ACL技术

最新推荐文章于 2024-04-24 08:51:25 发布
最新推荐文章于 2024-04-24 08:51:25 发布
阅读量120 收藏
点赞数
文章标签: 网络 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NBbabay/article/details/130175980
版权

一、ACL功能

访问控制列表---数据流的抓取和匹配

访问控制:ACL+packet_filter(数据包抓取)

路由控制:ACL+Route-policy(路由策略)

流量控制:ACL+QOS(服务质量)

二、ACL组成

组成:由若干条允许或者拒绝的规则组成

rule 1 deny source 192.168.1.0 0.0.0.255(反掩码/通配符)

规则的ID的来源:ID范围:<0-4294967294>

手工配置:

自动生成:编号从5开始,是5的倍数,比如:0、5、10、15、20

三、ACL分类

1、基本ACL:2000-2999 Basic access-list 只关心数据的源地址,容易出现误伤

2、高级ACL:3000-3999 Advanced access-list 精确匹配,数据五元组(源IP、目标IP地址、协议、

源端口、目标端口)

3、二层ACL:4000-4999 源MAC、目标MAC地址、协议

4、基于IPv6的ACL

5、命名的ACL :name

四、匹配机制

1、数据包到达接口后,会被检查,是否设置了ACL规则,如果设置了,就按ACL规则执行,如果没有设置就正常转

2、按照ACL的编号从上至下逐一匹配,直到有与之匹配规则出现

3、所有规则都不匹配,则执行默认动作,默认允许则允许,默认拒绝则丢弃

练习1:

rule permit source 192.168.1.1 0.0.0.0

rule deny source 192.168.1.0 0.0.0.255

练习2:

rule deny source 192.168.1.0 0.0.0.255

rule permit source 192.168.1.1 0.0.0.0

练习3:拒绝所有人去访问192.168.10.1

rule deny ip source any destionation 192.168.10.1

练习4:拒绝192.168.1.1去访问任何人

rule deny ip source 192.168.1.1 destionation any

练习5:允许192.168.1.0去访问任何人

rule permit ip source 192.168.1.0 destionation any

五、ACL实验

 

二、实验需求

1、全网互通;

2、PC1可以访问Telnet R1,不能ping R1

3、PC1不能访问Telnet R2,但可以ping R2

4、PC2和PC1相反

三、实验步骤

1、配置IP地址,实现全网可达

R1

[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24

[R1-GigabitEthernet0/0/1]ip add 192.168.2.1 24

R2

[R2-GigabitEthernet0/0/0]ip add 192.168.2.2 24

[R2]ip route-static 192.168.1.0 24 192.168.2.1

PC1

[PC1-GigabitEthernet0/0/0]ip add 192.168.1.10 24

[PC1]ip route-static 0.0.0.0 0 192.168.1.254

PC2

[PC2-GigabitEthernet0/0/0]ip add 192.168.1.11 24

[PC2]ip route-static 0.0.0.0 0 192.168.1.254

2、配置Telnet

R1

[R1]aaa

[R1-aaa]local-user wangdaye privilege level 15 password cipher wdy12345

[R1-aaa]local-user wangdaye service-type telnet

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-mode aaa

R2

[R2]aaa

[R2-aaa]local-user zhangdaye privilege level 15 password cipher zdy12345

[R2-aaa]local-user zhangdaye service-type telnet

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

3、配置ACL

[R1]acl 3000

[R1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.2.1 0.0.0.0

[R1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0

[R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

[R1-acl-adv-3000]rule deny tcp source 192.168.1.11 0.0.0.0 destination 192.168.2.1 0.0.0.0 destination-port eq 23

[R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23

[R1-acl-adv-3000]rule deny icmp source 192.168.1.11 0.0.0.0 destination 192.168.2.2 0.0.0.0

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

柒玖zzz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ACL技术学习
12-02
PTN技术系列培训 -ACL技术,向对交换芯片ACL技术有所了解的可以看一下
ACL详解
享你所想
12-22 5325
就比如说做流控,不是说不让访问,可以访问,但要对流量、速度等做一些限制,遇到这样的情况,光靠这两种动作是无法实现这个功能的,所以,ACL在某些情况下只做第一件事 --- 只抓取流量,但不去做动作。某些设备配置了ACLACL中声明了一些匹配规则,通过这个规则来匹配一些流量,对匹配到的流量再执行相应的动作,即,提前设定好了怎么处理这些流量,比如说,是让它访问还是不让访问,从而就实现了控制的功能。---- 通过telnet管理路由器 ---- 通过web界面管理路由器 ---- 通过SNMP协议进行设备管理。
路由工具之路由策略router-policyacl列表与ip-prefix前缀列表的区别、过滤列表filter-policy
Hades_Ling的CSDN博客
01-29 5380
前缀列表能够同时匹配IP地址前缀以及掩码长度,列表默认动作为拒绝。ACL访问控制列表,即用于流量的匹配与控制,但也能够用于匹配路由条目。而前缀列表主要用于路由的匹配,所以前缀列表在匹配路由上远胜于ACL。路由策略,即对路由相关属性进行修改。而对于另一种技术:策略路由,即作用是直接控制路由。export:应用于本身路由器,对传递出去的路由进行过滤。import:应用于本身路由器,对接收到的路由进行过滤。关于export方向,只能在ASBR设备上应用过滤5类的路由条目。关于import方向,可以应用在任何路
route-policyACL、ip-prefix组合时permit和deny的作用
最新发布
更多内容查看博客描述。
04-24 2287
分析:1.1.0.0和1.1.1.0这两条路由,在route-policy的节点10上是permit,在ACL上也是permit,所以允许通过;分析:对于route-policy节点10,上边已经分析,1.1.0.0和1.1.1.0被允许通过,1.1.2.0这条路由在节点10被拒绝通过,但是会继续匹配下一个节点,在节点20被允许通过。,对于这种路由,在本节点被拒绝,会到下一个节点进行匹配,因为节点20是是空的,所以1.1.2.0会被允许通过,其他没有被ACL2001匹配的路由会被空节点20匹配通过。
acl、ip-prefix与router-policy
oBarryChen的博客
02-27 1814
acl、ip-prefix与router-policy 原创一只小白杰 最后发布于2018-03-14 16:19:15 阅读数 3659 收藏 展开 acl number 2001                              &nb...
route-policyACL组合时permit和deny的作用
weixin_33759269的博客
09-27 4672
Route-policy 实验一、 拓扑拓扑中的路由器,左边运行着RIP,右边运行着OSPF。在R2上做重分布,将RIP路由引入OSPF,并进行控制二、 在R2上做重分布,并且做route-policyR2:ospf 110 router-id 2.2.2.2 import-route rip 1 route-policy liuqingroute-policy为perm...
Route-Policy 路由策略 规则详解
热门推荐
yiluyangguang1234的专栏
07-14 4万+
ROUTE-POLICY 路由策略 规则详解  在实际工程中经常用到route-policy的情况,下面对route-policyACL的详细匹配规则做以说明:  一、 标准访问列表:  #  acl number 2000    rule 0 permit source 192.168.1.0 0.0.0.255  此类ACL用于route-policy时做前缀匹配,即路由条目
使用ACL技术网络安全策略研究及应用 (2009年)
05-14
介绍了 ACL技术的基本原理、主要功能以及路由器 上ACL的配置和访问原则,并以一个实际的网络拓扑为例,详细分析了如何使用 ACL技术来实现网络安全问题的防范,给 出了相应安全策略的关键配置代码。
ACL技术网络安全中的应用.pdf
09-20
ACL技术网络安全中的应用 ACL(Access Control List,访问控制列表)是一种被广泛应用在路由器和三层交换机上的访问控制技术。它能够对数据包进行过滤和控制,从而实现对网络访问的安全控制。本文将详细介绍ACL...
ACL技术文档(浅显易懂)
05-21
在本文中,我们将深入探讨ACL的基本概念、匹配规则以及实际应用,帮助你理解并掌握这一重要技术。 首先,我们来初步认识ACLACL是一系列预定义的规则集合,这些规则基于特定的条件(如源IP地址、目的IP地址、端口...
ACL技术文档续
08-10
这是上篇文档的续,ACL的知识点很多,在此,给大家一个初步了解ACL的文档;ACL是访问控制列表,主要是它的应用很是复杂和重要,希望能给大家的学习带来帮助。
使用Filter-policy Route-policy ACL 实现对RIP路由发布的控制
yiluyangguang1234的专栏
10-16 3186
1. 试验目的 加深 对 Filter-policy 与 Route-policy ACL 理解 R1 上配置  acl number 2000  step 10  rule 2 deny source 1.1.1.0 0.0.0.255   rule 5 permit source 1.1.0.0 0.0.255.255 // 这条策略包含rule 2,如没有rule2 则1.1.
1. ACL策略(ACL权限)及案例分析
weixin_45655356的博客
11-14 2970
ACL策略(ACL权限) 文档归属的局限性 任何人只属于三种角色:属主、属组、其他人 无法实现更精细的控制 acl访问策略 能够对个别用户、个别组设置独立的权限 大多数挂载的EXT3/4、XFS文件系统默认已支持 setfacl命令 – 格式:setfacl [选项] u:用户名:权限 文件… setfacl [选项] g:组名:权限 文件… 常用命令选项 – -m:定义一条ACL策略 – -x:清除指定的ACL策略 – -b:清除所有已设置的ACL策略 – -R:递归设置ACL策略 [ro
基本权限和归属 附加权限 ACL策略管理
Yosigo_的博客
03-09 410
· 基本权限和归属 · 附加权限 · ACL策略管理 基本权限与归属关系 root 用户有最高权限,无视所有权限,可以修改权限 基本权限 读取 : 允许查看内容 - read 利用 r 表示 写入 :允许修改内容 - write 利用 w 表示 可执行 :运行运行和切换 - excute 利用 x 表示 对于文本文件 读取权限(r) :cat 、head 、tail 、 less 、 grep 写入权限(w) :
H3Croute-policy+ACL 使用注意事项
weixin_34279246的博客
03-17 1482
在实际工程中经常用到route-policy的情况,下面对route-policyACL的详细匹配规则 route-policy 有permit 和deny两种 情况 ,ACL的rule 也有permit 和deny两种 情况, 最常见的就是用 route-policy 的permit +ACL deny 和route-policy 的permit +ACL ...
ACL权限基本知识及操作
Aizwz的博客
04-25 1万+
ACL权限 ACL权限在什么情况下使用(个人理解): 当要给一个用户与文件属主、属组、其他人权限都不相同的时候使用,也就是说,这个用户对于这个文件不属于三种身份的任何一种,是属于第四种身份,那么我们就需要使用ACL权限去给他赋予单独的权限。 设定ACL权限 命令:setfacl 选项 文件名 选项: -m 设定ACL权限。 -x 删除指定的ACL权限。 -b 删除所有的ACL权限。 -...
consul ACL配置使用
天生我才必有用!
01-23 1万+
转自:https://www.xiaomastack.com/2016/06/11/cousnl-acl/ consul自带ACL控制功能,看了很多遍官方文档,没有配置步骤https://www.consul.io/docs/internals/acl.html 主要对各种配置参数解释,没有明确的步骤,当时唯一疑惑的是怎样生成ACL规则。看了很多相关的blog都是相似的内容,都是
华为:路由策略与ACL
congwei5106的博客
04-11 1898
关于路由策略与ACL匹配时的注意事项 相关理论注意点: 1、如果定义了一个以上的Route-policy节点,Route-policy的各个节点中至少应该有一个节点的匹配模式是permit。当一个Route-po...
ACL配置全解借鉴.pdf
12-05
为解决这些问题,ACL技术被提出。 ACL的基本原理基于包过滤,它检查通过路由器或三层交换机的数据包,依据预设的规则来决定数据包的命运。这些规则通常基于IP地址、端口号、协议类型等因素。例如,ACL可以被用来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值