交换机的端口都是二层端口,只识别MAC地址,而ACL是基于IP地址的,三层上面的,只能绑定在svi接口上。
交换机上的ACL的作用是对管理该设备的主机进行限制,部署方式应该是这样的: int vlan 1 ip add 172.16.21.254 255.255.255.0 no shut ip access-group test1 in从前到后从上到下。如果是扩展访控列表,可以根据需求插入列表。
例如你要封的内网某IP是1.1.1.100 , 让它只能访问2.2.2.100的80口.而其他的内网IP能正常访问任何网络:
Router(config)#ip access-list extended 101
Router(config-ext-nacl)#permit tcp host 1.1.1.100 host 2.2.2.100 eq www
Router(config-ext-nacl)#deny ip host 1.1.1.100 any
Router(config-ext-nacl)#permit ip any any
然后在相应的端口,一般是内网的网关IP的那端口:
Router(config-if)#ip access-group 101 in
这样就可以了.你之前一应用就全网断开那是因为cisco最后隐含一条deny any any的ACL.
acl规则
网络中经常提到的acl规则是CiscoIOS所提供的一种访问控制技术。
初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于CiscoIOS的ACL进行编写。
基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
功能:网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
在实施ACL的过程中,应当遵循如下两个基本原则:
1.最小特权原则:只给受控对象完成任务所必须的最小的权限。
2.最靠近受控对象原则:所有的网络层访问权限控制。
局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到endtoend的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
scl指结构化控制语言。SCL是一种类似于计算机高级语言的编程方式可以在PLC中运行。SCL能实现复杂的运算功能,特别是有大量数据要处理的时候。
而acl指访问控制列表,它是应用在路由器接口的指令列表。它可以告诉路由器哪些数据包可以收、哪些数据包需要拒绝。
ACL与RBAC最大的区别,就是用户是直接挂载权限,还是通过角色去挂载权限。
对于RBAC,其实还能继续扩展,就是角色是否还可以继续分组,同一组内的角色,具有相同的权限。
角色之间是否允许继承?等等
各种认证授权模型,不存在优劣之分,只是适用于不同的场景。
具体选择哪种模型,还是得结合实际业务场景
ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
DAC一般指数模转换器。 数模转换器,又称D/A转换器,简称DAC,它是把数字量转变成模拟的器件。D/A转换器基本上由4个部分组成,即权电阻网络、运算放大器、基准电源和模拟开关。
acl是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。
ACL(Access Control Lists,缩写ACL),存取控制列表。ACL是一套与文件相关的用户、组和模式项,此文件为所有可能的用户 ID 或组 ID 组合指定了权限。 ACL的作用 限制网络流量提高网络性能 通过设定端口上、下行流量的带宽,ACL可以定制多种应用的带宽管理,避免因为带宽资源的浪费而影响网络的整体性能。
如果能够根据带宽大小来制定收费标准,那么运营商就可以根据客户申请的带宽,通过启用ACL方式限定访问者的上、下行带宽,实现更好的管理,充分利用现有的网络资源,保证网络的使用性能。
Cisco是一家提供网络设备和解决方案的公司。因为Cisco是一家专业从事网络设备和解决方案的公司,其产品涉及交换机、路由器、安全设备、IP电话等。此外,Cisco也提供了各种与网络相关的解决方案,如网络管理解决方案、数据中心解决方案、云解决方案等。Cisco公司是全球领先的网络技术供应商之一,其产品在全球范围内得到了广泛的应用。Cisco的核心技术包括路由、交换、安全、数据中心、视频、协作等。Cisco也致力于提供卓越的客户服务,通过服务的创新和提高客户体验,赢得了客户的忠诚度和信任。
