ACL介绍及Csico思科项目实操

已于 2024-05-30 21:23:26 修改
阅读量1k 收藏 8
点赞数 27
文章标签: 网络 计算机网络 网络安全 学习方法 网络协议 智能路由器
于 2024-05-26 17:07:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78274269/article/details/139215164
版权
今天主要给大家介绍一下什么是ACL以及相关配置,本实验使用Csico思科模拟器,实现思科设备上ACL的配置实例。

一、实例拓扑

本实验通过配置标准IPv4 ACL 实现拒绝PC2、PC3所在网段访问研究院(192.168.111.111/24)。同时只允许主机PC1所在网段访问研究院(192.168.111.111/24)。

二、ACL介绍

1、定义

随着网络的飞速发展,网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。
访问控制列表ACL(Access Control List,ACL)是控制网络访问的一种有利的工具,由一条或多条规则组成的集合。所谓ACL就是一种路由器配置脚本。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 
说的通俗一点,ACL就相当于一个过滤器,规则是过滤器的滤芯。

2、作用

(1)安全性保障

ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。它可以阻止和允许特定流量的流入和流出,防止网络攻击和病毒入侵。

(2)流量管理

ACL可以限制网络流量,提高网络性能。ACL提供对通信流量的控制手段。

(3)访问控制

ACL允许管理员定义详细的访问规则,这些规则可以基于源地址、目标地址、端口号、协议类型等多种条件进行匹配。

(4)灵活性和可扩展性

ACL规则可以根据需要进行添加、修改或删除。大多数现代网络设备都支持ACL功能,并且提供了丰富的配置选项和灵活性。

3、ACL分类

(1)基于ACL规则定义方式的划分

可分为:基本ACL高级ACL二层ACL用户自定义ACL用户ACL。

(2)基于ACL标识方法的划分

则可分为:数字型ACL命名型ACL
用户在创建ACL时可以为其指定编号,不同的编号对应不同类型的ACL。。同时,为了便于记忆和识别,用户还可以创建命名型ACL,即在创建ACL时为其设置名称。命名型ACL,也可以是“名称 数字”的形式,即在定义命名型ACL时,同时指定ACL编号。如果不指定编号,系统则会自动为其分配一个数字型ACL的编号。

(3)基于对IPv4和IPv6支持情况的划分

ACL4:通常直接叫做“ACL”,特指仅支持过滤IPv4报文的ACL。
ACL6:又叫做“IPv6 ACL”,特指仅支持过滤IPv6报文的ACL。
以上两种ACL,以及既支持过滤IPv4报文又支持过滤IPv6报文的ACL,统一称做“ACL”。

4、ACL的使用场景

(1)防火墙安全策略

ACL在防火墙中用于定义安全策略,允许或拒绝特定的网络流量通过。

(2)路由器流量控制

通过配置ACL,可以限制特定用户的带宽使用,确保关键应用的性能,同时防止网络拥塞。

(3)VPN访问控制

在VPN(虚拟私人网络)中,ACL用于控制哪些用户可以访问VPN资源。

(4)数据中心安全

通过使用ACL,可以限制对重要服务器的访问,只允许必要的运维和管理人员访问,并阻止未经授权的访问。

(5)无线网络安全

通过配置ACL,可以限制只有经过认证的设备才能连接到无线网络,并且只能访问特定的网络资源。

(6)应用层访问控制

ACL还可以用于应用层访问控制,如Web服务器、FTP服务器等。

5、ACL的基本原理

(1)ACL由一系列规则组成,通过将报文与ACL规则进行匹配,设备可以过滤出特定的报文。

(2)ACL的组成
ACL由若干条permitdeny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。

三、项目实践

1、基本ACL的基础配置命令

(1)创建基本ACL

[Huawei] acl [ number ] acl-number [ match-order config ]
使用编号(2000~2999)创建一个数字型的基本ACL,并进入基本ACL视图。
[Huawei] acl name acl-name { basic acl-number } [ match-order config ]
使用名称创建一个命名型的基本ACL,并进入基本ACL视图。

(2)配置基本ACL的规则

[Huawei acl basic 2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-range time-name ] 

2、高级ACL的基础配置命令

(1). 创建高级ACL

[Huawei] acl [ number ] acl-number [ match-order config ]
使用编号(3000~3999)创建一个数字型的高级ACL,并进入高级ACL视图。
[Huawei] acl name acl name { advance acl number } [ match-order config ]
使用名称创建一个命名型的高级ACL,进入高级ACL视图。

(2). 配置基本ACL的规则

根据IP承载的协议类型不同,在设备上配置不同的高级ACL规则。对于不同的协议类型,有不同的参数组合。
在高级ACL视图下,通过此命令来配置高级ACL的规则。
当参数protocol为IP时,高级ACL的命令格式为
rule [ rule-id ] { deny | permit } ip [ destination { destination-address destination-wildcard | any } | source { source-address source-wildcard any } | time-range time-name | [ dscp dscp | [ tos tos | precedence precedence ] ] ] 
在高级ACL视图下,通过此命令来配置高级ACL的规则。
当参数protocol为TCP时,高级ACL的命令格式为
rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | source { sourceaddress-source wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | fin | syn } * | time-range time-name ] *

3、基本配置

首先我们先把Fa0/3/0连接起来,把R1关机,单击R1设备,单击“HWIC-4ESW”,在右下角单击图标拖动至上方相应孔槽,再重新开机。

server0配置

RC1配置

PC2配置

PC3配置

R1配置

R1

enable

configure terminal

no ip domain-lookup

no logging on

hostname R1

interface vlan 111

description YanJiuYuan

ip address 192.168.111.1 255.255.255.0

no shutdown

exit

interface gigabitethernet 0/0

no shutdown

ip address 192.168.105.1 255.255.255.0

description SheJiZhongXin

exit

interface gigabitethernet 0/1

no shutdown

description GongChengZhongXin

ip address 192.168.107.1 255.255.255.0

exit

interface gigabitethernet 0/2

no shutdown

description CheShiZhongXin

ip address 192.168.109.1 255.255.255.0

exit

interface fastethernet 0/3/0

description YanJiuYuan

switchport mode access

switchport access vlan 111

exit

write

copy running-config startup-config

2、ACL配置

AR1配置

access-list 110 remark JinZhi GCZX FangWen YJYFTP

access-list 110 deny ip 192.168.107.0 0.0.0.255 192.168.111.0 0.0.0.255

access-list 110 permit ip any any

access-list 120 remark JinZhi CEZX FangWen YJYFTP

access-list 120 deny ip 192.168.109.0 0.0.0.255 192.168.111.0 0.0.0.255

access-list 120 permit ip any any

interface gigabitethernet 0/1

ip access-group 110 in

exit

interface gigabitethernet 0/2

ip access-group 120 in

exit

 3、ping截图

备注:本文部分内容来源于网络,如有侵权请联系本人。

2023计算机网络技术2班梁胜铭
关注
  • 27
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cisco.Packet.Tracer思科模拟器练习题
Cisco Packet Tracer 思科模拟器知识分享
10-03 4694
分享一套思科练习题
思科路由实操
02-26
对于有志于学习网络基础的人来说,掌握思科路由实操至关重要。本篇文章将深入探讨从CCNA(Cisco Certified Network Associate)认证相关的实验攻略,涵盖了一系列重要的网络概念和技术,包括交换机配置、VLAN、VTP、...
ACL访问控制理论+实操详解
weixin_47151643的博客
07-29 6170
ACL访问控制理论加实操详解 文章目录ACL访问控制理论加实操详解前言1.1:访问控制列表1.2:访问控制列表的类型1.3:访问控制列表在接口应用的方向1.4:访问控制列表的处理过程1.5:ACL原理:二:实验拓扑2.1:配置SW12.2:配置路由器R12.3:配置R22.4:配置IP2.5:配置PC的IP需求一:验证全网通信需求二:用ACL标准列表禁止vlan 10和vlan 20通信实验三:用ACL扩展列表禁止AR1访问FTP服务器实验总结: 前言 访问控制列表(ACL)是一种基于包过滤的访问控制技术,
思科模拟器(cisco) 期末大作业交换机综合实践
小火山的博客
06-15 4129
实验要求:1、 按要求连接网络设备,其中两台路由器之间通过串行接口连接。2、将图中左、右二台路由器的名称分别设置为 R1 和 R2,交换机的名称设置为 SW1。3、配置三台服务器:DHCP 服务器、WWW 服务器及 FTP 服务器,如图所示。4.、路由器各接口的 IP 地址、学生机及服务器的 IP 地址及网关配置自行规划,教师机的 IP由 DHCP 服务器分配。5、路由及连通性要求如下:(1)通过配置静态路由或动态路由协议(RIPv2 或 OSPF)实现网络互通。
思科ASR防火墙实操手册
Santiago
06-29 1161
1、防火墙看有什么策略组 # show running-config | include acl --------------- # group name acl_out_to_in 2、查哪个策略组是否有某个ip,如10.21.22.23 # show running-config | include 10.21.22.23 --------------- # permit tcp obje...
动手实操--Cisco Packet Tracer
weixin_51704875的博客
01-08 650
Cisco Packet Tracer。
CCNA-第十二篇-STP+ACL(下)
weixin_48137911的博客
01-13 437
CCNA-第十二篇-STP+ACL(下) 首先说说要跳跳了 立个小FLAG, 两个月内急速完成CCIE理论+LAB实操 因为接了个工作,主要我能做到就能做这份工作. 其实NP中间的点很多都会,只是因为笔记弄不急了, 就放到CSDN上重新复习+学习一次. 下几篇开始就要起飞到CCIE了 后面还有个NAT还有一点SDN的介绍一波 当然CCIE是包含NP阶段的东西,所以- -看后续更新吧 先讲ACL,后面再搞STP ACL Acess Control List(访问控制列表) -策略(什么叫策略呢?) 比如不给这
Cisco 思科路由交换网络设备 安全基线 安全加固操作
dzqxwzoe的博客
02-01 995
账号管理、认证授权 本机认证和授权ELK-Cisco-01-01-01设置特权口令 ELK-Cisco-01-02-01​​​​​​​登录要求 ELK-Cisco-01-03-01日志配置 ELK-Cisco-02-01-01通信协议 ELK-Cisco-03-01-01设备其它安全要求 ELK-Cisco-04-01-01本建议用于Cisco路由器和基于Cisco IOS的交换机及其三层处理模块,其软件版本为CISCO IOS12.0及以上版本。加固前应该先备份系统配置文件。
思科网络中的综合NAT实验
2201_75693008的博客
03-16 1877
要求:实操拓扑如图,由公网和私网构成,私网分为总部LAN和分公司LAN,各网段的网络号标示如图,按要求完成相关配置1、总部LAN和分部LAN分别划分两个VLAN:VLAN10、VLAN202、配置单臂路由,使得同一LAN内不同VLAN之间能够互访3、配置路由协议,使得私网、公网彼此各自独立路由可达。但公网路由不能进入私网,私网路由不能发布到公网4、在边界路由器router0上配置ACL,使得分公司VLAN 10的PC可以访问总部网络,而VLAN20的PC只能访问总部的服务器。
cisco-GNS3-pix防火墙基本配置实操(持续更新)
zwish的信安之路
04-01 4531
一、ASA和PIX基础配置 1、ASA防火墙配置 1、GNS配置 因为使用的GNS3的版本可能不同,gns配置asa防火墙的步骤可能不同 在低版本的gns中直接在qemu选项里可以直接配置,参考:https://blog.51cto.com/dldxzjr/1905682 在高版本的gns中配置可以参考:https://wenku.baidu.com/view/8934accc48649b6648...
Cisco 3560配置详解
03-29
4. 交换机的启动及基本配置案例则提供了一个从零开始配置交换机的实操范例。 5. 在交换机的端口和MAC地址表的设置部分,学习如何管理端口和维护交换机的MAC地址表。 6. VLAN配置是交换机配置中最重要的部分之一,...
3.Cisco小实验 VLAN、VTP、DHCP、OSPF、NAT综合
01-16
根据文件信息,我们将详细介绍Cisco小实验中涉及到的关键知识点,包括VLAN、VTP、DHCP、OSPF以及NAT的配置和功能,以及如何将它们综合运用以实现内网用户访问外网的目标。 ### VLAN(虚拟局域网) VLAN是网络管理...
Cisco路由模拟器
04-23
8. **Cisco认证考试准备**:对于想要获得Cisco认证的用户,模拟器是理想的复习工具,能够帮助他们熟悉考试中的实操部分。 在压缩包文件中,"YDT-RouteSim.exe"很可能是模拟器的主程序,用户需要安装运行。"sim.ini...
CCNA的全套标准实验
08-17
本资源"CCNA的全套标准实验"是针对CCNA考试精心设计的一系列实践练习,旨在帮助考生增强实际操作技能,理解网络概念,并准备应对考试中的实操部分。 实验是学习网络技术的重要环节,因为它们使理论知识得以应用,...
MPLS相关实验
2302_78454622的博客
08-20 580
4、R1上使用静态,R7上运行rip协议,R8上运行ospf协议。3、在R2、R3、R4、R5、R6上运行MPLS。2、R3、R4、R5、R6运行ospf。1、合理利用IP地址进行分配。一、实验拓扑图以及实验要求。一、实验拓扑图以及实验要求。
哪些类型的企业需要开展TPM管理培训?
tianxingjian713的博客
08-23 726
例如汽车制造企业、电子制造企业等,这些企业的生产线通常由大量高精度的自动化设备组成,一旦设备出现故障,可能会导致整个生产线停产,造成巨大的经济损失。开展TPM管理培训可以提高员工对设备的维护和管理能力,延长设备的使用寿命,降低设备维修成本,提高物流服务的效率和质量。通过开展TPM管理培训,让设备操作人员、维护人员和管理人员共同参与设备维护,实现设备的零故障运行,从而提高企业的竞争力。通过开展TPM管理培训,让员工了解设备的运行原理和风险点,加强设备的日常巡检和维护,提高设备的安全性和可靠性。
系统编程 网络 http协议
最新发布
qq_69971969的博客
08-24 351
--------------------------------------表示了资源所在的路径。意思:域名解析=>把对应的域名解析为对应的ip。<协议>://<主机>:<端口>/<路径>万维网:http解决万维网之间互联互通。http:应用层协议,底层是tcp协议。http协议------应用层的协议。1.如何在万维网中表示一个资源?http协议加密:tls,ssl。计算机web端网络只能看到文字。<http>只是协议的一种。html 超文本标记语言。http 超文本传输协议。
2024年入职/转行网络安全,该如何规划?_网络安全职业规划
2401_85023531的博客
08-23 1013
前段时间,知名机构麦可思研究院发布了《2022年中国本科生就业报告》,其中详细列出近五年的本科绿牌专业,其中,信息安全位列第一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值