电脑cpu测量 | 性能测试查看cpu
413 2023-04-03 04:13:49
二、访问控制列表有哪些类型?访问控制类别可以分为标准ACL,拓展ACL,标准命名ACL,拓展命名ACL; 1、标准ACL 配置要点: 1) ACL默认最后有一条deny any,故允许(permit)的ACL应该写在上面。若是禁止某网段访问,其他网段均放通,则应该在最后加一条permit any。 2)标准的ACL只匹配源IP地址(不写掩码只是匹配单个ip,可以写掩码); 3)标准的ACL号是从1-99和1300-1999; 4)如果是单个IP地址,可写为access-list 1 permit host 192.168.1.1 2、扩展ACL三、配置要点: 1)扩展ACL可匹配源地址、目的地址、IP协议,tcp、udp、icmp、igmp待协议; 如要允许所有目的端口是tcp80端口的流量:access-list 100 per tcp any any eq 80 2)扩展ACL号为100-199和2000-2699 3、标准命名ACL配置要点和标准acl基本一致,就是多了可以删除特定规则; 4、扩展命名ACL配置要点和标准acl基本一致,就是多了可以删除特定规则,配置起来更加灵活; 三、如何确定ACL的IN还是OUT方向?首先要明确IN和OUT方向是相对的,要根据数据流的方向判断,以路由器为中心,数据流进入的方向是IN方向,数据流经过路由器转发出去的方向是OUT方向。以下图为例子,当数据经过e0/0到达R4,再经过e0/1转发,则对于该路由器而已,该数据的e0/0口是IN方向,e0/1口是OUT方向,若对该数据进行做ACL,可以选择在IN方向或者OUT方向上做都可以,后面有例子解析。 四、配置案例拓扑如图所示;拓扑说明:SWITCH3有PC1和PC2的网关,分别是192.168.3.254和192.168.2.254,SWITCH默认路由指向R4,R4和R5是路由器,运行OSPF协议,并将相应网段发布至OSPF中,R4将静态路由重发布至OSPF中,从而实现全网互通,此拓扑自行搭建,如有需要可联系本人; 再次通过拓扑说明访问控制列表的方向,以192.168.2.1访问5.5.5.5为例子,对于R4来说,eth0/0就是IN;eth0/1就是OUT方向;千万不要把做访问控制列表时候的IN和OUT方向做反了;一个访问控制策略,可以在数据包进来之前做(in);也可以再数据包出去的时候做访问控制列表(out)。 注:本次测试标准acl在路由器R4上做测试 1、标准ACL配置案例不做ACL前,PC1和PC2都可以ping通5.5.5.5(1)做个标准访问控制列表,允许192.168.2.2访问5.5.5.5;用于IN方向access-list 1 permit 192.168.2.2interface Ethernet0/0ip access-group 1 in结果PC1和PC2都ping不通5.5.5.5,因为访问控制类别都没有允许他们通过(2)添加个access-list 1 permit 192.168.2.0 0.0.0.255结果就是PC2(192.168.2.1)通5.5.5.5了,但是PC1(192.168.3.1)不通,原因是PC2的ip在允许的访问控制列表里面show access-lists 1可以查看命中次数(3)测试配置错了ACL方向,把关键字由in变成了out即从把interface Ethernet0/0 ;ip access-group 1 in;变成了interface Ethernet0/0 ;ip access-group 1 out 则PC1(192.168.3.1)和PC2(192.168.2.1)都不通5.5.5.5因为此刻对于路由器R4而言,这个访问控制类别的逻辑变成了从ETH0/0口出去的数据,允许源ip是192.168.2.0/24这个段,所以5.5.5.5的回包会被阻拦;导致不通; (4)做个OUT方向的访问控制列表;做测试前需要先去掉之前配置的访问控制列表,以免造成实验干扰interface Ethernet0/1ip access-group 1 out测试结果也是PC1(192.168.3.1)不通5.5.5.5;PC2(192.168.2.1)通5.5.5.5 2、扩展ACL配置案例(1)配置扩展ACL,允许192.168.2.1访问5.5.5.5,在IN方向测试access-list 100 permit ip host 192.168.2.1 host 5.5.5.5interface Ethernet0/0ip access-group 100 in因为扩展ACL可以指定源地址,目的地址,就可以做的更细的匹配,比如这个acl就指定只有192.168.2.1才可以访问5.5.5.5;所以结果就是PC2(192.168.2.1)可以通5.5.5.5,不通4.4.4.4;PC1(192.168.3.1)都不通4.4.4.4和5.5.5.53、标准命名ACL配置案例标准命名ACL其实就是把ACL的数字用字符来表示,优点就是可以随意删除指定的permit或者deny语句,但是还是只能对源地址做限制,不够灵活配置标准命名ACL,允许192.168.2.1访问所有目标ip,配置在in方向ip access-list standard standtest1permit 192.168.2.1interface Ethernet0/0ip access-group standtest1 in测试结果就是PC2(192.168.2.1)可以通5.5.5.5和4.4.4.4;PC1(192.168.3.1)都不通5.5.5.5和4.4.4.4同理,在OUT方向做策略,删掉IN方向策略,结果一致;不过PC1(192.168.3.1)会ping得通4.4.4.4,因为4.4.4.4在R4上,不需要经过eth0/1出去;但是PC1不通5.5.5.5 4、扩展命名ACL扩展命名列表是我认为做好用的,可以随意删除permit或者deny下面的策略,也可以对ip或者其他协议做策略,颗粒度很细,最适合日常使用;还是使用原图拓扑,删除做在接口上的旧的ACL(1)配置拓展命名ACL,允许192.168.3.0/24网段ping4.4.4.4,允许192.168.2.0/24网段访问5.5.5.5,应用在IN的方向ip access-list extended extendtest150 permit icmp 192.168.3.0 0.0.0.255 host 4.4.4.460 permit ip 192.168.2.0 0.0.0.255 host 5.5.5.5interface Ethernet0/0ip access-group extendtest1 in 这个ACL比较有意思,第一条的意思是只允许192.168.3.0/24这个段去ping4.4.4.4,除了ping其他服务都不通,ping的目标地址除了4.4.4.4以外的也不通;第二条意思是只允许192.168.2.0/24这个段对5.5.5.5这个地址进行任意访问,这里面就可以看出扩展ACL好用多了;测试结果就是PC1(192.168.3.1)通4.4.4.4,不通5.5.5.5;PC2(192.168.2.1)不通4.4.4.4,通5.5.5.5