思科5520怎么配置ACL

发布时间:2017-03-21 13:09

思科是全球领先且顶尖的通讯厂商,出产的路由器功能也是很出色的,那么你知道思科5520怎么配置ACL吗?下面是小编整理的一些关于思科5520怎么配置ACL的相关资料,供你参考。

什么是ACL?

访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。

信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。

配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。

ACL是物联网中保障系统安全性的重要技术,在设备硬件层安全基础上,通过对在软件层面对设备间通信进行访问控制,使用可编程方法指定访问规则,防止非法设备破坏系统安全,非法获取系统数据。

ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。

ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。

例如:某部门要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。

思科5520配置ACL的方法:

定义时间段

time-range freetime

periodic weekend 8:00 to 22:00

periodic weekdays 17:00 to 22:00

定义允许通过的协议(服务)

object-group protocol allprot

protocol-object ip

protocol-object udp

protocol-object tcp

protocol-object icmp

protocol-object gre

定义网段或主机

object-group network

object-group network 74-75

network-object 172.19.74.0 255.255.254.0

object-group network 76-79

network-object 172.19.76.0 255.255.252.0

object-group network hosts

network-object host 172.19.74.122

object-group network DM_INLINE_NETWORK_1

group-object 74-75

group-object hosts

定义access-list

access-list outside_access_in extended permit object-group allprot any any

access-list inside_access_in extended permit object-group allprot object-group 76-79 any time-range freetime

access-list inside_access_in extended permit object-group allprot object-group DM_INLINE_NETWORK_1 any

将定义的acl作用到端口

access-group outside_access_in in interface outside

access-group inside_access_in in interface inside

思科5520怎么配置ACL的评论条评论