访问控制列表的配置

最新推荐文章于 2024-05-25 17:14:39 发布
最新推荐文章于 2024-05-25 17:14:39 发布
阅读量2.9k 收藏 5
点赞数 1
文章标签: 防火墙 网络 计算机 访问控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xing6Kai/article/details/40111967
版权

访问控制列表(俗称:防火墙)分为两类,一类是标准访问控制列表,一类是扩展访问列表。

//实现:配置标准IP访问控制列表


//原理:
    ACLs的全称为接入控制列表(Access Control Lists),也称为访问列表(Access Lists),俗称为防火墙,在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而提高网络客观理性和安全性:
    IP ACLs分为两种:标准IP访问列表和扩张IP访问列表,编号范围为1~99、1300~1999、100~199、2000~2699;
    标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤;
    扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤;
    IP ACL 基于接口进行规则的应用,分为:入栈应用和出栈应用;


//环境:
Router01
Router02
PC01
PC02
PC03


//拓扑:如图(110426-标准IP访问控制列表配置)
标准IP访问控制列表配置


//配置Router01

Router01>enable
Router01#configure terminal
Router01(config)#interface fastEthernet 0/0
Router01(config-if)#no shutdown
Router01(config-if)#ip address 192.168.1.1 255.255.255.0
Router01(config-if)#exit
Router01(config)#interface fastEthernet 1/0
Router01(config-if)#no shutdown
Router01(config-if)#ip address 192.168.2.1 255.255.255.0
Router01(config-if)#exit
Router01(config)#interface serial 2/0
Router01(config-if)#ip address 192.168.4.1 255.255.255.0
Router01(config-if)#clock rate 64000
Router01(config-if)#no shutdown
Router01(config)#ip route 192.168.3.0 255.255.255.0 192.168.4.2

Router01(config)#ip access-list standard p1d2    //命名方式创建基本访问控制列表
Router01(config-std-nacl)#permit 192.168.1.0 0.0.0.255    //允许1网段
Router01(config-std-nacl)#deny 192.168.2.0 0.0.0.255    //拒绝2网段
Router01(config)#interface serial 2/0    //进入2/0出口
Router01(config-if)#ip access-group p1d2 out    //应用p1d2规则出栈
Router01#write


//配置Router02

Router02>enable
Router02#configure terminal
Router02(config)#interface fastEthernet 0/0
Router01(config-if)#no shutdown
Router02(config-if)#ip address 192.168.3.1 255.255.255.0
Router02(config-if)#exit
Router01(config)#interface serial 2/0
Router02(config-if)#no shutdown
Router01(config-if)#ip address 192.168.4.2 255.255.255.0
Router02(config-if)#exit
Router02(config)#ip route 0.0.0.0 0.0.0.0 192.168.4.1
Router02#write


//测试:(终端计算机)
PC01>ping 192.168.3.101
Pinging 192.168.3.101 with 32 bytes of data:
Reply from 192.168.3.101: bytes=32 time=17ms TTL=126
Reply from 192.168.3.101: bytes=32 time=14ms TTL=126
Ping statistics for 192.168.3.101:
    Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 14ms, Maximum = 17ms, Average = 15ms
Control-C

PC02>ping 192.168.3.101
Pinging 192.168.3.101 with 32 bytes of data:
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Ping statistics for 192.168.3.101:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

PC03>ping 192.168.1.101
Pinging 192.168.1.101 with 32 bytes of data:
Reply from 192.168.1.101: bytes=32 time=16ms TTL=126
Ping statistics for 192.168.1.101:
    Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 16ms, Maximum = 16ms, Average = 16ms
Control-C





本部分包括以下内容:

扩展ACLs的语句规则

配置编号的扩展ACLs

配置命名的扩展ACLs

访问控制列表(ACLs)是一种基于包过滤的防火墙技术,它可以对接口上的数据包进行过滤,允许其通过或丢弃。

扩展访问控制列表可根据数据包的源IP地址、目的IP地址、使用的协议、用途设置过滤,根据设定的规则,允许或拒绝数据包通过。

扩展访问控制列表用编号或名字进行标识,可使用的编号是100~199、2000~2699。


扩展访问控制列表的配置(转) - Seven - Seven 扩展ACLs的语句规则
回顶部

扩展访问控制列表由一系列的规则组成,每条规则用一个 permit 或 deny 关键字定义,规则的格式为:

[permit|deny] [协议] [源地址] [目的地址] [表达式]

1、permit|deny:

必需。permit 定义的是允许通过的规则,deny 定义的是拒绝通过的规则。

2、协议:

必需。指定数据包使用的网络层或传输层协议,常用的有:ip、icmp、tcp、udp。

3、源地址:

必需。指定数据包源IP的样式。有三种格式:

any 表示任意地址
host ip-address 表示单一地址
address wildcard 表示一组地址

它们的含义和标准访问控制列表的相同。

4、目的地址:

必需。指定数据包目的IP的样式。有三种格式:

any 表示任意地址
host ip-address 表示单一地址
address wildcard 表示一组地址

5、表达式:

可选。指定数据包的用途。常用格式:

eq 端口名称
eq 端口号

eq 是等于运算符,可用的运算符还有:lt(小于)、gt(大于)、neq(不等于)、range(范围)。使用range时需要给出两个端口号,其余的只要给出一个端口号。

端口名称或端口号指定了数据包的用途。

举例:


permit ip any 192.168.1.0 0.0.0.255

允许源地址为任意,目的地址为192.168.1.*的IP数据报通过。


permit tcp 172.16.0.0 0.0.255.255 host 192.168.1.5 eq ftp

允许源地址为172.16.*.*,目的地址为192.168.1.5,协议为TCP,用途为ftp的数据报通过。


deny udp host 172.16.8.10 host 192.168.1.5 eq tftp

拒绝源地址为172.16.8.10,目的地址为192.168.1.5,协议为UDP,用途为tftp的数据报通过。


deny tcp any any eq 80

允许地址任意的,使用协议为TCP,端口号为80的数据报通过。

说明:

在每个扩展ACLs中,最后一条规则隐含为 deny ip any any,它表示拒绝任何IP数据报通过。


扩展访问控制列表的配置(转) - Seven - Seven 配置编号的扩展ACLs
回顶部

扩展访问控制列表有两种配置方法:编号的ACLs和命名的ACLs,以下是编号的扩展ACLs配置。

编号的扩展ACLs在全局配置模式中配置;

编号的扩展ACLs由一系列 access-list 语句组成;

属于同一个扩展ACLs的 access-list 语句使用相同的编号。

1、access-list 语句:

Ruijie(config)#access-list list-id 规则

list-id是扩展ACLs的编号,取值范围是100~199和2000~2699,同一个ACLs中的各语句编号必须相同。

规则就是前面所说的 permit 和 deny 规则。

说明:早期的系统只支持100~199的编号,2000~2699是现在的系统新增的。

注意:标准ACLs和扩展ACLs是用编号区分的,编号为1~99、1300~1999的是标准ACLs,只能使用标准ACLs的规则,编号为100~199、2000~1699的是扩展ACLs,只能使用扩展ACLs的规则。

2、包过滤的配置:

定义的ACLs必须应用在指定的接口上,才能起到包过滤的作用。

Ruijie(config)#interface interface-id
Ruijie(config-if)#ip access-group list-id in | out

interface命令指定了一个接口。

ip access-group命令指定在接口上应用的访问控制列表,list-id是访问列表的编号,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。

说明:在每个接口、每个方向上只能应用一个访问列表。在一个接口的入口和出口方向上可应用不同的访问列表。

使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用合适选择。

配置举例:


Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#access-list 100 permit tcp host 192.168.10.5 any eq www
Ruijie(config)#access-list 100 deny ip host 192.168.10.5 any
Ruijie(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 any
Ruijie(config)#interface f0/1
Ruijie(config-if)#ip access-group 100 in

本例定义了一个扩展访问控制列表,它由4条规则组成:

①允许源IP为192.168.10.5,目的地址任意,用途为www的TCP数据包通过;

②拒绝源IP为192.168.10.5,目的地址任意的数据包通过;

③允许源IP为192.168.10.*的数据包通过;

④拒绝所有数据包通过。这句是由隐含的规则定义的。

整个配置可以解释为,在 f0/1 接口的输入流中执行包过滤,当源IP为192.168.10.5时,只有执行Web任务的数据包可以通过,当源IP为192.168.10.*(192.168.10.5除外)时,它的数据包可以通过,其余的都拒绝通过。


扩展访问控制列表的配置(转) - Seven - Seven 配置命名的扩展ACLs
回顶部

扩展访问控制列表有两种配置方法:编号的ACLs和命名的ACLs,以下是命名的扩展ACLs配置。

命名的扩展ACLs用编号或名字区分各个访问列表;

命名的扩展ACLs的规则在访问列表配置模式中配置。

1、进入访问列表配置模式:

Ruijie(config)#ip access-list extended list-id | list-name
Ruijie(config-ext-nacl)#

本命令用于进入扩展访问列表的配置模式。

list-id是扩展ACLs的编号,取值范围是100~199和2000~2699。

list-name是扩展ACLs的名字,用字母、数字命名。

list-id和list-name只能指定一个,如果指定的访问列表不存在,则创建它并进入访问列表配置模式。

2、配置访问列表的规则:

Ruijie(config-ext-nacl)#permit 规则
Ruijie(config-ext-nacl)#deny 规则

规则形式参照前面的描述。

3、包过滤的配置:

把定义的ACLs应用在指定的接口上。

Ruijie(config)#interface interface-id
Ruijie(config-if)#ip access-group list-id | list-name in | out

interface命令指定了一个接口。

ip access-group命令指定在接口上应用的访问控制列表,list-id和list-name是访问列表的编号或名字,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。

配置举例:


Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#ip access-list extended els1
Ruijie(config-ext-nacl)#permit tcp host 192.168.10.5 any eq www
Ruijie(config-ext-nacl)#deny ip host 192.168.10.5 any
Ruijie(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any
Ruijie(config-ext-nacl)#exit
Ruijie(config)#interface f0/1
Ruijie(config-if)#ip access-group els1 in

本例和前面的例子是一样的,只是采用了命名的方式定义的。



KingXai
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
扩展访问控制列表配置
逐梦的博客
03-12 1万+
知识点: 简介: 访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议(被路由协议是一些用于定义数据报内字段格式并且为用户的通讯传输提供一种机制的协议(也就是打包),如IP、IPX、AppleTalk等。路由协议则负责运输。例如ospf、IGRP) 功能: 配置ACL后,可以限制网络流...
访问控制列表
静-静的雪
08-23 738
访问控制列表  IP标准访问列表配置 1.定义标准ACL 编号的标准访问列表 Router(config)#access-list {permit|deny} 源地址 [反掩码] 命名的标准访问列表 ip access-list standard { name} deny {source source-wildcard|host source|any} or
路由器接口上的“防火墙”——访问控制列表
Zzzzzz的博客
10-14 2416
路由器接口上的“防火墙”——访问控制列表 众所周知,无论在哪个系统上都有防火墙的存在,帮助计算机/服务器网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 而在路由器上同样也有一种“防火墙”,被称为——访问控制列表。该列表应用于路由器接口,通过该列表来告诉路由哪些数据包需要过滤,哪些可以通过。下面我将详细为大家进行讲解。 ACL(access control l...
ACL访问控制列表(详细配置教程)
热门推荐
亦在春风的博客
07-14 2万+
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。 这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。1~99 和 1300~1999:标准IP ACL。(基于源P地址过滤) 100~199 和 2000~2699:扩展IP ACL。 (基于源、目的IP地址;源、目的TCP/UDP端口;协议类型) AppleTalk: 600~699 IPX:800~899基于每种协议设置一个ACL(per p
思科ACL访问控制列表配置命令教程
最新发布
2301_76845656的博客
05-25 1851
访问控制列表ACL概念访问控制列表简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上。
权限控制和访问控制列表ACLs)
prop428的博客
01-30 570
在Linux系统中,权限控制和ACLs是基本的安全机制,它们可以帮助管理员更好地管理系统资源的访问。权限控制通过r、w、x权限位进行简单的权限管理,而ACLs提供了更加灵活和精细化的权限控制功能。系统管理员可以根据实际需求选择合适的权限控制方式,并结合ACLs来实现更精确的访问控制。欢迎加入我们的嵌入式学习群!作为这个群的一员,你将有机会与嵌入式系统领域的专业人士和爱好者们交流、分享经验和学习资源。
IP访问控制列表配置
qq_55795222的博客
04-28 2010
计算机网络实验—IP访问控制列表配置
访问控制列表配置实验
qq_36382667的博客
04-25 734
其中 R1和 R2间互联物理接口地址分别为 10.1.2.1/24和 10.1.2.2/24,R2 和 R3 间互联物理接口地址分别为10.1.3.2/24和 10.1.3.1/24。其中一个用户(R1的 LoopBack1接口)需要远程管理设备 R3,可以在服务器端配置Telnet,用户通过密码登录,并配置基于 ACL的安全策略,保证只有符合安全策略的用户才能登录设备。# 在 R1、R2 和 R3 上配置 OSPF,三台设备均在区域0中,实现全网互联互通。# 配置 R1、R2 和 R3的IP 地址。
访问控制列表ACL)详细讲解
一起努力共同进步,为了未来一起奋斗吧!
09-27 3234
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
Cisco访问控制列表配置指南.pdf
01-12
Cisco访问控制列表配置指南
H3C交换机典型(ACL访问控制列表配置实例
10-01
本文将介绍如何配置H3C交换机典型(ACL访问控制列表,需要的朋友可以参考下
Cisco访问控制列表配置指南全套
07-22
资源名称:Cisco访问控制列表配置指南全套资源目录: 教程目录【】Cisco访问控制列表配置004动态访问表【】013附录C 标准的访问表【】Cisco访问控制列表配置003Cisco访问表基础【】Cisco访问控制列表配置ACL总结...
实验九 配置访问控制列表.doc
08-29
ACL的全称为接入控制列表(Access Control Lists),也称为访问列表(Access Lists),俗称为防火墙,在有的文档中还称之为包过滤。ACL通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而...
Cisco访问控制列表配置
05-31
本实验报告为路由器的访问列表配置,内有实验拓扑图和详细的配置步骤。模拟器为Cisco Packet Tracer 6.0.
ACL访问控制列表
陌上花开,静待绽放!
03-22 7736
访问控制列表ACL(Access Control List)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
访问 控制列表
weixin_44551911的博客
10-28 1294
访问控制列表ACL:Access Control List)是一种常用的网络技术,基本功能是对网络设备报文进行过滤处理。ACL是由permit和deny语句组成的一个有序规则的集合,首先通过报文匹配过程来实现对报文的分类识别,然后根据报文分类信息和相关的执行动作来判断哪些报文可以放行,哪些报文不能放行,从而实现对特定报文的过滤处理。ACL还有一些其它功能,这些功能常常被Route-policy、QoS(Quality of Service)、IPSec(IP Security)、Firewall等技术结合
10.1 配置基本的访问控制列表
qq_45382474的博客
11-09 2054
原理概述 访问控制列表ACL(Access Control List)是由permit或deny语句组成的一些列有顺序的规则集合,这些规则根据数据包的原地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝。 按照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表,基本ACL可以使用报文的源IP地址、时间段等信息来定义规则,编号范围为2000~2999。 ...
配置标准访问控制列表ACL
生活不易,喵喵叹气
11-11 3985
熟练使用访问控制列表ACL,使路由器可以自主过滤某一网络或某一主机的数据包流量,使用基本命令 Access-list 标准访问控制列表号 deny/permit 源网络地址 通配符掩码 配置ACL,此篇文章帮助你设置网络拓扑结构下的ACL配置
ensp ACL访问控制列表配置
qq_45631844的博客
09-25 2万+
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全 -----------来源百度百科 ACL的分类 基本ACL(2000-2999) 根据源地址来进行访问控制 高级ACL(3000-3999) 可以根据源地址、目标地址、源端口号等来进行访问控制 基本ACL配置 注:我们在不管在配置什么ACL的时
标准访问控制列表配置
12-11
以下是标准访问控制列表配置方法: 1. 进入路由器的全局配置模式: ``` configure terminal ``` 2. 创建一个标准访问控制列表,例如编号为1: ``` access-list 1 permit 192.168.1.0 0.0.0.255 ``` 上述命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值