192.168.1.1-路由器设置 | 192.168.0.1-无线路由器设置

Cisco ACL原理及配置详解(3

发布时间:2011-03-26 19:09

  [导读]访问控制列表简称为ACL,访问控制列表使用包过滤技术,在由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。

  反向访问控制列表的用途及格式

  一、反向访问控制列表的用途

  反向访问控制列表属于ACL的一种高级应用。他可以有效的防范病毒。通过配置反向ACL可以AB两个网段的计算机互相PING,A可以PING通B而B不能PING通A。

  说得通俗些的话就是传输数据可以分为两个过程,首先是源主机向目的主机发送连接请求和数据,然后是目的主机在双方建立好连接后发送数据给源主机。反向ACL控制的就是提到的连接请求。

  二、反向访问控制列表的格式

  反向访问控制列表格式非常简单,只要在配置好的扩展访问列表最后加上established即可。我们还是通过实例为大家。

  我们采用如图所示的网络结构。由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中的计算机都是服务器,我们通过反向ACL设置这些服务器免受来自172.16.3.0这个网段的病毒。

  由器配置命令:

  设置完毕后病毒就不会轻易的从172.16.3.0到172.16.4.0的服务器区了。因为病毒要想都是主动进行TCP连接的,由于由器上采用反向ACL了172.16.3.0网段的TCP主动连接,因此病毒无法顺利。

  小提示:检验反向ACL是否顺利配置的一个简单方法就是拿172.16.4.0里的一台服务器PING在172.16.3.0中的计算机,如果可以PING通的话再用172.16.3.0那台计算机PING172.16.4.0的服务器,PING不通则说明ACL配置成功。

  这样根据“最靠近受控对象原则”即在检查ACL规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。172.16.3.0的计算机就可以正常访问该服务器的WWW服务了,而下面的ESTABLISHED防病毒命令还可以正常生效。

  笔者所在公司就使用的这种反向ACL的方式进行防病毒的,运行了一年多效果很不错,也非常稳定。

  基于时间的访问控制列表:

  我们介绍了标准ACL与扩展ACL,实际上我们数量掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了。不过实际工作中总会有人提出这样或那样的苛刻要求,这时我们还需要掌握一些关于ACL的高级技巧。基于时间的访问控制列表就属于高级技巧之一。

  配置实例:

  要想使基于时间的ACL生效需要我们配置两方面的命令:

  1、定义时间段及时间范围。

  2、ACL自身的配置,即将详细的规则添加到ACL中。

  3、宣告ACL,将设置好的ACL添加到相应的端口中。

  网络介绍:

  配置任务:只容许172.16.3.0网段的用户在周末访问172.16.4.13上的FTP资源,工作时间不能下载该FTP资源。

  由器配置命令:

  ping 192.168.1.1基于时间的ACL比较适合于时间段的管理,通过的设置172.16.3.0的用户就只能在周末访问服务器提供的FTP资源了,平时无法访问。

  访问控制列表流量记录

  网络管理员就是要能够合理的管理公司的网络,俗话说知己知彼方能百战百胜,所以有效的记录ACL流量信息可以第一时间的了解网络流量和病毒的方式。下面这篇文章就为大家简单介绍下如何保存访问控制列表的流量信息,方法就是在扩展ACL规则最后加上LOG命令。

  实现方法:

  小提示:

  如果在扩展ACL最后加上log-input,则不仅会保存流量信息,还会将数据包通过的端口信息也进行保存。

  使用LOG记录了满足访问控制列表规则的数据流量就可以完整的查询公司网络哪个地方流量大,哪个地方有病毒了。简单的一句命令就完成了很多专业工具才能完成的工作。

  在如今这个信息爆炸的时代里,每天都会有数不清的新闻通过各种渠道涌到我们面前,而真正有价值的应该进入我们心里的,却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》,就是要告诉您过去的七天都发生了哪些新闻,更希望和您一起,站在七天的高度来看待过去一周的新闻。

  领IT群雄秀企业风采。创刊于2008年2月,定位于行业(企业)信息化规划、建设、管理的中高层人士,通过精心的内容筛选,将每月发生的重点事件进行回顾,为高端人群提供深度阅读,与比特网内容的速度特性形成互补。主要栏目有:比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

  业内首个只为报道数据中心资讯内容的专业频道,是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心,贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则,以成为用户最信赖的行业专家为目标,打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报,为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

  就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧,向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐,为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。

关于我们 - RSS地图 - 最近更新 - 友情链接 - 网站地图 - 版权声明