了解ACL

一、ACL概述

1.1 ACL是什么

  • ACL:(Access Control List)访问控制列表,是由一条或多条规则组成的集合。ACL本质上是一种报文过滤器,规则是过滤器的滤芯(一般是基于通信五元素进行过滤)。设备可以根据读取的第二、三层的包头信息,根据预先定义好的规则对包进行过滤。

  • 通信五元素:源IP地址、目的IP地址、源端口、目的端口、协议(四元素则去掉协议)
    在这里插入图片描述

  • 访问控制列表在接口应用的方向
    出:已经过路由器的处理,正离开路由器接口的数据包
    入:已到达路由器接口的数据包,将被路由器处理
    在这里插入图片描述

二、ACL工作原理与应用原则

2.1 ACL工作原理

  • 当数据包从接口经过时,由于接口启用了ac1,此时路由器会对报文进行检查,然后做出相应的处理
    在这里插入图片描述

2.2 ACL应用原则

1、一个接口的同一个方向只能调用一个ACL
2、一个ACL里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某个rule匹配,就不再往下继续匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
在这里插入图片描述

三、ACL的分类与作用

3.1 ACL的分类

  • 基本ACL(2000~2999):只匹配源IP
  • 高级ACL(3000~3999):可根据通讯五元素匹配
  • 二层ACL(4000~4999):根据数据包的源MAC地址、目的MAC地址、802.1g优先级、二层协议类型等二层信息制定规则。
  • 基本ACL:尽量用在靠近目的点
  • 高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
    在这里插入图片描述
    在这里插入图片描述

四、ACL实验

在这里插入图片描述

  • 实验完成以下任务:
    1、仅允许PC1访问192.168.2.0/24网络
    2、禁止192.168.1.0/24网段ping web服务器
    3、仅允许client1服务器访问web服务器的www服务
    (1)解题思路:一台主机所以我们用基本ACL就能解决,它的要求是仅允许一台访问,所以我们设置PC1能访问的同时,再设置拒绝其余所有主机访问(华为默认放通所有)
    在这里插入图片描述
    在这里插入图片描述

验证一下:PC1ping一下PC3
在这里插入图片描述
在这里插入图片描述
(2)解题思路:禁止一个网段进行ping,ping的话用到的协议是ICMP,那么需要用到高级ACL,只需要禁止192.168.1.0/24网段进行ping就行,其余都可以访问,所以不用设置
在这里插入图片描述
验证:
在这里插入图片描述

(3)解题思路:仅client1访问web服务器的www(端口号:80),还是高级ACL,设置它可以访问,禁止其余所有访问
在这里插入图片描述

在这里插入图片描述

  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ACL(Access Control List)是一种用于控制网络设备中数据流的访问规则的技术。通过ACL,我们可以限制哪些数据包可以经过网络设备,哪些数据包应该被丢弃或拒绝,从而保护网络的安全性。 下面是通过命令行指令和其他方式实现各终端和服务器之间交流的实验总结: 1. 配置ACL规则 在路由器或交换机上,可以通过以下命令创建ACL规则: ``` access-list {acl-number | name acl-name} {permit | deny} protocol source [source-wildcard] [operator port] destination [destination-wildcard] [operator port] ``` 其中,acl-number是ACL的编号,acl-name是ACL的名称,protocol是要允许或拒绝的协议类型,source是源地址,source-wildcard是源地址的通配符,operator是比较运算符,port是端口号,destination是目的地址,destination-wildcard是目的地址的通配符。 2. 应用ACL规则 将ACL规则应用到接口上,可以通过以下命令实现: ``` interface interface-type interface-number ip access-group {acl-number | name acl-name} {in | out} ``` 其中,interface-type是接口类型,interface-number是接口编号,acl-number是ACL的编号,acl-name是ACL的名称,in表示应用到输入方向,out表示应用到输出方向。 3. 测试ACL规则 可以通过ping命令或telnet命令测试ACL规则的效果,例如: ``` ping 192.168.1.2 telnet 192.168.1.2 80 ``` 如果ACL规则允许通过,就可以正常连接;如果ACL规则拒绝通过,就会被阻止连接。 4. 其他方式 除了使用命令行指令外,还可以使用网络模拟器软件来进行测试,例如GNS3、Packet Tracer等。这些软件可以模拟网络设备和终端的交互过程,让我们更加直观地了解ACL规则的应用和效果。 总之,ACL技术是网络安全中非常重要的一部分,通过命令行指令和其他方式实现各终端和服务器之间交流的实验,可以让我们更好地掌握ACL的配置原理和应用方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值