交換機的端口都是二層端口,只識別MAC地址,而ACL是基于IP地址的,三層上面的,只能綁定在svi接口上。
交換機上的ACL的作用是對管理該設(shè)備的主機進行限制,部署方式應該是這樣的: int vlan 1 ip add 172.16.21.254 255.255.255.0 no shut ip access-group test1 in從前到后從上到下。如果是擴展訪控列表,可以根據(jù)需求插入列表。
例如你要封的內(nèi)網(wǎng)某IP是1.1.1.100 , 讓它只能訪問2.2.2.100的80口.而其他的內(nèi)網(wǎng)IP能正常訪問任何網(wǎng)絡(luò):
Router(config)#ip access-list extended 101
Router(config-ext-nacl)#permit tcp host 1.1.1.100 host 2.2.2.100 eq www
Router(config-ext-nacl)#deny ip host 1.1.1.100 any
Router(config-ext-nacl)#permit ip any any
然后在相應的端口,一般是內(nèi)網(wǎng)的網(wǎng)關(guān)IP的那端口:
Router(config-if)#ip access-group 101 in
這樣就可以了.你之前一應用就全網(wǎng)斷開那是因為cisco最后隱含一條deny any any的ACL.
acl規(guī)則
網(wǎng)絡(luò)中經(jīng)常提到的acl規(guī)則是CiscoIOS所提供的一種訪問控制技術(shù)。
初期僅在路由器上支持,近些年來已經(jīng)擴展到三層交換機,部分最新的二層交換機如2950之類也開始提供ACL的支持。只不過支持的特性不是那么完善而已。在其它廠商的路由器或多層交換機上也提供類似的技術(shù),不過名稱和配置方式都可能有細微的差別。本文所有的配置實例均基于CiscoIOS的ACL進行編寫。
基本原理:ACL使用包過濾技術(shù),在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等,根據(jù)預先定義好的規(guī)則對包進行過濾,從而達到訪問控制的目的。
功能:網(wǎng)絡(luò)中的節(jié)點有資源節(jié)點和用戶節(jié)點兩大類,其中資源節(jié)點提供服務(wù)或數(shù)據(jù),用戶節(jié)點訪問資源節(jié)點所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護資源節(jié)點,阻止非法用戶對資源節(jié)點的訪問,另一方面限制特定的用戶節(jié)點所能具備的訪問權(quán)限。
在實施ACL的過程中,應當遵循如下兩個基本原則:
1.最小特權(quán)原則:只給受控對象完成任務(wù)所必須的最小的權(quán)限。
2.最靠近受控對象原則:所有的網(wǎng)絡(luò)層訪問權(quán)限控制。
局限性:由于ACL是使用包過濾技術(shù)來實現(xiàn)的,過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息,這種技術(shù)具有一些固有的局限性,如無法識別到具體的人,無法識別到應用內(nèi)部的權(quán)限級別等。因此,要達到endtoend的權(quán)限控制目的,需要和系統(tǒng)級及應用級的訪問權(quán)限控制結(jié)合使用。
scl指結(jié)構(gòu)化控制語言。SCL是一種類似于計算機高級語言的編程方式可以在PLC中運行。SCL能實現(xiàn)復雜的運算功能,特別是有大量數(shù)據(jù)要處理的時候。
而acl指訪問控制列表,它是應用在路由器接口的指令列表。它可以告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。
ACL與RBAC最大的區(qū)別,就是用戶是直接掛載權(quán)限,還是通過角色去掛載權(quán)限。
對于RBAC,其實還能繼續(xù)擴展,就是角色是否還可以繼續(xù)分組,同一組內(nèi)的角色,具有相同的權(quán)限。
角色之間是否允許繼承?等等
各種認證授權(quán)模型,不存在優(yōu)劣之分,只是適用于不同的場景。
具體選擇哪種模型,還是得結(jié)合實際業(yè)務(wù)場景
ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如,ACL可以根據(jù)數(shù)據(jù)包的協(xié)議,指定數(shù)據(jù)包的優(yōu)先級。
ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網(wǎng)段的通信流量。
ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機A訪問人力資源網(wǎng)絡(luò),而拒絕主機B訪問。
ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
DAC一般指數(shù)模轉(zhuǎn)換器。 數(shù)模轉(zhuǎn)換器,又稱D/A轉(zhuǎn)換器,簡稱DAC,它是把數(shù)字量轉(zhuǎn)變成模擬的器件。D/A轉(zhuǎn)換器基本上由4個部分組成,即權(quán)電阻網(wǎng)絡(luò)、運算放大器、基準電源和模擬開關(guān)。
acl是一種基于包過濾的訪問控制技術(shù),它可以根據(jù)設(shè)定的條件對接口上的數(shù)據(jù)包進行過濾,允許其通過或丟棄。
ACL(Access Control Lists,縮寫ACL),存取控制列表。ACL是一套與文件相關(guān)的用戶、組和模式項,此文件為所有可能的用戶 ID 或組 ID 組合指定了權(quán)限。 ACL的作用 限制網(wǎng)絡(luò)流量提高網(wǎng)絡(luò)性能 通過設(shè)定端口上、下行流量的帶寬,ACL可以定制多種應用的帶寬管理,避免因為帶寬資源的浪費而影響網(wǎng)絡(luò)的整體性能。
如果能夠根據(jù)帶寬大小來制定收費標準,那么運營商就可以根據(jù)客戶申請的帶寬,通過啟用ACL方式限定訪問者的上、下行帶寬,實現(xiàn)更好的管理,充分利用現(xiàn)有的網(wǎng)絡(luò)資源,保證網(wǎng)絡(luò)的使用性能。
Cisco是一家提供網(wǎng)絡(luò)設(shè)備和解決方案的公司。因為Cisco是一家專業(yè)從事網(wǎng)絡(luò)設(shè)備和解決方案的公司,其產(chǎn)品涉及交換機、路由器、安全設(shè)備、IP電話等。此外,Cisco也提供了各種與網(wǎng)絡(luò)相關(guān)的解決方案,如網(wǎng)絡(luò)管理解決方案、數(shù)據(jù)中心解決方案、云解決方案等。Cisco公司是全球領(lǐng)先的網(wǎng)絡(luò)技術(shù)供應商之一,其產(chǎn)品在全球范圍內(nèi)得到了廣泛的應用。Cisco的核心技術(shù)包括路由、交換、安全、數(shù)據(jù)中心、視頻、協(xié)作等。Cisco也致力于提供卓越的客戶服務(wù),通過服務(wù)的創(chuàng)新和提高客戶體驗,贏得了客戶的忠誠度和信任。
