ACL:access contrl list,主要用于控制ip访问的安全性
其原理:以太网接cmts,gige口端,即千兆口用于收发数据,RF端用于与cable modem交互,如果要控制外界用户对不同协议的访问,则在gige口配置报文过滤规则,即acl规则
Acl规则配置:
实例操作:
例:禁止192.168.0.120~192.168.0.138,端口为1234~2344的telnet协议
配置如下;
(config)#ip access-list xiao (建立ACL规则的名字)
(conf-acl-xiao)#10 denytelnet type 0192.168.0.120 255.255.25.255.0 192.168.0.138 255.255.255.2551234 2345 (type 0:表示的是报文字段类型吧,如:0表示:回应什
么的,具体不是很清楚10 deny:10表示建立规则的序号,一般有优先原则,据说该产品的10为最高优先级,越靠近,优先级就当然越高了1234 2345为端口号)
(config)#interface eth 0
(config-if-eth 0)#ip access-group xiao (将配置的acl规则添加到以太网中)
(config)#show ip access-list (查看acl规则是否配置好)
(config)#show interface eth 0 (查看acl规则是否添加到以太网中)
注意:1.10 deny telnet type 0 any any 0 禁用所有网络ip的telnet协议
2.禁用的协议可以用协议名字,如telnet,也可以用端口号23,如:10 deny 23 type 0 any any与10 deny telnet type 0 any any是一样的
3.禁用端口号时,应注意,如:21,23等都是特殊端口号,千万慎重,以防造成不必要的麻烦
附转:网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。
初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。
基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
功能:网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
在实施ACL的过程中,应当遵循如下两个基本原则:
1.最小特权原则:只给受控对象完成任务所必须的最小的权限。
2.最靠近受控对象原则:所有的网络层访问权限控制。
3.默认丢弃原则:在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
1、设置acl:
acl number 3000
rule 0 permit ip source服务器端的子网掩码的反码//允许哪些子网访问服务器
rule 5 deny ip destination服务器端的子网掩码的反码//不允许哪些子网访问服务器
2、绑定到端口:
interface gig 0/1 //进入服务器所在的交换机端口
[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl绑定到端口