路由器設(shè)置訪問控制列表-創(chuàng)新互聯(lián)

傳輸層的協(xié)議主要有TCP和UDP，下面我們簡單來介紹一下TCP和UDP：
TCP

端口號：用來區(qū)分應(yīng)用程序
源端口號：代表發(fā)送方使用的進程（隨機）
目標(biāo)端口：代表接收方使用的進程（固定）
序號：便于接收方重組（32bits）范圍0--2的32次方減1
確認(rèn)號：用于確認(rèn)發(fā)送端的信息，序號＋1
1.告訴發(fā)送方確認(rèn)號之前的信息收到了；
2.下一次發(fā)送數(shù)據(jù)的編號；
窗口大?。捍肀痉娇梢越邮艿臄?shù)據(jù)量（流量控制）；
校驗和：檢查整個TCP段是否正確；
TCP的連接過程是通過三次握手來完成的

SYN：建立連接的標(biāo)志位；
FIN：斷開連接的標(biāo)志位；
RST：重新建立連接（重傳）；
ACK：確認(rèn)有效標(biāo)志方向；
就好比A和B打電話
A：喂？
B：喂？
A：說事情。
道理一樣！
TCP斷開連接則需要四步才能完成

這里涉及到一個半關(guān)閉的概念：TCP一方（通常是客戶端）可以終止發(fā)送數(shù)據(jù)，但仍然可以接受數(shù)據(jù)，稱為半關(guān)閉。
常用的端口和協(xié)議：

TCP在網(wǎng)絡(luò)中的應(yīng)用非常廣泛，主要用在對數(shù)據(jù)傳輸可靠性要求高的環(huán)境中，比如：網(wǎng)頁瀏覽，它使用的HTTP就是一欄TCP提高可靠性的。在使用TCP時，通信方對數(shù)據(jù)的可靠性要求高，因此降低一些數(shù)據(jù)傳輸率也是可以接受的。
UDP

跟TCP比起來少了好多東西，大致包含的內(nèi)容一樣，有一個例外：
校驗和：只檢查頭部，不檢查內(nèi)容數(shù)據(jù)
常用的端口和協(xié)議

UDP協(xié)議在生活中的應(yīng)用也非常廣泛。因傳輸速度快備受青睞，比如：QQ、微信等社交軟件
接下來我們主要講解訪問控制列表
它是在路由器上讀取第三層和第四層的信息，如：源地址、目的地址、協(xié)議、源端口、目的端口等。
今天我們簡單的介紹三種簡單的ACL注意：（必須保證網(wǎng)絡(luò)是通的才可以使用ACL）
ACL 的匹配順序

標(biāo)準(zhǔn)ACL
只根據(jù)源IP地址來拒絕數(shù)據(jù)包，訪問控制列表號是1--99.
我們來通過一個小型的拓補圖來介紹一下怎么使用標(biāo)準(zhǔn)的ACL

接下來我們創(chuàng)建標(biāo)準(zhǔn)ACL列表
（個人建議，如果圖中的兩個路由器都可以管理的話，創(chuàng)建標(biāo)準(zhǔn)ACL創(chuàng)建在離目標(biāo)地址近的位置）

堅守“ 做人真誠 · 做事靠譜 · 口碑至上 · 高效敬業(yè) ”的價值觀，專業(yè)網(wǎng)站建設(shè)服務(wù)10余年為成都加固小微創(chuàng)業(yè)公司專業(yè)提供企業(yè)網(wǎng)站設(shè)計營銷網(wǎng)站建設(shè)商城網(wǎng)站建設(shè)手機網(wǎng)站建設(shè)小程序網(wǎng)站建設(shè)網(wǎng)站改版，從內(nèi)容策劃、視覺設(shè)計、底層架構(gòu)、網(wǎng)頁布局、功能開發(fā)迭代于一體的高端網(wǎng)站建設(shè)服務(wù)。

r2(config)#access-list 1 deny host 192.168.1.10                  #創(chuàng)建ACL列表1拒絕主機192.168.1.10訪問
r2(config)#access-list 1 deny 192.168.1.0 0.0.0.255            #創(chuàng)建ACL列表1拒絕192.168.1.0網(wǎng)段的所有主機訪問
r2(config)#access-list 1 permit any                                       #創(chuàng)建ACL列表1允許所有主機訪問
（注意ACL是從上往下檢查的，找到即停）
r2(config)#int f0/1
r2(config-if)#ip access-group 1 out                                       #應(yīng)用到r2路由器f0/1的出口
r2#show access-lists                                                             #查看創(chuàng)建的ACL列表 
Standard IP access list 1
    deny host 192.168.1.10
    deny 192.168.1.0 0.0.0.255
    permit any

接下來我們進行驗證


如果ACL列表創(chuàng)建了好多條記錄，如果想修改的話，刪除其中一條就等于把這個ACL列表都刪除了。

r2(config)#no  access-list 1 deny host 192.168.1.10 
r2#show access-lists

擴展ACL
根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、指定協(xié)議、端口和標(biāo)志來允許或拒絕數(shù)據(jù)包，訪問控制列表號是100--199.
我們也通過一個簡單的拓補來介紹一下擴展ACL

接下來我們創(chuàng)建擴展ACL列表規(guī)則
（個人建議，如果圖中的兩個路由器都可以管理的話，創(chuàng)建擴展ACL創(chuàng)建在離源地址近的位置）

r1(config)#access-list 101 permit tcp host 192.168.1.10 host 192.168.3.20 eq 80
#允許主機192.168.1.10訪問主機192.168.3.20的80端口 （eq表示等于）
r1(config)#access-list 101 deny icmp host 192.168.1.10 host 192.168.3.20 echo
#拒絕主機192.168.1.10拼通主機192.168.3.20
r1(config)#access-list 101 permit ip any any
#允許所有主機訪問所有主機
r1(config)#int f0/0
r1(config-if)#ip access-group 101 in
#應(yīng)用到r1路由器的f0/0接口的進方向

我們來驗證效果


擴展ACL和標(biāo)準(zhǔn)ACL一樣，如果ACL列表創(chuàng)建了好多條記錄，如果想修改的話，刪除其中一條就等于把這個ACL列表都刪除了。

r2(config)#no access-list 101 permit tcp host 192.168.1.10 host 192.168.3.20 eq 80 
r2#show access-lists

命名ACL
命名ACL可以用名代替表號，也可以在指定的位置添加后刪除任意一條規(guī)則
我們也通過一個簡單的拓補來介紹一下命名ACL

接下來我們創(chuàng)建命名ACL規(guī)則

r1(config)#ip access-list extended benet
#創(chuàng)建命名擴展ACL列表（創(chuàng)建標(biāo)準(zhǔn)的命名ACL，選項standard），名為benet
r1(config-ext-nacl)#permit tcp host 192.168.1.10 host 192.168.3.20 eq 80
#允許主機192.168.1.10訪問主機192.168.3.20的80端口
r1(config-ext-nacl)#permit tcp host 192.168.1.10 host 192.168.3.20 eq 21
#允許主機192.168.1.10訪問主機192.168.3.20的21端口
r1(config-ext-nacl)#deny icmp host 192.168.1.10 host 192.168.3.20 echo
#拒絕主機192.168.1.10拼通主機192.168.3.20
r1(config-ext-nacl)#permit ip any any
#允許所有主機訪問所有主機
r1(config)#int f0/0
r1(config-if)#ip access-group benet in
#把命名ACL應(yīng)用到r1路由器f0/0的進接口方向
r1#show access-lists 
#查看一下ACL列表（注意每條列表規(guī)則前面都有編號）
Extended IP access list benet
    10 permit tcp host 192.168.1.10 host 192.168.3.20 eq www
    20 permit tcp host 192.168.1.10 host 192.168.3.20 eq ftp
    30 deny icmp host 192.168.1.10 host 192.168.3.20 echo
    40 permit ip any any

測試效果


接下來我們稍微修改一下ACL列表

r1(config)#ip access-list extended benet
#進入命名擴展ACL列表中
r1(config-ext-nacl)#no permit tcp host 192.168.1.10 host 192.168.3.20 eq 21
#刪除規(guī)則（允許主機192.168.1.10訪問主機192.168.3.20的21端口）
r1(config-ext-nacl)#5 permit icmp host 192.168.1.10 host 192.168.3.20 echo
#添加第5條規(guī)則允許主機192.168.1.10拼通主機192.168.3.20
r1#show access-lists 
#查看規(guī)則，發(fā)現(xiàn)多了第5條規(guī)則，第20條規(guī)則消失了
Extended IP access list benet
    5 permit icmp host 192.168.1.10 host 192.168.3.20 echo
    10 permit tcp host 192.168.1.10 host 192.168.3.20 eq www
    30 deny icmp host 192.168.1.10 host 192.168.3.20 echo
    40 permit ip any any

驗證效果

相比較而言，命名ACL比標(biāo)準(zhǔn)ACL和擴展ACL更靈活、更實用一些，現(xiàn)實環(huán)境中，結(jié)合實際情況使用
這上面都是介紹如何在路由器上應(yīng)用ACL，下面我們簡單介紹一下在交換機上如何應(yīng)用ACL（還是上面的那個實驗拓補）

Switch(config)#int vlan 1
Switch(config-if)#ip add 192.168.1.254 255.255.255.0
Switch(config-if)#no sh
#給交換機設(shè)置虛擬的IP地址
Switch(config)#username cisco pass 123
#創(chuàng)建本地用戶名、密碼
Switch(config)#access-list 101 deny tcp host 192.168.1.10 host 192.168.1.254 eq telnet
#創(chuàng)建號為101的ACL列表拒絕主機遠(yuǎn)程管理交換機
Switch(config)#access-list 101 permit ip any any
#創(chuàng)建號為101的ACL列表允許所有
Switch(config)#line vty 0 4
Switch(config-line)#login local
#本地驗證
Switch(config-line)#access-class 101 in
#應(yīng)用號為101的ACL列表（路由器是在接口模式里應(yīng)用ACL，交換機虛接口不可以應(yīng)用ACL，只能這樣應(yīng)用）

編寫列表中常用的關(guān)鍵字

比如：host 192.168.1.1 和192.168.1.1 0.0.0.0 效果一樣
                    any 和 0.0.0.0 255.255.255.255 效果一樣

今天就先介紹這么多，愿我們共同進步，共同努力！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當(dāng)前題目：路由器設(shè)置訪問控制列表-創(chuàng)新互聯(lián)
URL地址：http://muchs.cn/article40/ejeho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、品牌網(wǎng)站建設(shè)、網(wǎng)站策劃、靜態(tài)網(wǎng)站、網(wǎng)站設(shè)計、軟件開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)