ACL配置

已于 2024-01-18 19:40:02 修改
阅读量410 收藏 7
点赞数 10
分类专栏: HCIA 文章标签: 网络
于 2024-01-18 12:44:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_81167603/article/details/135671408
版权
本文详细介绍了访问控制列表(AccessControlList,ACL)在路由器中的应用,包括标准ACL和扩展ACL的匹配规则、配置方法以及在思科和华为设备中的差异。重点讲解了IP地址、协议和端口号的匹配,以及如何配置远程登录服务如telnet。
摘要由CSDN通过智能技术生成

ACL:访问控制列表

  1. 在路由器流量进或出接口上,匹配流量产生动作-- 允许 拒绝 (访问限制)
  2. 定义感兴趣流量--- 匹配流量后,将流量提交给其他的协议进行策略

匹配规则:

至上而下逐一匹配,上条匹配按上条执行,不再查看下条;

在思科系设备中,表格末尾含义一条拒绝所有的规则;

在华为系设备中,表格末尾含义一条允许所有的规则;

分类:

  1. 标准ACL --- 仅关注数据包中的源ip地址;
  2. 扩展ACL ---  关注数据包中的源、目标ip地址,同时可以再关注协议号或目标端口号

配置命令:

【1】标准ACL --- 由于其仅关注数据包中源ip地址,因此到调用时应该尽量的靠近目标,避免误删除流量;

[r2]acl 2000  创建ACL列表2000   2000-2999为标准ACL,一个编号为一张大表   

[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

[r2-acl-basic-2000]rule  permit source  192.168.3.0 0.0.0.255

[r2-acl-basic-2000]rule  deny source  any

在编辑具体时,使用通配符进行匹配;通配符和OSPF的反掩码匹配规则一致,但区别在于通配符支持0和1混编

[r2]display  acl 2000

编写时,协议自动以5为步调添加序列号,便于删除和插入;

[r2-acl-basic-2000]rule 7 permit source 192.168.2.0 0.0.0.255  使用序列号插入

[r2-acl-basic-2000]undo rule 7    删除

只有到ACL被调用后,方可工作,在路由器的流量进或出接口调用;一个接口的一个方向上只能调用一张表

[r2]interface g0/0/1

[r2-GigabitEthernet0/0/1]traffic-filter ? 调用时,一定注意方向

  inbound   Apply ACL to the inbound direction of the interface

  outbound  Apply ACL to the outbound direction of the interface

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

【2】扩展ACL -- 由于扩展acl精确匹配目标和源,故调用时尽量靠近源

1、仅针对源、目标ip地址

[r1]acl 3000  编号3000-3999为扩展列表

[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

[r1-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[r1-acl-adv-3000]rule deny ip source  192.168.1.3 0.0.0.0 destination  any

                    协议      源ip地址             目标ip地址

无论源还是目标ip地址的部分,均可使用通配符匹配一个ip或一个范围或any;                 

[r1]interface g0/0/0

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

2、针对源、目标ip地址,加目标端口号

目标端口号用于对应具体的服务协议,比如我访问http服务器时,目标ip地址为该服务器ip,传输基于TCP,目标端口为80号;在访问该服务器时,若目标端口修改为21,那么实际该访问该服务器FTP服务;---访问相同目标ip地址,但不同的目标端口,实际在访问不同的服务了

[r1-acl-adv-3002]rule  deny  tcp source 192.168.1.4 0 destination 192.168.1.1 0 destination-port eq 23

                                                               协议    源ip       目标ip           目标端口号

限制源ip地址192.168.1.4对目标ip地址192.168.1.1,同时传输层协议为tcp,且目标端口号为23的流量;

[r1-acl-adv-3003]rule deny icmp source  192.168.1.4 0 destination 192.168.1.1 0

限制源ip地址192.168.1.4,对目标ip地址192.168.1.1的icmp访问--限制ping

Telnet 远程登录:用于终端设备远程登录网络设备,在线进行配置和管理;

Telnet 服务基于TCP23号端口工作;也就是说在访问目标ip地址时,若传输层使用tcp,且目标端口号23,那么便是在进行telnet登录

开启网络设备的远程登录:

  1. 登录与被登录设备ip可达
  2. 被登录设备设置了登录的账号秘钥

[r1]aaa    进入aaa服务,该服务用于管理账号信息  

[r1-aaa]local-user panxi privilege level 15 password cipher 123456

                账号            权限                 秘钥

[r1-aaa]local-user panxi service-type telnet   定义账号功能

[r1-aaa]q

[r1]user-interface vty 0 4  再在VTY(远程登录虚拟接口)上调用aaa服务

[r1-ui-vty0-4]authentication-mode aaa

<r2>telnet 192.168.1.1

路由器策略ACL配置
悦分享
07-09 7488
ACL能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具。ACL还能够用于匹配路由条目。说了这么多,那么ACL到底是什么呢?ACL是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类。
高级ACL配置
weixin_50339233的博客
05-21 5671
搭建top PC1配置IP PC2配置IP Server1配置IP Server2配置IP R1的配置 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1]ip add 10.1.1.254 24 初始情况下PC1和PC2都能够访问server1和server2 一.
锐捷ACL配置
qq_69886306的博客
07-21 2145
ACL(Access Control List)访问控制列表是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行控制, 允许其通过或丢弃。本文要点:ACL的类型基础ACL(standard)也称标准ACL,只能基于源IP进行定义和过滤。数字命名范围为1-99。扩展ACL(extended)可以基于源IP、目的IP、ICMP、TCP、UDP等一系列方式过滤,此次只用得上源IP和目的IP的过滤方式,也比较容易理解,比较简单,其他的就不讲了。其他的ACL就不讲了,这里也用不上。
acl配置
安静的一个人
07-18 4159
1 配置 基本acl配置案例 配置基本acl步骤 配置规则生效时间段 执行命令system-view,进入系统视图。 执行命令time-rangetime-name{start-timetoend-time{days} &<1-7> |fromtime1date1[totime2date2] },创建一个时间段。 创建基本ACL 执行命令acl{ [n...
标准ACL配置
傻傻的心动的博客
04-29 3226
/配置标准ACL后,PC1无法访问PC2。//在Se0/0/0接口入方向应用ACL。#禁止192.168.2.0/24访问。//启用标准ACLACL编号为50。//允许其他任何网段访问。掌握标准ACL配置。实验拓扑如图1所示。(1)R1的基本配置。//配置静态路由协议。(2)R2的基本配置
扩展ACL配置
傻傻的心动的博客
05-01 1780
扩展ACL配置 【实验目的】 掌握扩展ACL配置。 认识扩展ACL的作用。 验证配置
Ensp的ACL配置
Xi522688的博客
06-17 1244
(Access Control List)是一种用于网络设备或操作系统上访问权限的列表。ACL可以应用于网络设备,如路由器或交换机,用于限制网络流量和授权特定用户对某些资源的访问。它可以基于源IP地址、目标IP地址、端口号、传输协议等参数来定义访问规则。ACL可以通过允许或拒绝某些流量来保护网络安全。ACL也可以应用于操作系统中,用于限制用户或组对文件、文件夹、注册表项等资源的访问权限。它可以通过允许或拒绝特定操作(如读取、写入、执行)来控制用户的权限。
ACL配置案例
m0_67362399的博客
03-05 973
思路是用简单acl,在G4的角度看待源ip和目的ip,用outbound,此时研发部、总裁办和云网络都是属于源ip,财务部是属于目的ip。只允许总裁办进来,拒绝其它任何源ip,用上了基本acl的any。此处用AR2代替云,配置了1.1.1.1/24的网关地址,实际上互联网是没有ip地址的。出现此提示不要慌,是因为之前在G4接口配置了outbound和inbound,路由器的一个接口上只能在出入方向各使用一个acl列表,所以要删掉之前的配置。复杂acl是一定要加上ip或者tcp的,简单的则不用。
交换机ACL配置
eys_open的博客
11-11 4647
数据库查询语句和代码–针对节能策略添加设备 truncate table ac_device_s select * from ac_device_s for update select * from ac_control_strategy where AC_STRATEGY_NAME like’%温州%’ for update select * from sys_device_type where device_type_name like ‘%空调%’; update ac_control_strate
第八次实验ACL配置实验.docx
05-17
ACL 配置实验报告 本实验报告的主要目的是了解并掌握路由器上的标准 ACL 配置,实现网段间互访的安全控制。通过本次实验,我们可以深入理解包过滤防火墙的工作原理,并掌握路由器上的标准 ACL 规则及配置。 一、...
华为s5700vlan划分和acl配置命令.docx
09-11
### 华为S5700交换机VLAN划分与ACL配置详解 #### 一、华为S5700交换机简介 华为S5700系列交换机是一款多功能、高性能的企业级接入层交换机,支持多种管理和安全特性,如IPv6、PoE+、集成Wi-Fi等,适用于中小型企业...
H3C路由器基本ACL配置案例.doc
12-15
H3C路由器基本ACL配置案例
华为ACL配置.zip
03-08
解压后的文件“华为ACL配置”应该包含网络设备的拓扑结构图,显示了设备间的连接关系,这对于理解流量如何在不同设备间流动至关重要。同时,设备代码部分提供了具体的ACL配置命令,可以复制到华为设备的CLI(命令行...
第六章传输层协议、ACL
2401_86349554的博客
11-05 848
第六章传输层协议、ACL
防火墙|WAF|漏洞|网络安全
qq_43777616的博客
11-06 807
防火墙|WAF|漏洞|网络安全
网络安全(黑客技术)2024年三个月自学手册
2401_85026116的博客
11-05 1161
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
06 网络编程基础
最新发布
Elaine2391的博客
11-07 1026
如果客户端发送的数据没有明确的结束标记,服务器可能会一直等待更多的数据,而客户端则可能因为没有收到响应而卡住。System.out.println("======以下代码是读取响应的结果======");通过这些方法,你可以确保客户端和服务器之间的通信具有明确的数据边界,避免因缺少结束标记而导致的问题。客户端收到服务器的SYN+ACK包后,发送一个ACK(确认)包,确认收到服务器的SYN+ACK包。System.out.println("接收到的数据报:" + message);
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

보고.싶다

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值