ACL协议的配置原理

最新推荐文章于 2024-07-10 00:08:19 发布
最新推荐文章于 2024-07-10 00:08:19 发布
阅读量559 收藏 2
点赞数
文章标签: 智能路由器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Breeze_nebula/article/details/131074444
版权

ACL原理及作用

概述:

ACL就是访问控制协议,访问控制列表

访问控制列表:应用在路由器接口的指令列表,用来告诉路由器那些数据包可以接受,那些不接收,要拒绝

基本原理:ACL使用数据包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包中的数据,如:源地址、目的地址、源端口、目的端口等,根据原先的规则对包进行过滤,从而达到访问控制的目的,

        ACL通过路由器接口处控制是转发还是丢弃数据包来过滤通信信息,而路由器根据ACL中指定的条件来检测通过路由器的数据包从而决定是否转发还是丢弃,该数据包

作用:主要是为了控制网络安全和网络服务质量 

           ACL可以实现对网络中报文的精准控制,达到控制网络访问行为,防止网络攻击,确保网络安全,减少了网络占用,提高网络带宽利用率,从而就保障了网络环境的安全性和网络质量的可靠性

ACL访问控制列表的作用:

决定流量能不能通过,通过=>放行,不通过=>丢弃

注意:虽然划分了VLAN,但不是流量控制,只是单纯划分了广播域,而三层交换机或则单臂路由器还可以实现不同VLAN之间的通信

用来对数据包做访问控制(丢弃或放行),结合其他协议匹配范围,通过传输层协议TCP UDP ACL,或则控制协议的流量是否通过,

ACL可以配置可以配置多条策略,根据报文来进行匹配区分

ACL编号:

2000~2999:基本ACL,只能匹配原IP地址

3000~3999:高级ACL,可以匹配源IP地址、目标IP地址,源端口、目标端口,七层模型中三层和四层协议字段,ICMP、TCP、 UDP

4000~4999:根据数据包源MAC地址和目标MAC地址,802.lq优先级,二层协议,(了解即可)

其中,基本ACL用在靠近目的地的地方,而高级ACL则尽量用在靠近源的地方,保护带宽,(具体情况需要是情况而定),选择线路中的最优解

配置多条策略匹配原则:

  1. 如果禁止数据通过,则会BAN掉进口数据,不会BAN掉出数据,
  2. 有则匹配,无则放通
  3. 有多条的话,匹配一条(后续相同的将不在匹配)

通配符

概述:通配符是一个32比特长度的数值,用于指示IP地址中,那些比特位需要严格匹配,那些比特位无需匹配

通配符通常采用类似网络掩码的点分十进制形式表示,但是含义却与网络掩码完全不同

比方说:当进行IP地址匹配的时候,后面会跟着32位掩码位,这个32位称为通配符。        

 匹配规则:“0"表示严格匹配,”1”表示随机分配

有个特殊的通配符:

当通配符全为零,来匹配IP地址,表示精确匹配某个IP地址

当通配符全为”1“,来匹配0.0.0.0地址时,表示匹配了所有IP地址

例如:192.168.1.0/24转换成二进制

二进制为:11000000.10101000.00000001.00000000

前三段为严格匹配的,确认位,是“0”,写死的,第四段为随机位是“1”

最后8位可变反掩码为:00000000.00000000.00000000.11111111,转换成十进制为;0.0.0.255

如果前面是IP地址,后面跟着0        如果前面是网段,后面跟着0.0.0.255

例题:192.168.1.0/24换成二进制,匹配奇数1.3.5.7.9

11000000.10101000.00000001.00000000   192.192.1.0

11000000.10101000.00000001.00000011    192.168.1.3

11000000.10101000.00000001.00000101     192.168.1.5

11000000.10101000.00000001.00000111      192.168.1.7

由此可得,都是1是固定的,固定位是0,匹配所有最后八位是11111110转换十进制为254,

通配符为:0.0.0.254

192.168.3.30 子网掩码 是写死的、固定的, 所以为:192.168.3.30/0

例题2:192.168.233.0 /24所以偶数匹配

前三字段固定,所以为0.0.0         

最后一段中,确定固定位是最后一位不变。所以最后八位是11111110

反掩码为:0.0.0.254

“0”为固定不变,“1”为随机变化

ACL相关命令:

基本ACL命令:

acl number 2000:创建acl2000

rule 5 deny source 192.168.10.1.0:拒绝源地址为:192.168.10.1的流量(地址后面的”0“代表仅此一台,5是序号,可不加)

traffiter iutbound acl 2000接口方向调用acl。(outbound 代表出口,inbound代表进入方向入口)

rule permit source 192.168.1.0 0.0.0.255:     permit代表允许,source代表源 掩码部分为反掩码

rule deny source any: 拒绝所有访问,(any 代表所有0.0.0.0 255.255.255.255)

interface GigabitEthernet0/0/1:进入接口

高级ACL格式

rule deny icmp source 192.168.10.10 0 destination 192.168.0.20 0:禁止192.168.10.10 0 ping 192.168.0.20 0

rule deny tcp source 192.168.10.10 0 destination 192.168.40.40 0 destination-port eq 80:禁止192.168.10.10 0访问192.168.40.40 0的端口80 服务

traffic-filter inbound acl 3000:在接口入口方向应用ACL

undo traffic-filterin bound:在接口取消ACL的应用

display acl 3000:显示ACL配置

题目:

配置步骤

 

 

 配置二

 

微※风
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ACL原理配置
赵忠强
08-28 2980
1.ACL的简介 2.ACL的作用 3.ACL的调用方向 4.ACL的处理过程原则 5.ACL的类型 6.ACL配置 1.ACL的简介 ACL——访问控制列表(Access Control list,ACL)是应用在路由器接口的指令列表(即规则),它读取的是TCP/IP五层模型的第三层、第四层的报文头信息,根据预先定义好的规则对报文进行过滤。 IP数据报报文结构 TCP报文结构 ACL根据IP报头中的源地址、协议号、目标地址和TCP报头中的源端口、目标端口这5个元素来定义规则 ..
ACL——协议
潇潇雨歇
04-15 3441
系列文章目录 一、ACL的概念 二、ACL的分类和应用 三、ACL的匹配和通配符 一、ACL的概念 **1、**访问控制列表ACL 是由一系列permit或deny语句组成的、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类; **2、**ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调用ACL来进行报文过滤) , ACL只是一个匹配用的工具; **3、**ACL除了
ACL—访问控制协议
m0_60360828的博客
08-28 1780
目录 一、ACL的定义 1、ACL的分类 2、访问控制列表的处理原则 1、访问控制列表的调用方向 2、访问控制列表的处理原则 二、标准访问控制列表 1.配置二层交换机 2.配置网关 3.创建标准访问控制列表 4、接口调用列表 5.测试 三、扩展访问控制列表 1、配置路由器 2、测试连通性 3、创建扩展访问列表 4、调用列表 5、测试 总结 一、ACL的定义 ACL—访问控制列表,它是一个读取三层、四层头部信息,根据预先定义好的规则对流进行筛选,过滤。就是你事先先定..
ACL 访问控制协议
joker_Kang的博客
06-07 704
当数据包从接口经过时,由于接口启动了ACL,此时路由器会对报文进行检查,然后做出相应的处理。二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息指定规则。高级ACL(3000-3999):可以匹配源IP,目标IP,源端口、目标端口等三层和四层的字段和协议。应用场景:1、匹配IP流量 2、根据指定的协议阻止指定的端口 3、可以匹配多条策略。高级ACL,尽量在靠近源的地方(可以保护带宽和其它资源)匹配到第一条之后,后续相同的不再匹配。
八、常用网络协议与应用——ACL
积累
04-02 1563
ACL :access control list 访问控制列表,用于数据包的访问控制。
ACL原理
qq_61855329的博客
06-07 221
3000-3999:高级ACL,既可以匹配源ip,目标ip,还可以匹配源端口号和目标端口号,还有三层和四层的协议字段。vlan划分虽然可以做到广播域划分,却做不到流量控制,一些时候我们希望流量可以单项通过,或者筛选指定网段甚至指定ip地址的流量,这时候就需要ACL控制协议。其中最后一位0就是通配符,通配符是一个32比特长度的数值,用于指示ip地址中哪些位置需要严格匹配,哪些位置无需匹配。4000-4999:二层ACL,可以根据数据包的源mac地址,目的mac地址,802.lq匹配。2,根据报文进行匹配。
SNMP协议原理配置
12-30
SNMP(Simple Network Management Protocol,简单网络管理协议)是一种广泛应用于网络设备管理...总的来说,SNMP协议网络管理的基础工具,通过理解其原理和正确配置网络管理员能够高效地管理和维护复杂的网络环境。
网络工程实验 配置扩展ACL
12-15
扩展 ACL 可以根据配置的规则对网络中的数据进行过滤,对数据包的源 IP 地址、目的 IP 地址、协议、源端口、目的端口进行检查,从而达到访问控制的目的,提高网络安全性。 在本实验中,我们将使用扩展 ACL 实现以下...
ACL配置实验.pdf
10-31
本实验主要学习了访问控制列表(ACL)的配置和应用,了解包过滤防火墙的工作原理,並实践了标准ACL和扩展ACL配置。 一、实验目的: * 深入理解包过滤防火墙的工作原理 * 了解标准ACL和扩展ACL配置和应用 二、...
acl基本配置2练习2包括三层交换机的应用
04-04
**网络工具**如Cisco Packet Tracer或GNS3等可以帮助模拟和测试ACL配置,提供一个安全的环境来实践和理解ACL的工作原理。 在文件"acl2"中,可能包含了更详细的配置示例和练习,用于加深对ACL和三层交换机应用的理解...
ensp配置acl高级配置访问控制列表
03-27
ENSIM(Enterprise Network Simulation Platform)是华为推出的一款网络仿真软件,它允许用户在虚拟环境中配置和测试各种网络设备和协议,包括ACL。在“ensp配置acl高级配置访问控制列表”这一主题中,我们将深入...
ACL和NAT协议
Smile x
03-18 472
目录 一、访问控制列表 1.访问控制列表 2.访问控制列表在接口应用的控制方向 3.访问控制列表的处理过程 二、ACL协议 1.ACL的作用 2.ACL工作原理 3.ACL种类 4.ACL(访问控制列表)的应用原则 5.ACL应用规则 6.ACL配置方法 三、NAT协议 1.NAT 2.静态NAT的作用 3.动态NAT的作用 4.NAT的工作原理 5.NAT功能 6.NAT功能优缺点 7.NA
网络ACL原理配置
m0_70893463的博客
06-06 5185
3000-3999 高级acl,可以匹配源ip和目标ip、源端口和目标端口、三层和四层的协议字段(三层:icmp,arp。四层:udp,tcp)虽然划分了vlan,但是不是流量控制,只是单纯的划分了广播域,而且通过三层交换机或者单臂路由还能实现不同vlan之间的通信,要求1:允许pc1访问pc3 pc1访问192.168.2.0/24(pc1能ping通pc3,其他pc不能)所以最后一位都是1是固定的,固定的位置是0,前面的都会变,所以结果是11111110 十进制为254。
ACL原理配置
a319569016的博客
06-07 1000
意为只允许192.168.1.30 0的网络和文件传输协议访问192.168.3.20 0的网络的www服务(服务的端口号为80,所以指令后面的80指的是服务端口号)这里的destination-port指的是指向服务端口号。如果先不让所有IP通过,然后允许特定网络通过,那么允许特定网络通过的指令优先级一定要比不让所有网络通过的优先级高才能实现。默认值5为ACL的步长。如果在没有任何操作的情况下,ACL的基础值默认是5,然后成倍的增加。ACL是由一系列permit语句和deny语句组成的,有序规则的列表。
ACL协议
qq_41245301的博客
05-23 3157
ACL:Access Control LIst 1.ACL是一种包过滤技术 2.ACL基于IP包头和IP地址,四层TCP/UDP包头的端口号,基于三层和四层过滤 3.ACL路由器配置,也可以在防火墙上配置(一般称为策略) 4.ACL主要分为2大类:标准ACL和扩展ACL 5.标准ACL: 表号:1-99 特点:只能基于源IP对包进行过滤 命令:conf t access-list 表号 permit/deny 源IP或源IP网段 反子网掩码 反子网掩码作用:用来匹配,与0对于的需要严格匹配,与1对应的忽
思科ACL不连续通配符掩码的计算 (转)
weixin_34149796的博客
12-30 457
转载的~~~前天在帮客户梳理nat转换时,发现一个有趣的配置,发上来供大家学习。 access-list 120 permit ip 10.0.0.0 0.0.0.191 any这条ACL看似简单,却又复杂,因为正常我们见到的通配符掩码都是诸如0.0.0.255(255...
ACL的基本原理配置
ll945608651的博客
02-10 7033
ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。
三级_网络技术_12_路由设计技术基础
最新发布
2301_80961833的博客
07-10 992
0、4、4、31、3、3、32、2、3、231、3、4、3、10、4、4、2、21、3、4、32、3、4、14、4、55、4、31、1、3、12、2、1、20、4、4、2、20、5、4、2、10、5、4、3、10、4、4、3、20、3、4、3、10、3、4、30、4、4、30、5、4、30、4、4、3、20、5、4、3、10、4、4、30、5、4、30、5、4、3、10、4、4、3、21、2、3、32、1、3、231。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值