网络_编号ACL_时间ACL_自反ACL

最新推荐文章于 2024-06-25 10:51:56 发布
最新推荐文章于 2024-06-25 10:51:56 发布
阅读量470 收藏 1
点赞数
分类专栏: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beatrex/article/details/87988989
版权

一、编号ACL

拓扑
在这里插入图片描述
配置好ip地址后,为每台路由器配置静态路由
R1

R1(config)#ip route 22.0.0.0 255.255.255.0 12.0.0.2
R1(config)#ip route 3.3.3.3 255.255.255.255 12.0.0.2
R1(config)#ip route 4.4.4.4 255.255.255.255 12.0.0.2

R2

R2(config)#ip route 1.1.1.1 255.255.255.255 12.0.0.1
R2(config)#ip route 2.2.2.2 255.255.255.255 12.0.0.1 
R2(config)#ip route 3.3.3.3 255.255.255.255 22.0.0.1
R2(config)#ip route 4.4.4.4 255.255.255.255 22.0.0.1

R3

R3(config)#ip route 12.0.0.0 255.255.255.0 22.0.0.2
R3(config)#ip route 1.1.1.1 255.255.255.255 22.0.0.2
R3(config)#ip route 2.2.2.2 255.255.255.255 22.0.0.2

测试是否可以ping通
对R2进行ACL配置,使得只允许R1的1.1.1.1可以ping通

R2(config)#access-list 1 permit 1.1.1.1
R2(config)#access-list 1 permit 1.1.1.1 0.0.0.0
R2(config)#access-list 1 deny any 
R2#show ip access-lists 1
Standard IP access list 1
    10 permit 1.1.1.1
    20 deny   any
R2(config)#int f0/0            
R2(config-if)#ip access-group 1 in
   或者
   R2(config)#int f1/0            
   R2(config-if)#ip access-group 1 out

测试
在这里插入图片描述

然后限制网络管理,只允许1.1.1.1远程telnet

R2(config)#username user password psd
R2(config)#line vty 0 15
R2(config-line)#access-class 1 in

此时R1telnet
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
查看vty正在配置的命令:

show run | section vty

编号ACL扩展
R2添加配置,允许1.1.1.1ping3.3.3.3但不允许ping4.4.4.4
R2配置

R2(config)#access-list 100 permit ip host 1.1.1.1 host 3.3.3.3
R2(config)#access-list 100 deny ip host 1.1.1.1 host 4.4.4.4 
R2(config)#int f1/0
R2(config-if)#ip access-group 100 out

在这里插入图片描述

然后配置允许1.1.1.1 telnet到3.3.3.3但不允许ping通
允许2.2.2.2ping通4.4.4.4但不允许telnet
首先将之前access-list 100中的内容删除
然后添加

R2(config)#access-list 100 permit tcp host 1.1.1.1 host 3.3.3.3 eq telnet 
R2(config)#access-list 100 permit icmp host 2.2.2.2 host 4.4.4.4

在这里插入图片描述
在这里插入图片描述
然后删除access-list 100的限制,添加新规则
拒绝所有到3.3.3.3的icmp流量
拒绝1.1.1.1发起的telnet流量
拒绝1.1.1.1到4.4.4.4的http流量
允许其他流量

R2(config)#access-list 100 deny icmp any host 3.3.3.3
R2(config)#access-list 100 deny tcp host 1.1.1.1 any eq telnet 
R2(config)#access-list 100 deny tcp host 1.1.1.1 host 4.4.4.4 eq www
R2(config)#access-list 100 permit ip any any

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

二、时间ACL

在这里插入图片描述
地址配置如图,并配置静态路由
然后配置时间ACL。
首先需要设置路由器(R2)的时间:

R2(config)#clock timezone BJ 8
R2#clock set 21:30:30 28  February 2019
R2#show clock 
21:30:35.155 BJ Thu Feb 28 2019

然后设置规则(21:00-22:00允许ping3.3.3.3,之后不允许)

R2(config)#time-range br //br为名字
R2(config-time-range)#periodic weekdays 21:00 to 22:00

设置扩展ACL

R2(config)#access-list 100 permit ip host 1.1.1.1 host 3.3.3.3 time-range br

添加到接口

R2(config)#int f1/0         
R2(config-if)#ip access-group 100 out

此时进行测试
在这里插入图片描述
更改R2的时间到22点之后,再测试
在这里插入图片描述

三、自反ACL

拓扑和之前一样,现在配置使得R1可以访问到R3,但R3访问不了R1

R2(config)#ip access-list extended OUTACL
R2(config-ext-nacl)#permit ip any any reflect RE //将R1发送的流量记录到RE中
R2(config)#ip access-list extended INACL
R2(config-ext-nacl)#evaluate RE  //先将RE的允许返回
R2(config-ext-nacl)#deny ip any any  //拒绝R3的流量进入
R2(config)#int f1/0
R2(config-if)#ip access-group OUTACL out
R2(config-if)#ip access-group INACL in

在这里插入图片描述
在这里插入图片描述

BeatRex
关注
专栏目录
Cisco自反ACL列表
01-09
在R2上用扩展访问列表可以阻止R1主动向R3发起的TCP连接。但也阻止了R3被动向R1发的TCP回应。这是不合题意的。因此就目前而言,扩展访问列表无法满足这个需求。于是就引出了一个新型的访问列表―――自反访问控制列表
acl-master.zip_ACL库_c++ acl_git acl-master
09-23
acl_cpp 是基于 acl 库的 C++ 库,包括 MIIME 解析、Handlersocket 客户端库、数据库连接池(支持mysql/sqlite)、WEB 编程、数据库编程、阻塞/非阻塞数据流等内容。
自反访问控制列表
weixin_34384915的博客
12-20 497
自反访问控制列表(转) 自反访问控制列表(转)自反访问控制列表 1.一个面临的控制问题我们首先看下图图片: 1.一个面临的控制问题我们首先看下图有这样一个要求,就是我们要允许内部的机器可以访问外部,可是不允许外部的主机访问内部,有人说,这个简单,用一个访问控制列表,在Seial1上做如下配置router(...
自反ACL
hhh_yang的专栏
09-07 1507
自反ACL(reflective ACL)是一个企业网的安全特性,部署在企业网与互联网的边缘设备上,如防火墙,边缘出口路由器。自反ACL使外部网络不能主动访问企业内部的网络,只能在内部网络先访问外部网络,外部网络作为应答访问企业的内部网络。 因为企业网络内部通过边缘设备与外部进行通信必须有一个入口和出口,所以自反ACL可以部署在入口和出口上(相对于内部网络而言) 部署在入口上时
自反ACL(第三组)
weixin_34419326的博客
03-23 117
一、实验拓扑 二、配置过程 此处我用了学号后两位来划分网段,注意:先把网络做通再配ACL 1)网络连通测试 内网可以telnet外网 ----------- 外网可以telnet内网 2)ACL配置(配置内网向外网发起的telnet被返回) 说明:外网不能telnet内网,但内网telnet外网时,需要配置记录,让其返回,根据上面的ACL配置,可以返回的,必...
DMS.zip_open ACL file
09-20
档案管理系统ACL的设置(以下所列为必须): 各库必有系统管理员为管理者 system.nsf 只设档案管理员为编辑者,default为读者. archlog.nsf 档案管理员编辑者,它所有用户为作者. archtemp.nsf 档案管理员为编辑者 ...
acl.2.1.2.8.src.2012.7.2.zip_ACL_ACL_http_http json_协议
09-24
通过ACL库,开发者可以快速构建出高性能、可扩展的网络服务,同时,由于其提供的各种工具和组件,使得网络编程变得更加简洁和高效。无论是对于新手还是经验丰富的程序员,ACL都是一个强大的开发资源。
网络安全技术-IP_ACL基础(ACL分类-标准 扩展)_过滤流程及法则.mp3
07-05
网络安全技术-IP_ACL基础(ACL分类-标准 扩展)_过滤流程及法则.mp3
acl.rar_ACL_Agent_jade_jade agent_jade java
09-24
在这个“ACL_Agent_jade_jade_agent_jade_java”主题中,我们将探讨如何在JADE上构建和配置agent,以及它们如何使用ACL进行通信。 首先,了解JADE的基本结构是至关重要的。JADE由几个核心组件组成,包括:Agent容器...
自反ACL详解
weixin_30636089的博客
09-15 1704
----------RA(s0/0)------------(s0/0)RB------------- 1,什么情况下用自反ACL:  根据路由特性,当路由不设置任何ACL情况下,二个路由间互访是不受约束的。当RA(s0/0)设置IN方向permit时,默认其他是拒决的。换句话说,当RA,RB都不设置ACL时,RA能够得到RB的ICMP的响应包。但是,如果RA(s0/0)设置IN方向的permi...
华为eNSP:自反ACL
nankon_的博客
06-20 1227
综上所述,自反ACL通过动态创建临时的反向规则来允许响应流量进入,而阻止未被请求的外部流量。这种技术可以有效地保护内部网络,同时确保合法通信的顺畅。在实际应用中,管理员需综合考虑安全需求、管理复杂性和性能影响,以合理部署自反ACL,从而最大化其优势。
华为eNSP实验:自反ACL
最新发布
fanshizhiren的博客
06-25 806
自反ACL、高级ACL和基本ACL网络设备上用于控制流量访问的三种不同类型的访问控制列表(ACL),它们在匹配能力、动态性以及应用场景等方面存在明显区别。匹配能力基本ACL:基本ACL只能匹配IP源地址,其编号范围为2000-2999。高级ACL:高级ACL可以匹配源IP地址、目标IP地址、协议号、源端口和目标端口等三层和四层字段,其编号范围为3000-3999。自反ACL自反ACL不直接匹配具体的IP地址或端口号,而是根据会话的初始请求动态生成允许响应流量的规则。动态性基本ACL
Cisco自反ACL时间ACL配置实战解析
本文将深入探讨自反ACL(Access Control List)和基于时间ACL在Cisco网络设备中的配置与应用,通过具体的拓扑结构和配置示例进行详细解释。 一、自反ACL 自反ACL是一种特殊的访问控制列表,它允许管理员根据...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值