acl

登 录到路由器 telnet 192.168.1.1 输入用户名，密码 acl number 3000 （如果不存在，创建 访问 列表；存在则添加一条限制） 允许192.168.1.99 上网 ： rule 10 permit ip source 192.168.1.99 0 destination 0.0.0.0 0.0.0.0 说明：192.168.1.99 0 表示允许192.168.1.99这台主机，0表示本机。 rule 规则编号 ip source 主机 反子网掩码 destination 目的IP 反子网掩码 如果要允许多个连续IP上网： rule 11 permit ip source 192.168.1.16 0.0.0.15 destination 0.0.0.0 0.0.0.0 表示允许192.168.1.16/28 即:192.168.1.17-192.168.1.30可以上网 同样，可以限制某IP只能访问某一个网站： 例如，允许192.168.1.98这台主机只能访问www.baidu.com rule 13 permit ip source 192.168.1.98 0 destination 121.14.89.14 0 某个网站的IP:可以打开命令提示符,ping www.baidu.com (以百度为例), ***本人注释： 要打开cmd，用

基本权限 基本权限的类别 访问方式（权限） 用户在访问一个目录或文件时，由设置的访问权限+归属关系共同决定最终权限访问权限 Ø 读取(r):允许查看内容 r ead( 4 ) 能够通过ls、cat、less、head、tail浏览此目录内容 Ø 写入(w):允许修改内容 w rite( 2 ) 执行rm/mv/cp/mkdir/touch/ vim …等更改目录 内容 的操作 Ø 可执行(x):允许运行和切换e x ecute( 1 ) 能够 cd 切换到此目录 文本文件 ./ （相当于双击）可以运行 文档权限适用对象（归属） 所有者u：拥有此文件／目录的用户 u ser 所属组g：拥有此文件／目录的组 g roup 其他用户o：除所有者、所属组以外的用户 o ther 查看权限： 使用ls -l 命令 ls -ld 文件或目录 [root@server0 ~]# ls -ld /etc/resolv.conf /usr/src -rw-r--r--. 1 root root 94 8月 18 08:32 /etc/resolv.conf drwxr-xr-x. 4 root root 32 5月 7 2014 /usr/src -：文本文件 d：目录 l：快捷方式 文档的类别 权限位 硬连接数 属主 属组 大小 最后修改时间 文件／目录名称 ls -l输出结果中的第1个字符

访问控制列表（ACL）是应用在路由器接口的指令列表（即规则），这些规则表用来告诉路由器，哪些数据包可以接收，哪些包需要拒绝。其基本原理如下：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层和第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义的规则，对包进行过滤，从而达到访问控制的目的。 ACL可以分为以下两种基本类型： 标准ACL：检查数据包的源地址，来决定是允许还是拒绝转发数据包，使用1-99之间的数字作为表号。 扩展ACL：既能对数据包的源地址和目标地址进行检查，也能检查特定的协议、端口号及其它的参数。使用100-199之间的数字作为表号。 ACL是一组规则的集合，应用在路由器的某个接口上，因此对路由器的接口而言，ACL有两个方向： 出：已经经过路由器的处理，离开路由器接口的数据包，检查顺序：先查路由表，再查出ACL。 入：已经到达路由器接口的数据包，将要被路由器处理。检查顺序：先检查入ACL，再查询路由表。 匹配规则： 如果匹配第一条规则，则不再继续往下查，路由器将决定是允许或拒绝数据包通过。 如果不匹配第一条规则，则依次往下检查，直到匹配一条规则，如果没有任何规则匹配，路由器默认会丢弃数据包。 由以上规则可见，数据包要么被拒绝，要么被丢弃。如下图： 示例 1：标准访问控制列表 ROUTE(config)#access-list 1 deny

问题 络调通后，保证网络是通畅的。同时也很可能出现未经授权的非法访问。企业网络既要解决连连通的问题，还要解决网络安全的问题。 1)配置标准ACL实现拒绝PC2（IP地址为192.168.0.20）对Web Server P的浏览器访问 方案 访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。 访问控制列表（Access Control Lists,ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。 标准访问控制列表只能根据数据包的源IP地址决定是否允许通过。 网络拓扑如图所示： 步骤 实现此案例需要按照如下步骤进行。 步骤一：在R1上配置IP地址及静态路由 tarena-R1(config)#interface f0/0 tarena-R1(config-if)#ip address 192.168.0.1 255.255.255.0 tarena-R1(config-if)#no shutdown tarena-R1(config-if)#interface f0/1 tarena-R1(config-if)#ip address 192.168.1.1 255

问题 在网络中很有可能要允许或拒绝的并不是某一个源IP地址，而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。 1)配置扩展ACL实现拒绝PC2（IP地址为192.168.0.20）访问Web Server的web服务，但可访问其他服务。 方案 为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。 网络拓扑如图所示： 步骤 实现此案例需要按照如下步骤进行。 步骤一：将1配置标准ACL中的标准访问控制列表移除，其他配置保留 tarena-R2(config)#interface f0/1 tarena-R2(config-if)#no ip access-group 1 out tarena-R2(config)#no access-list 1 步骤二：在PC1和PC2上验证到Web Server的HTTP协议访问，如图3和图－4所示： 在没有配置扩展ACL的时候，两台主机均可以正常访问到Web Server。 步骤三：R1上配置扩展访问控制列表，仅拒绝PC2到Web Server的HTTP访问 扩展ACL可以对数据包中的源、目标IP地址以及端口号进行检查

访问控制列表acl主要用于，在一个企业局域网中，对部分部门或员工的访问情况做规则，对通信流量做过滤，而且不只是局域网，如果知道外网网段和端口，也可进行限制。 acl注意事项： 1）一个表中的规则条目不能有冲突的存在 2）acl表建立后默认拒绝所有主机的所有流量 3）因为acl表有优先级的存在所有必须想好拒绝和允许那个先写 4）acl只能用在三层交换或者路由器上 5）acl的应用包括两个步骤：创建acl 在端口应用acl（如有vlan在vlan口应用即可，如没有vlan在物理口应用即可） 6）配置命名acl时，如果acl条目没有指定优先级，则新添加的默认在acl表的最后一个 7）同一acl表可应用于多个端口，前提是不冲突 8）网络设备的网管地址，就是用于远程管理的地址 ACL配置过程： 网络拓扑环境如下，现在想禁止1.1访问2.1的web服务器，但是不影响其他通信。 1.配置2.1的web 2.配置2.2的web 3.路由器上首先建立一个ACL 4.建立相应的规则 5.最后一定要加上允许/禁止所有的条目 6.进入路由器的进口处，使用此ACL 7.测试pc和服务器的通信 8.测试pc分别访问两台web 本文转自 红色的菠萝 51CTO博客，原文链接:http://blog.51cto.com/10460741/1688856 来源： CSDN 作者： weixin_34248705

思科ACL 基本原则：1、按顺序执行，只要有一条满足，则不会继续查找 2、隐含拒绝，如果都不匹配，那么一定匹配最后的隐含拒绝条目，思科默认的 3、任何条件下只给用户能满足他们需求的最小权限 4、不要忘记把ACL应用到端口上 一、标准ACL 命令：access-list {1-99}{permit/deny} source-ip source-wildcard [log] 例：access-list 1 penmit192.168.2.0 0.0.0.255 允许192.168.2.0网段的访问 access-list1 deny 192.168.1.0 0.0.0.255 拒绝192.168.1.0网段的访问 说明：wildcard为反掩码，host表示特定主机等同于192.168.2.30.0.0.0；any表示所有的源或目标等同于0.0.0.0 255.255.255.255；log表示有匹配时生成日志信息；标准ACL一般用在离目的最近的地方 二、扩展ACL 命令：access-list {100-199}{permit/deny} protocol source-ipsource-wildcard [operator port]destination-ipdestination-wildcard [operatorport] [established][log] 例

ACL是应用在路由器接口的指令列表，通过这些指令，来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝，基本原理就是：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACL有三种类型： 标准ACL：根据数据包的源IP地址来允许或拒绝数据包，标准ACL的访问列表控制号是1~99。 扩展ACL：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包，扩展ACL的访问控制列表号是100~199。 命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。（个人感觉扩展命名ACL规则更为灵活，若没耐心，可直接看文章最后的扩展命名ACL规则的语法）。 创建标准ACL语法： Router(config)#access-list 1~99 { permit | deny } 源网段地址或网段（若源地址为主机，则在地址前面需要加“host”；若源地址为网段，则要在网段地址后面加反掩码，如/24的反掩码就是0.0.0.255。 例如：Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 #表示为允许192.168.1.0/24网段地址的流量通过 Router(config)#access

什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的原理 对路由器接口来说有两个方向 出：已经经路由器的处理，正离开路由器接口的数据包 入：已经到达路由器接口的数据包，将被路由器处理。 匹配顺序为：“自上而下，依次匹配”。默认为拒绝 访问控制列表的类型 标准访问控制列表：一般应用在out出站接口。建议配置在离目标端最近的路由上 扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向 命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号 访问控制列表使用原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包

访问控制列表（Access Control List ACL）的含义和作用就不讲了，自行百度 一 .ACL讲解 ACL分标准访问控制列表（Standard ACL）和拓展访问控制列表（Extended ACL），如下 ① 标准ACL(访问控制列表号1—99或1300—1999) 只过滤源地址，允许或禁止整个TCP/IP协议族 一般配置在靠近流量目的地的接口 配置方法如下： router（config）#access-list 1 permit 172.16.0.0 0.0.255.255 router（config）#access list 1 deny any //系统隐含条件（implicit deny any） router（config）#interface F0/0 router（config-if）#ip access-group 1 in router（config-if）#exit router（config）#interface F0/1 router（config-if）#ip access-group 1 out router（config-if）#no ip access-group 1 out //在端口上卸除ACL绑定 值得注意的是要改变ACL列表条件只能删除整个表： router（config）#no access-list 1 ②拓展ACL