-id
Ruijie(config-if)#ipaccess-grouplist-idin|out
interface命令指定了一个接口。
ipaccess-group命令指定在接口上应用的访问控制列表,list-id是访问列表的标号,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。
说明:
在每个接口、每个方向上只能应用一个访问列表。
在一个接口的入口和出口方向上可应用不同的访问列表。
使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用合适选择。
配置举例:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#access-list100permittcphost192.168.10.5anyeqwww
Ruijie(config)#access-list100denyiphost192.168.10.5any
Ruijie(config)#access-list100permitip192.168.10.00.0.0.255any
Ruijie(config)#interfacef0/1
Ruijie(config-if)#ipaccess-group100in
本例定义了一个扩展访问控制列表,它由4条规则组成:
①允许源IP为192.168.10.5,目的地址任意,用途为www的TCP数据包通过;
②拒绝源IP为192.168.10.5,目的地址任意的数据包通过;
③允许源IP为192.168.10.*的数据包通过;
④拒绝所有数据包通过。
这句是由隐含的规则定义的。
整个配置可以解释为,在f0/1接口的输入流中执行包过滤,当源IP为192.168.10.5时,只有执行Web任务的数据包可以通过,当源IP为192.168.10.*(192.168.10.5除外)时,它的数据包可以通过,其余的都拒绝通过。
配置命名的扩展ACLs
扩展访问控制列表有两种配置方法:
标号的ACLs和命名的ACLs,以下是命名的扩展ACLs配置。
命名的扩展ACLs用标号或名字区分各个访问列表;
命名的扩展ACLs的规则在访问列表配置模式中配置。
1、进入访问列表配置模式:
Ruijie(config)#ipaccess-listextendedlist-id|list-name
Ruijie(config-ext-nacl)#
本命令用于进入扩展访问列表的配置模式。
list-id是扩展ACLs的标号,取值范围是100~199和2000~2699。
list-name是扩展ACLs的名字,用字母、数字命名。
list-id和list-name只能指定一个,如果指定的访问列表不存在,则创建它并进入访问列表配置模式。
2、配置访问列表的规则:
Ruijie(config-ext-nacl)#permit规则
Ruijie(config-ext-nacl)#deny规则
规则形式参照前面的描述。
3、包过滤的配置:
把定义的ACLs应用在指定的接口上。
Ruijie(config)#interfaceinterface-id
Ruijie(config-if)#ipaccess-grouplist-id|list-namein|out
interface命令指定了一个接口。
ipaccess-group命令指定在接口上应用的访问控制列表,list-id和list-name是访问列表的标号或名字,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。
配置举例:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#ipaccess-listextendedels1
Ruijie(config-ext-nacl)#permittcphost192.168.10.5anyeqwww
Ruijie(config-ext-nacl)#denyiphost192.168.10.5any
Ruijie(config-ext-nacl)#permitip192.168.10.00.0.0.255any
Ruijie(config-ext-nacl)#exit
Ruijie(config)#interfacef0/1
Ruijie(config-if)#ipaccess-groupels1in
本例和前面的例子是一样的,只是采用了命名的方式定义的。
MAC扩展访问列表的配置
访问控制列表(ACLs)是一种基于包过滤的防火墙技术,它可以对接口上的数据包进行过滤,允许其通过或丢弃。
MAC扩展访问控制列表可根据数据包的源MAC地址、目的MAC地址、以太网协议类型设置过滤,根据设定的规则,允许或拒绝数据包通过。
MAC扩展访问控制列表用标号或名字进行标识,可使用的标号是700~799。
MAC扩展ACLs的语句规则
MAC扩展访问控制列表由一系列的规则组成,每条规则用一个permit或deny关键字定义,规则的格式为:
[permit|deny][源MAC地址][目的MAC地址][以太网协议类型]
1、permit|deny:
必需。
permit定义的是允许通过的规则,deny定义的是拒绝通过的规则。
2、源MAC地址:
必需。
指定数据包源MAC地址。
有两种格式:
any表示任意地址
hostmac-address表示单一地址
mac-address采用三组十六进制数书写,如:
0013.8a49.df07。
3、目的MAC地址:
必需。
指定数据包目的MAC地址。
有两种格式:
any表示任意地址
hostmac-address表示单一地址
4、以太网协议类型:
可选。
指定数据包的帧类型。
在以太网的帧头中有两个字节长度的帧类型字段,可用来表明帧中封装的协议类型,如:
类型字段为0x0800,表明帧中封装的是IP数据报,类型字段为0x0806,表明帧中封装的是ARP报文。
举例:
permithost0013.2049.8272any
允许源MAC地址为0013.2049.8272,目的地址为任意的帧通过。
denyanyhost0025.2a08.03d1
拒绝源MAC地址任意,目的MAC地址为0025.2a08.03d1的帧通过。
denyhost0013.2049.8272any0x0800
拒绝源MAC地址为0013.2049.8272,目的地址为任意,封装了IP数据报的帧通过。
说明:
在每个MAC扩展ACLs中,最后一条规则隐含为denyanyany,它表示拒绝任何帧通过。
配置标号的MAC扩展ACLs
扩展访问控制列表有两种配置方法:
标号的ACLs和命名的ACLs,以下是标号的MAC扩展ACLs配置。
标号的扩展ACLs在全局配置模式中配置;
标号的扩展ACLs由一系列access-list语句组成;
属于同一个扩展ACLs的access-list语句使用相同的标号。
1、access-list语句:
Ruijie(config)#access-listlist-id规则
list-id是MAC扩展ACLs的标号,取值范围是700~799,同一个ACLs中的各语句标号必须相同。
规则就是前面所说的permit和deny规则。
2、包过滤的配置:
定义的ACLs必须应用在指定的接口上,才能起到包过滤的作用。
Ruijie(config)#interfaceinterface-id
Ruijie(config-if)#macaccess-grouplist-idin|out
interface命令指定了一个接口。
macaccess-group命令指定在接口上应用的MAC访问控制列表,list-id是访问列表的标号,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。
说明:
在每个接口、每个方向上只能应用一个访问列表。
在一个接口的入口和出口方向上可应用不同的访问列表。
使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用合适选择。
配置举例:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#access-list701denyhost0013.2049.8272any
Ruijie(config)#access-list701permitanyany
Ruijie(config)#interfacef0/1
Ruijie(config-if)#macaccess-group701in
本例定义了一个MAC扩展访问控制列表,它由3条规则组成:
①拒绝源MAC地址为0013.2049.8272,目的地址任意的帧通过;
②允许所有帧通过;
③拒绝所有帧通过。
这句是由隐含的规则定义的。
整个配置可以解释为,在f0/1接口的输入流中执行包过滤,拒绝来自0013.2049.8272的帧通过,其余的都不受限制。
配置命名的MAC扩展ACLs
扩展访问控制列表有两种配置方法:
标号的ACLs和命名的ACLs,以下是命名的MAC扩展ACLs配置。
命名的扩展ACLs用标号或名字区分各个访问列表;
命名的扩展ACLs的规则在访问列表配置模式中配置。
1、进入访问列表配置模式:
Ruijie(config)#macaccess-listextendedlist-id|list-name
Ruijie(config-mac-nacl)#
本命令用于进入MAC扩展访问列表的配置模式。
list-id是MAC扩展ACLs的标号,取值范围是700~799。
list-name是MAC扩展ACLs的名字,用字母、数字命名。
list-id和list-name只能指定一个,如果指定的访问列表不存在,则创建它并进入访问列表配置模式。
2、配置访问列表的规则:
Ruijie(config-mac-nacl)#permit规则
Ruijie(confi
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第七部分 访问控制列表的配置 第七 部分 访问 控制 列表 配置