360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

 找回密码
 快速注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
1 2 3 4
查看: 2449|回复: 0
打印 上一主题 下一主题

如何正确的设置ACL访问控制列表

[复制链接]

823

主题

909

帖子

4623

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
4623
跳转到指定楼层
楼主
发表于 2015-10-9 10:06:01 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

亲!这问题您也搜索很久了吧?不如咨询下我们吧


613049616  613049616  613049616   613049616   613049616


  单向屏蔽ICMP ECHO报文
  1.设置如下的访问控制列表
  access-list 100 permit icmp any 本地路由器广域地址 echo
  access-list 100 deny icmp any any echo
  access-list 100 permit ip any any
  2.在路由器相应端口上应用
  interface
  ip access-group 100 in
  列表第一行,是允许外网主机可以PING通我方路由器广域口地址,便于外网进行网络测试。列表第二行,系禁止外网主机发起的任何ICMPECHO 报文到达我方网络主机,杜绝了外网主机发起的“端口扫描器Nmapping操作”。列表第三行允许所有的IP协议数据包通过,是保证不影响其他各种应用。端口应用上设置在入方向进行应用,保证了我方网络主机可PING通外网任意主机,便于我方进行网络连通性测试。
  防止病毒传播和黑客攻击
  针对微软操作系统的漏洞,一些病毒程序和漏洞扫描软件通过UDP端口135、137、138、1434和TCP端口135、137、139、445、4444、5554、9995、9996等进行病毒传播和攻击,可如下设置访问控制列表阻止病毒传播和黑客攻击。
  1.设置如下的访问控制列表
  access-list 101 deny udp any any eq 135
  access-list 101 deny udp any any eq 137
  access-list 101 deny udp any any eq 138
  access-list 101 deny udp any any eq 1434
  access-list 101 deny tcp any any eq 135
  access-list 101 deny tcp any any eq 137
  access-list 101 deny tcp any any eq 139
  access-list 101 deny tcp any any eq 445
  access-list 101 deny tcp any any eq 4444
  access-list 101 deny tcp any any eq 5554
  access-list 101 deny tcp any any eq 9995
  access-list 101 deny tcp any any eq 9996
  access-list 101 permit ip any any
  2.在路由器相应端口上应用
  interface
  ip access-group 101 in
  说明:在同一端口上应用访问控制列表的IN语句或OUT语句只能有一条,如需将两组访问列表应用到同一端口上的同一方向,需将两组访问控制列表进行合并处理,方能应用。
  利用访问控制列表实现QoS
  针对一些重要业务和特殊应用,使用时要求保证带宽,不用时又能将带宽让出来给其他应用,可用如下设置访问控制列表和数据包染色技术来实现。
  1.设置如下的访问控制列表
  access-list 102 permit ip 网段1IP 子网掩码 host 服务器1IP
  access-list 103 permit ip 网段2IP 子网掩码 host 服务器2IP
  access-list 104 permit ip 网段3IP 子网掩码 host 服务器3IP
  2.数据包染色标记
  class-map match-all Critical-1
  match ip dscp 34
  class-map match-all Critical-2
  match ip dscp 26
  class-map match-all Critical-3
  match ip dscp 35
  3.数据包染色分类
  class-map match-any Critical-1
  match access-group 102 /*匹配访问控制列表102 */
  class-map match-any Critical-2
  match access-group 103 /*匹配访问控制列表103 */
  class-map match-any Critical-3
  match access-group 104 /*匹配访问控制列表104 */
  4.策略定义
  policy-map AA
  class Critical-1
  bandwidth percent 10 /*定义保障带宽为基本带宽的10% */
  random-detect dscp-based /*定义路由器带宽拥塞时的数据包丢弃策略 */
  random-detect dscp 34 24 40 10
  /* 定义发生拥塞时DSCP=34数据包的最小丢包率/最大丢包率/丢弃概率分别是:24/40/10 */
  class Critical-2
  bandwidth percent 5
  random-detect dscp-based
  random-detect dscp 26 24 40 10
  classs Critical-3
  bandwidth percent 2
  random-detect dscp-based
  random-detect dscp 35 24 40 10
  5.在路由器相应端口上进行策略应用
  interface Serial0/0
  service-policy output AA
  如上设置后,即实现了在端口Serial0/0上符合访问控制列表102的业务保障带宽是基本带宽的10%,符合访问控制列表103的业务保障带宽为基本带宽的5%,符合访问控制列表104的业务保障带宽为基本带宽的2%。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则


Archiver|手机版|小黑屋|360wzgj Inc. 百度统计

GMT+8, 2024-11-1 18:33 , Processed in 0.067337 second(s), 31 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表