ACL基础实验

最新推荐文章于 2024-01-20 15:11:31 发布
最新推荐文章于 2024-01-20 15:11:31 发布
阅读量2.9k 收藏 30
点赞数 3
文章标签: 网络 tcp/ip 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/afjkslahdfkaJDHU/article/details/122112180
版权

ACL简介

访问控制列表ACL(Access Control List)是由一系列规则组成的集合,ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。

网络中的设备相互通信时,需要保障网络传输的安全可靠和性能稳定。例如:

1、防止对网络的攻击,例如IP(Internet Protocol)报文、TCP(Transmission Control Protocol)报文、ICMP(Internet Control Message Protocol)报文的攻击。

2、对网络访问行为进行控制,例如企业网中内、外网的通信,用户访问特定网络资源的控制,特定时间段内允许对网络的访问。

3、限制网络流量和提高网络性能,例如限定网络上行、下行流量的带宽,对用户申请的带宽进行收费,保证高带宽网络资源的充分利用。

ACL的出现,有效地解决了上述问题,切实保障了网络传输的稳定性和可靠性。

ACL的规则匹配

报文到达设备时,设备从报文中提取信息,并将该信息与ACL中的规则进行匹配,只要有一条规则和报文匹配,就停止查找,称为命中规则。查找完所有规则,如果没有符合条件的规则,称为未命中规则。

ACL的规则分为“permit”(允许)规则和“deny”(拒绝)规则。

综上所述,ACL可以将报文分成三类:

1、命中“permit”规则的报文

2、命中“deny”规则的报文

3、未命中规则的报文

 ACL的分类

分类

规则定义描述

编号范围

基本ACL

仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。

2000~2999

高级ACL

既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。

3000~3999

二层ACL

使用报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、二层协议类型等。

4000~4999

实验拓扑

SW1

<Huawei>sys
[Huawei]un in en
[Huawei]sys sw1
[sw1]vlan batch 10 20 30 
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]p l a
[sw1-Ethernet0/0/1]p d v 10 
[sw1-Ethernet0/0/1]int e0/0/2
[sw1-Ethernet0/0/2]p l a
[sw1-Ethernet0/0/2]p d v 20
[sw1-Ethernet0/0/2]int e0/0/3
[sw1-Ethernet0/0/3]p l a
[sw1-Ethernet0/0/3]p d v 30
[sw1-Ethernet0/0/3]int vlan 10
[sw1-Vlanif10]ip add 192.168.1.254 24
[sw1-Vlanif10]int vlan 20
[sw1-Vlanif20]ip add 192.168.2.254 24
[sw1-Vlanif20]int vlan 30
[sw1-Vlanif30]ip add 172.16.1.1 30
[sw1-Vlanif30]q
[sw1]ip route-static 0.0.0.0 0 172.16.1.2
[sw1]q

SW2

<Huawei>sys
[Huawei]un in en
[Huawei]sys sw2
[sw2]v b 10 20 30 40 50
[sw2]int e0/0/1
[sw2-Ethernet0/0/1]p l a
[sw2-Ethernet0/0/1]p d v 40
[sw2-Ethernet0/0/1]int e0/0/2
[sw2-Ethernet0/0/2]p l a
[sw2-Ethernet0/0/2]p d v 50
[sw2-Ethernet0/0/2]q
[sw2]int vlan 50
[sw2-Vlanif50]ip add 172.16.2.1 30
[sw2-Vlanif50]int vlan 40
[sw2-Vlanif40]ip add 172.16.1.2 30
[sw2-Vlanif40]q
[sw2]ip route-static 0.0.0.0 0 172.16.2.2
[sw2]ip route-static 192.168.1.0 24 172.16.1.1
[sw2]ip route-static 192.168.2.0 24 172.16.1.1

R1

<Huawei>sys
[Huawei]
[Huawei]un in en
[Huawei]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 172.16.2.2 30
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]
[R1-GigabitEthernet0/0/1]ip add 192.168.3.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.4.254 24
[R1-GigabitEthernet0/0/2]q
[R1]ip route-static 192.168.1.0 24 172.16.2.1
[R1]ip route-static 192.168.2.0 24 172.16.2.1
[R1]acl 3000
[R1-acl-adv-3000]rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 192.
168.4.1 0 destination-port eq 80
[R1-acl-adv-3000]rule 10 deny tcp source 192.168.1.0 0.0.0.255 destination 192.1
68.3.1 0 destination-port eq 21
[R1-acl-adv-3000]rule 15 permit tcp source 192.168.2.0 0.0.0.255 destination 192
.168.3.1 0 destination-port eq 21
[R1-acl-adv-3000]rule 20 deny tcp source 192.168.2.0 0.0.0.255 destination 192.1
68.4.1 0 destination-port eq 80
[R1-acl-adv-3000]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

实验结果

 

 

 

 从结果可以看出财务部可以访问WEB服务器,但不可以访问FTP服务器;

市场部可以放FTP服务器,但不可以访问WEB服务器。

雨夜寒舟
关注
  • 3
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ACL基本实验
08-12
一点基本的访问控制列表的配置,稍微涉及了一点网络安全基础方面的知识。
扩展ACL实验
12-16
ACL控制列表实验 有步骤,方便您的学习和使用。。
华为路由器:ACL介绍及配置实验
热门推荐
迷逝
12-10 1万+
一、ACL介绍 ACL作用 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 应用设备——路由器 访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定
网络】10.ACL原理与配置实验
weixin_54959847的博客
06-07 806
ACL的基本原理
ACL实验
weixin_74351308的博客
12-06 909
需求里提到PC1可以远程登录R1,却不能 ping R1这个需求需要关注数据包中的源IP地址、目标IP地址、协议及端口号,所以选择高级ACL。1、PC1可以 telnet R1 ,但不能 ping R1;PC1可以 ping R2,但不能 telnet R2;3、R1和R2上配置标准aaa认证登录用户。1、根据实验需求创建相应的ALC列表。5、根据需求配置ACL列表。2、PC1和PC2相反。4、虚拟登录接口调用认证。2、根据需求写入规则。3、进入接口进行调用。2、开启远程登录服务。
ACL实验网络配置与访问控制实践
superman66697的博客
09-12 816
摘要:本实验旨在通过网络配置和ACL(访问控制列表)的设置,实现特定网络需求,包括网络拓扑的创建、IP地址的分配、全网路由互通的配置以及ACL规则的定义。通过本文,读者将了解如何在网络中设置ACL以满足不同的访问控制要求。
ACL原理与实验
khvbjhb的博客
06-07 203
ACL 访问控制协议
ACL技术原理和实验
yunxi115的博客
02-12 978
ACl工作原理,及实验配置
ACL技术实验
最新发布
soberdu的博客
01-20 364
3.PC1不能访问Telnet R2,但可以ping R2。2.PC1可以访问Telnet R1,不能ping R1。1、配置IP地址,实现全网可达。4.PC2和PC1相反。2、配置Telnet。
华为HCIA基础实验 - 高级ACL & eNSP
06-20
华为HCIA基础实验 - 高级ACL & eNSP
网络基础ACL实验.md
04-21
是一个ACL实验,分别是初级的ACL和高级的ACL,里面有源代码,是mk格式。可以用typora直接打开,查取代码!感谢大家!
网络工程基础实验报告-扩展ACL配置
07-05
网络工程基础实验报告-扩展ACL配置的基本配置
网络基础实验报告.zip
07-12
包含实验模板、实验环境、实验配置、回答问题等 ...实验八扩展ACL实验 实验九(1)动态路由OSPF实验 实验九(2)动态路由RIP实验 实验十NAT地址转换的配置 实验十一标准ACL 综合性实验期末大作业(包含pkt文件)
ACL和ANT实验
OuOOutlier_的博客
07-18 64
一、ACL概述:控制网络流量,控制访问的网络技术手段。二、ACL工作原理:当数据包从接口通过时,由于接口使用了ACL,此时路由器会对报文进行检查并作出处理。三、ACL作用:1.控制访问的数据流量(通过、拒绝)2.限制网络流量,提高网络性能。3.提供对通信流量的控制手段。技术背景:需要一个工具实现流量过滤。四、ACL的范围:基本acl(2000---2999): 只能匹配源IP地址高级acl(3000---3999):可以匹配源、目的IP地址;源、目的端口;三层、四层协议字段。
华为HCIA进阶笔记:ACL 访问控制列表
君逍遥o
06-20 2254
企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
ACL配置及实验
Ybaocheng的博客
10-21 56
编号3000 -- 3999——高级ACL--依据数据包当中源,目的IP,目的端口,协议号匹配数据。当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。编号2000 -- 2999——基本ACL--依据数据包当中的源IP地址批评数据。编号4000 -- 4999——三层ACL、mac、vlan-id、802id。最后用客户机ping pc5不能通就表示实验成功。ACL是一个匹配工具,能够对报文进行匹配和区分。要求:过滤掉192.168.1.1访问pc5。
标准访问控制列表ACL实验
sdszoe4922的博客
11-21 265
语法格式:Switch(conifg)#access-list 编号|permit/deny|souce地址|掩码 (做策略)然后应用于相应的端口上。FTP协议通信前必须建立连接(需要四步:请求—指示----响应----确认),然后才能通信。通信:公司有三个网段(技术部—业务部----财务部),三个部门之间通过三层交换进行信息传递。小结:标准访问列表是基于源的,配置方法是定义访问控制列表,然后应用于相应的端口上。3.将策略加到交换机的相应的端口上(财务部的端口)【做的策略要用于端口才生效】
网络ACL原理与配置
m0_70893463的博客
06-06 3553
3000-3999 高级acl,可以匹配源ip和目标ip、源端口和目标端口、三层和四层的协议字段(三层:icmp,arp。四层:udp,tcp)虽然划分了vlan,但是不是流量控制,只是单纯的划分了广播域,而且通过三层交换机或者单臂路由还能实现不同vlan之间的通信,要求1:允许pc1访问pc3 pc1访问192.168.2.0/24(pc1能ping通pc3,其他pc不能)所以最后一位都是1是固定的,固定的位置是0,前面的都会变,所以结果是11111110 十进制为254。
ensp中实验配置acl和部署nat后无法ping通外网
09-03
在配置ACL(接入控制列表)和部署NAT(网络地址转换)后无法ping通外网的问题,可能是由于配置错误或网络设置不正确所导致的。 首先,检查ACL的配置是否正确。ACL是用于过滤和控制网络流量的工具,可能会限制或阻止对外网的访问。确保ACL中没有任何规则限制了ping外网的流量,或者确认已正确添加允许从内网ping外网的规则。 其次,检查NAT的配置。NAT是将内网IP地址映射成外网IP地址的机制,它允许内部网络中的设备与外部网络进行通信。确认NAT配置正确,包括正确配置内部IP地址和外部IP地址之间的映射关系。 另外,检查路由设置。确保正确设置了默认路由,以便将外网流量正确地转发到目标网关。 还有可能是网络拓扑或设备配置问题导致无法ping通外网。检查网络拓扑图,确保网络中的设备都能够正常连接,并且设备的IP配置正确。 最后,验证网络连接。使用其他设备或电脑尝试ping外网,确保问题不是限于单个设备。如果其他设备也无法ping通外网,则问题可能是出在网络基础设施或网络服务提供商的配置上。 综上所述,如果在配置ACL和部署NAT后无法ping通外网,需要检查ACL、NAT、路由设置、网络拓扑以及网络连接,并进行相应的调整和修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

雨夜寒舟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值