1 / 13

ACL 访问控制技术

ACL 访问控制技术. 3. 3. ACL 概 述. 1. 3. ACL 的分类. 2. ACL 配置. ACL 的访问顺序. 4. 目录. ACL 概 述. 一、什么是 ACL ACL 全称访问控制列表: Access Control List ,网络中常说的 ACL 是 IOS/NOS 等网络操作系统所提供的一种访问控制技术,初期仅在路由器上支持,现在已经扩展到三层交换机,部分最新的二层交换机也开始提供 ACL 支持。 二、 ACL 的原理、功能与局限性

Download Presentation

ACL 访问控制技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. ACL访问控制技术

  2. 3 3 ACL 概 述 1 3 ACL的分类 2 ACL配置 ACL的访问顺序 4 目录

  3. ACL 概 述 一、什么是ACL • ACL全称访问控制列表:Access Control List,网络中常说的ACL是IOS/NOS等网络操作系统所提供的一种访问控制技术,初期仅在路由器上支持,现在已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL支持。 二、 ACL的原理、功能与局限性 • 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 • 功能: ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点对资源节点的访问权限。 • 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。

  4. ACL 概 述 三、ACL的工作过程

  5. ACL的分类 1.标准ACL 2.扩展ACL 3.命名ACL 4.基于时间的访问控制列表

  6. ACL的配置 1.标准ACL的配置 第一步,定义访问控制列表,其命令格式如下: Router(config)# access-list access-list-number { permit | deny } source [source-wildcard] [log] 例如: Router(config)# access-list 1 permit 10.0.0.0 0.255.255.255 第二步,把标准 ACL应用到一个具体接口 Router(config)# int interface Router(config-if)# { protocol } access-group access-list-number {in | out} 例如: Router(config)# int s1/1 Router(config-if)# ip access-group 1 out

  7. ACL的配置 2.扩展ACL的配置 第一步,定义访问控制列表,其命令格式如下: Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand]destination destination-wildcard [ operator operand] [ established ] [log] 例如:Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 第二步,把扩展 ACL应用到一个具体接口: Router(config)# int interface Router(config-if)# { protocol } access-group access-list-number {in | out} 例如: Router(config)# int s1/1 Router(config-if)# ip access-group 1 out

  8. ACL的配置 3.命名ACL配置 第一步,创建一个ACL命名,要求名字字符串要唯一 Router(config)# ip access-list { standard | extended } name 第二步,定义访问控制列表,其命令格式如下 标准的ACL: Router(config-sta-nacl)# { permit | deny } source [source-wildcard] [log] 或扩展的ACL Router(config-ext-nacl)# { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log] 第三步,把 ACL应用到一个具体接口上: Router(config)# int interface Router(config-if)# { protocol } access-group name {in | out}

  9. ACL的配置 4.基于时间的访问控制列表 第一步是定义一个时间范围; 格式为:time-range time-range-name(时间范围的名称) 可以定义绝对时间范围和周期、重复使用的时间范围。 第二步是在访问列表中用t i m e -range引用时间范围 基于时间的标准ACL: Router(config)# access-list access-list-number { permit | deny } source [source-wildcard] [log] [time-range time-range-name] 基于时间的扩展ACL: Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand]destination destination-wildcard [ operator operand] [ established ] [log] [time-range time-range-name] 第三步,把ACL应用到一个具体接口: Router(config)# int interface Router(config-if)# { protocol } access-group access-list-number {in | out}

  10. ACL的配置 基于时间的访问控制列表配置实例: router# configure terminal router(config)# time-range allow-www router(config-time-range)# asbolute start 7:00 1 June 2010 end 17:00 31 December 2010 router(config-time-range)# periodic weekend 7:00 to 17:00 router(config-time-range)# exit router(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq www time-range allow-www router(config)# interface serial 1/1 router(config-if)# ip access-group 101 out

  11. ACL的访问顺序 ACL访问控制列表,由一系列访问控制语句组成,按照各访问控制语句在ACL中的顺序,根据其判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。 如果所有的条件语句都没有被匹配,则最后将强加一条拒绝全部流量的隐含语句。在缺省情况下,虽然看不到最后一行,但最后总是拒绝全部流量的。 当一个ACL被创建后,新的语句行总是被加到ACL的最后,因此,无法删除某一条ACL语句,只能删除整个ACL列表。

  12. ACL的访问顺序 ACL的执行顺序如图

  13. Thank You !

More Related