返回
acl(accesscontrollist,访问控制列表)

acl(accesscontrollist,访问控制列表)

ID:30774165

大小:67.50 KB

页数:10页

时间:2019-01-03

acl(accesscontrollist,访问控制列表)_第1页
acl(accesscontrollist,访问控制列表)_第2页
acl(accesscontrollist,访问控制列表)_第3页
acl(accesscontrollist,访问控制列表)_第4页
acl(accesscontrollist,访问控制列表)_第5页
资源描述:

《acl(accesscontrollist,访问控制列表)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、ACL(AccessControlList,访问控制列表)技术从來都是-•把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带來了诸如数据的安全性,员工利用互联网做与工作不相干事等负而影响。如何将-个网络有效的管理起來,尽可能的降低网络所带來的负面影响就成了摆在网络管理员面前的一个重耍课题。A公司的某位可怜的网管日前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路宙器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网

2、络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Interneto每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示:自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备耍捣乱;一会儿领导乂在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管

3、,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术一一访问控制列表(下文简称ACL)。那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢?ACL的基本原理、功能与局限性网络中常说的ACL是CiscoIOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年來已经扩展到三层交换机,部分故新的二层交换机如295()之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路山器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。木文所有的配置实例均基于CiscoTOS的A

4、CL进行编写。基本原理:ACL使用包过滤技术,在路由器上读取第三层及第

5、川层包头屮的信息如源地址、冃的地址、源端口、H的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的H的。功能:网络屮的节点资源节点和用八节点两大类,其屮资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一•方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则:u最小特权原则:只给受控对彖完成任务所必须的最小的权限u最靠近受控对象原则:所有的网络层访问

6、权限控制局限性:山于ACL是使用包过滤技术來实现的,过滤的依据乂仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,耍达到endtoend的权限控制冃的,需耍和系统级及应用级的访问权限控制结合使用。ACL配置技术详解“说那么多废话做什么,赶快开始进行配置吧。”,A公司的网管说。呵呵,并不是我想说那么多废话,因为理解这些基础的概念与简单的原理对后续的配置和排错都是相当有用的。说说看,你的第•个需求是什么。'‘做为一个网管,我不期望普通用户能(elne(到网络设备”一一ACL基础“补充一点,要求能够

7、从我现在的机器(研发VLAN的10.1.6.66)±telnet到网络设备上去hanim,是个不错的主意,谁都不希望有人在口己的花园中撤野。让我们分析一下,在A公司的网络中,除出口路由器外,其它所有的网络设备段的是放在Vlanl中,那个我只需要在到VLANI的路由器接口上配置只允许源地址为10.1.6.66的包通过,其它的包通通过滤掉。这中只管源IP地址的ACL就叫做标准IPACL:我们在SWA上进行如下的配置:access-list1permithost10.1.6.66acccss-list1denyanyintvlan1ipaccess-group1out这儿条命令

8、中的相应关键字的意义如下:access-list:配逍均ACL的关键字,所有的ACL均使用这个命令进行配置。access-list后面的1:ACL号,ACL号相同的所有ACL形成一个组。在判断一个包时,使用同一组中的条H从上到下逐一进行判断,一遇到满足的条H就终止对该包的判断。1-99为标准的IPACL号,标准IPACL由于只读取IP包头的源地址部分,消耗资源少。permit/deny:操作。Permit是允许通过,deny是丢弃包。host10」.6.66/any:匹配条件,等同丁-10」.6.660.0.0.0。刚才说过,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。