欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  数据库

chapter10:security/访问控制列表

程序员文章站 2022-05-10 13:35:43
...

一、ACL在应用时遵循的规则: 1.按顺序比较 列表 的每一行 2.按顺序比较ACL的各行,直到找到匹配的一行,一旦数据包匹配上ACL的某一 行,将遵照规定行事,不在进行后续比较(意味著 列表 应按使用频率来排列) 3. 在每个ACL的最后一行隐含了“deny”语句。 4.

一、ACL在应用时遵循的规则:

1.按顺序比较列表的每一行

2.按顺序比较ACL的各行,直到找到匹配的一行,一旦数据包匹配上ACL的某一  
   行,将遵照规定行事,不在进行后续比较(意味著列表应按使用频率来排列)

3. 在每个ACL的最后一行隐含了“deny”语句。

4.把ACL应用到端口的命令:

A.R1#ip access-group 10 in

B.R1#access-list 10 in(在vty模式下的acl应用默认就只针对telnet)

二、ACL的两大类型:

1.standard ACL:只使用源IP地址作为条件(放在离目的的最近的接口out)

R1#access-list 10 deny 192.168.0.128 0.0.0.127

注:每个块的大小必须从0或一个快大小的倍数开始

2.extend ACL:条件可以是3层的协议、4层的端口号以及源、目标IP地址(放在
离源地址最近的接口in)

3.domain ACL:以上两种的不同表示,但功能是一样的

注:每接口、每协议、每方向只能分配一个ACL

只有domain ACL可以从列表中删除一行或者在列表中插入一行

三、ACL的各种应用:

1、交换机端口ACL:只支持第2层物理层接口,并且只能把它们应用在接口的
入口列表上,只能使用命名访问控制列表

2、ACL可用于虚拟局域网的流量控制,这需要ACL应用到中继端口

3、对于基于IP和MAC的ACL,单独的接口上,只能应用其中的一个,后者会覆
盖前者

eg:S1#mac access-list extended Blocksales

S1#deny any host 000d.29bd.4b85

S1#permit any any

S1#interface fa 0/1

S1#mac access-group Blocksales in

4、锁和钥匙(动态ACL)?

5、自反ACL?

6、基于时间的ACL:

eg:R1#time-range worktime

R1#periodic weekend 09:00 to 18:00

R1#exit

R1#time-range freetime

R1#periodic weekend 18:00 to 22:00

R1#exit

R1#ip access-list extended time

R1#deny tcp any any eq www time-range worktime

R1#permit tcp any any time-range freetime

R1#interface fa0/0

R1#ip access-group time in

R1#exit

注释:R1#ip access-list extended time

R1#remark leash the action of internet on worktime

R1#deny tcp any any eq www time-range worktime

午夜游