今天这一期的CCNA教程是一个挺关键的知识点,本来是两期分开的,但是我觉得内容完全是一码事,所以放在了一起。Access control list,中文译作访问控制列表,顾名思义就是可以控制特定的客户访问特定的源的这个功能。对于实际应用来说,可以限制某些主机访问某些服务。

或者说呢,ACL类似于一个过滤器,可以配置在路由器上,允许路由器丢弃或者通过特定的流量。可以通过特定的参数来筛选源头/目的地的IP地址,特定的IP端口等等

ACL必须在global configure模式下配置,配置后必须在端口上应用,不在端口上应用是不会生效的。

ACL可以配置多条,执行时会按照配置的顺序来执行,从上到下。如果一个包刚好匹配到其中一条,那么后面的不会继续执行,直接被忽略掉。如果所有的条目都不匹配,那么该包会被丢弃的。

ACL在端口应用时,可以选择输出或者输入两个方向。但是有数量限制,每个端口的输入最多只能有一个ACL(可以有多个条目),输出也一样。

ACL分为两大类,Standard ACL和 Extended ACL,其中每一类又根据配置方法不同分为 numbered 和 named 两类。

Standard ACL 只能根据source IP address进行过滤,因此越接近目的地越好,这样可以避免在早期就过滤后影响到其他服务。

Standard Numbered ACL 通过数字来标识自己,其范围必须是1-99和1300-1999这两个里。配置方法为进入config模式

access-list number {deny | permit} ip wildcard-mask

number就是按照之前说的必须在规定范围内,deny 和permit必须选一个 最后跟的是反掩码

如下面例子中,三种配置方法是一样的效果,但是我个人建议使用第一个更加标准,另外两个只能是特定某一台主机才行

access-list 1 deny 1.1.1.1 0.0.0.0

access-list 1 deny 1.1.1.1

access-list 1 deny host 1.1.1.1

如下面例子中,两种配置都是允许所有IP通过,后一个更加标准,一般情况下最后都要加上permit ,不然会把其他的包都丢弃

access-list 1 permit any

access-list 1 permit 0.0.0.0 255.255.255.255

除此之外,可以添加一个备注

access-list remark ##BLOCK BOB FROM ACCOUNTING##

想查看状态可以

show access-lists

show ip access-lists

show running-config | include access-list

show running-config | section access-list

到了最核心的应用在端口上,选择某个端口后 int g0/0

ip access-group number {in | out}

这里记住 是access-group 而不是access-list

Standard Named ACL 通过名字来标识自己。配置方法为进入config模式,之后有一点不一样,通过名字来配置ACL可以先申明名字,然后一条一条的加参数,而不是像numbered必须一开始就要写参数

ip access-list standard acl-name

之后会进入到该ACL的配置中

[entry number] {deny | permit} ip wildcard-mask

entry number 越小优先级越高,如果不配置就和numbered acl一样按照你输入的顺序逐条执行

举例来看

ip access-list standard BLOCK_BOB

5 deny 1.1.1.1

10 permit any

也可以加备注

remark ##configured nov 21 2020##

最后应用到端口 int g0/0

ip access-group BLOCK_BOB in

查看命令和numbered的一样

这里注意一下,在新的路由器甚至Cisco Packet Tracker中,numbered配置方法其实和named一样可以用后面的命令

这里稍微一下,尽量使用named,理由是在named 模式下可以查看,可以编辑,可以删除 acl,但是在numbered下只能一条一条输入命令,一旦有错误或者需要修改的必须重新来一遍,所以一旦遇到大型网络或者很复杂的ACL时,用named可以减少工作量和便于修改(前面加entry number可以实现插入)。而在numbered模式下,一旦你删除一条,那么整个都会被删除掉

两种模式下还有一个命令用来重新排序的

ip access-list resequence acl-id starting-seq-num increment

其中acl-id 就是你要修改的那个acl number,starting-seq-num是排序后从多少开始, increment是每次加多少

如下图所示,

Extended ACL和 Standard ACL功能是一样的,但是更加强大,除了source ip以外还可以过滤 destination ip address, port number 等

首先是Extended numbered ACL,可以使用的 ACL number不太一样,变成了 100-199, 2000-2699两个范围

命令如下

access-list number [permit | deny] protocol src-ip dest-ip

其次 Extended named ACL配置命令也类似,

ip access-list extended [name | number]

进入到named模式后,

[seq-num] [permit | deny] protocol src-ip dest-ip

这里protocol可以直接写协议名字也可以写端口号,哪个好记用哪个,如下图可以看到什么EIGRP,OSPF,IP等等都可以过滤

常用的就记住 Ping使用ICMP 端口号是1

TCP用6

UDP用17

EIGRP用88

OSPF用89

由于TCP和UDP包含了很多协议,因此可以添加选项参数,来特定某个协议

举例来说

deny tcp src-ip [eq | gt | lt | neq | range] src-port-num dest-ip [eq | gt | lt | neq | range] dst-port-num

其中 eq就是equal 等于 gt就是大于 great than lt就是小于 less than neq就是不等于 not equal range就是范围 如下图所示

这里还有很多协议,有一些超出了CCNA范畴,不过只要申明了特殊参数,就必须匹配,只要是有一条参数不匹配,那么就不符合该条ACL

这里注意,extended因为更加精确,因此不怕过滤掉其他协议,所以尽可能配置在接近源头的端口,减少带宽的浪费

还有一点是我在做测试的时候发现,禁止访问http等,其实应该禁止的是目的地的端口,因此特殊参数应该用destination的,而不是source的

YouTube player
YouTube player
YouTube player
YouTube player

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

Day 34 Anki Flashcard下载:https://drive.google.com/file/d/13iwZHX_DBMeLBCQksnbXJwxoOjgRpIwW/view?usp=sharing

Day 35 Anki Flashcard下载: https://drive.google.com/file/d/1jgYmhxnG9f4dBgqFR8gdAlkyQp2o1AfT/view?usp=sharing

Day 34 Cisco Packet Tracer 练习题下载:https://drive.google.com/file/d/1jp132aDW4uJth2tYVsKjR7YXtm1WxWFw/view?usp=sharing

Day 35 Cisco Packet Tracer 练习题下载: https://drive.google.com/file/d/1rhMucDNy1PB2Q_DNRKWk0BReP_w62EGB/view?usp=sharing

Day 34 Cisco Packet Tracer 练习题完成下载:https://drive.google.com/file/d/1JxWdEy5_A7I3lwKDWrItCBeBmsD3pHUT/view?usp=sharing

Day 35 Cisco Packet Tracer 练习题完成下载: https://drive.google.com/file/d/1Jc98WvN5MxfVl73XPYKYJUxnlbepulGv/view?usp=sharing


Chao

一个三天打鱼两天晒网的博主 拖延症严重患者 干啥啥不行,学啥啥不会

0 条评论

发表回复

Avatar placeholder