cisco 的ACL
搞网络好几年了,怎么说呢,水平一直停留在NA-NP之间,系统的学完NA后,做了不少实验,后来也维护了企业的网络,各种网络设备都玩过(在商汤用的Juniper srx 550 我认为在企业环境,非IDC里算是比较高端的了,那个时候学Juniper怎么配,怎么搞vpn..怎么做流量过滤....cisco的三层3750,二层2960,华为的路由,H3C的,还有锐捷的都整了),也去过没落的500强做过KDDI做过项目。怎么说了,网络,在台湾叫网路,很形象。所以学完NA之后,觉得一个搞计算机的不应该把精力放在这上面。后来找工作发现,其实从事网络方面的工作大部分的最后是资深的CCNP , 比较高端的最好是资深的CCIE,再好一点是多个方向的CCIE,比如安全。
好了,虽然网工在计算机行业里工资是比较低的,但怎么说呢,既然搞了,就要把他搞精吧,随着SDN的最近几年的应用,虽然不温不火,不知道以后网络技术这块会怎么发展。
今天先来总结下cisco的ACL吧。
Access Control List :访问控制列表
1-99 IP standard access list //ip 标准访问控制列表 EX 1300-1999
100-199 IP extend access list //IP扩展访问控制列表 EX 2000-2699
200-299 Protocol type-code access list 协议类型访问控制列表。
自定义ACL,也叫命名ACL,用字母,数字,字符串标识标准和扩展acl
标准,扩展,自定义
标准
-检查源地址
-通常允许、拒绝的是完整的协议
*扩展
-检查源地址和目的地址
-通常允许、拒绝的是某个特定的协议
*进方向和出方向
-出方向 先查路由表,如果有去往目的网段的路由,就转到出接口,如果出接口调用了访问控制列表ACL,那么就看是否和ACL的访问控制列表匹配,是允许permit还是拒绝deny,如果是允许,就根据路由表转发数据,如果是拒绝就直接将数据包丢弃了。
-入方向 当入接口收到数据包的时候,先跟入接口的ACL访问控制列表进行匹配,如果允许则查看路由表从而进行转发,如果拒绝则直接丢弃。
而在这个deny的机制中,有一条隐藏的deny所有报文的语句。
也就是说,当接收到的数据包和前面所有的访问控制列表ACL都不匹配的时候,则就会触发这条隐藏的命令
标准访问控制列表可以用来匹配:
1用来匹配源地址和目标地址
2用来匹配远程登录
标准访问控制列表建议配在接近于目标的位置,因为如果配置在接近于源的目标的位置,那么发出来的报文就会立刻被deny掉了,而且数据包不仅发送不到目标位置,甚至连接近于源的目标位置以外的其他的路由器也发送不到了,都不可以访问了。所以标准访问控制列表一定要放在接近于目标的位置。
配置概要: 允许|拒绝 原地址 反掩码
access-list 1 deny 192.168.5.0 0.0.0.255
access-list 1 permit 0.0.0.0 255.255.255.255 (也可以用any)
挂载到接口上
interface f0/1
ipaccess-group 1 in
查看acl
show access-lists
删除访问控制列表
no access-list 1
最新文章
- CSS布局技巧 -- 内凹圆角
- Mysql 注意细节
- 论文阅读之:PRIORITIZED EXPERIENCE REPLAY
- UVA 10000 Longest Paths (SPFA算法,模板题)
- LVS配置与安装
- Dom4j 学习笔记
- Navicat远程连接MySQL数据库
- cocos2d安卓android长音效播放不完全
- ZOJ Monthly, March 2013
- VS2010/MFC:模态对话框及其弹出过程
- hdu 4782 Beautiful Soupz
- 使用ThinkPHP框架高速发展网站(多图)
- HTTPS背后的加密算法(转)
- Spark技术在京东智能供应链预测的应用
- Struts2的知识点小总结
- 2017-12-19python全栈9期第四天第一节之昨日内容回顾与作业讲解之插入insert和extend
- Java 中常见的数据结构
- ACM-ICPC 2018 焦作赛区网络预赛 B Mathematical Curse(DP)
- spingBoot整合mybatis+generator+pageHelper
- spring-boot-2.0.3启动源码篇 - 阶段总结