使用原则:
1、最小特权原则:给受控对象完成需求所必须的最小权限
2、最靠近受控对象原则:在最靠近受控对象的网络节点布置策略
3、默认丢弃原则:ACL最后又一条隐藏的拒绝所有(即:deny any any)
标准访问控制列表:(控制列表号1~99)
原理:通过使用IP包中的源IP地址进行过滤。
格式:access-list ACL号 permit/deny host ip地址
例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃
配置流程:
conf t #进入全局模式
access-list (1~99) deny/permit host srouceIP #书写ACL
int e 0 #进入端口
ip access-group (1~99) in/out #宣告ACL 并指定方向
exit #保存、退出
拓展访问控制列表:(控制列表号100~199)
原理:对数据包的目的地址进行过滤
格式:access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]
例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃
配置流程:
conf t
access-list (100~199) deny/permit protocol srcouceIP purposeIP
int e 0
ip access-group (100~199) in/out
exit
建议:由于拓展访问控制列表对路由器的占用率远高于标准访问控制列表,so尽量将拓展访问控制列表标准化
基于名称的访问控制列表:
原理:修改ACL条目,其它条目不受影响
格式:ip access-list [standard|extended] [ACL名称]
例如:ip access-list standard softer就建立了一个名为softer的标准访问控制列表
配置流程:
conf t
ip access-list standard/extended ACLname
permit 1.1.1.1 0.0.0.0
permit 2.2.2.2 0.0.0.0
permit 3.3.3.3 0.0.0.0
exit
int e 0
ip access-group ACLname in/out
exit
反向访问控制列表:
特点:反向访问控制列表属于ACL的一种高级应用,通过配置反向ACL可以保证AB两个网段的计算机互相PING,A可以PING通B而B不能PING通A
格式:反向访问控制列表格式非常简单,只要在配置好的扩展访问列表最后加上established即可