cisco的访问控制列表ACL的基本使用(大白话版)(基于cisco packet tracer)

最新推荐文章于 2024-05-25 17:14:39 发布
最新推荐文章于 2024-05-25 17:14:39 发布
阅读量8.8k 收藏 68
点赞数 9
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fly_view/article/details/122315822
版权

最近在写计算机网络的课设,碰到了这个问题,打算把它写下来,以便以后参考。

一,ACL有啥用?

百度百科上的解释:访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器三层交换机

它可以控制用户对于网络的访问,可以被用在路由器或者交换机上。可以在路由器上设置一个访问控制列表,使得与这个路由器相连的某个主机或者某个地址范围内主机不能访问该路由器。打个不恰当的比喻,把路由器当做一个关卡,把与它相连的主机看做一个城市,设置访问控制列表就是告诉这个关卡里的守卫--哪些城市的人可以通过,哪些不可以。

二,如何设置ACL?

1,语法:

Access-list access-list-number {deny | permit} source [source-wildcard] [log]

access-list命令参数的含义如下:

(1) access-list-number:访问控制列表号,标准访问控制列表的号码范围是1~99。

(2) deny:如果满足条件,数据包被拒绝从该入口通过。

(3) permit:如果满足条件,数据包允许从该入口通过。

(4) source:数据包的源网络地址,源网络地址可以是具体的地址或any(任意),如果源地址是单个IP地址时,将"source"改成"host",后再写IP地址即可。

(5) Source-wildcard:源地址通配符掩码,可选项。通配符掩码是一个32比特位的数字字符串,使用1或0来表示,它被用"."分成4组,每组8位。在通配符掩码位中,0表示"检查相应的位",而1表示不检查相应位。通配符掩码相当于子网掩码的反码。

(6) Log:可选项,生成日志信息,记录匹配permit或deny语句的包。

可以通过在"access-list"命令前加"no"的形式,来删除一个已经建立的标准ACL。

2,实例:

单看语法有点懵,下面就通过一系列实例来说明它的基本使用。

 

如图,在这个网络里有4个部门(车间部门,研发部门,收费部门,行政部门),这四个部门各有自己的一些电脑(每个部门的所有电脑仅用一台主机表示)。它们通过交换机与路由器Router0相连。这个路由器是这个网络通向外界(外界互联网用cloud-pt表示)的唯一通道。

我想实现“只有收费部门的所有电脑(它们的IP地址范围是192.168.1.48--192.168.1.63)可以与外界相连,其余部门的电脑都不能与外界相连,但是整个网络内的所有主机或者服务器之间都可以相连。”的目标。接下来就说说如何实现这个目标。

第一步,按照如图的图形结构连好这些设备,并设置好IP地址,网关等基本参数。

检验第一步:在各个设备之间发送数据包(在“cisco packet tracer”软件中点击下图中不带纸张的信封按钮,按提示操作即可)测试连接是否成功:

列表的第二项均为successfu,说明它们之间互连是成功的。 

第二步,设置ACL。

点开Router0,并进入命令行界面并进入全局模式,如图:

 

然后输入代码:access-list 1 permit 192.168.1.48     0.0.0.15

这句话的意思是建立一个名为“1”的ACL (也即:access-list),它允许192.168.1.48--192.168.1.63的IP地址(至于为什么是这个范围,还要看本文章的第3点--ACL的源地址通配符掩码的具体使用(包括子网划分))通过路由器的X端口。但是这个X端口还没确定。

第三步,应用ACL:

要确定X端口的话,应该采用语句:interface fastethernet 0/0 进入路由器的fastethernet 0/0端口。然后,再输入语句ip access-group 1 in,表示让access-list组里面的1号ACL应用到fastethernet 0/0端口的in方向(也即,接口流入方向)。这里面的语法是:

ip access-group access-list-number {in|out}

(1) Ip:定义所用的协议。

(2) access-list-number:访问控制列表的号码。

(3) in |out:定义ACL是被应用到接口的流入方向(in),还是接口的流出方向(out)。

3,ACL的源地址通配符掩码的具体使用(包括子网划分):

设有如下的语句:

access-list 1 permit 192.168.1.48     0.0.0.15

关于这条语句,它的前半部分的含义我们已经了解了(在第2点里面有讲),关键是后面两组数字的含义是啥。

首先,你需要知道的是,第一组数字代表一个网址,后面的一组数字代表其前面网址的一个匹配。它们结合起来就能匹配一组IP地址,这组IP地址就是这条ACL语句适用的IP范围。

其次,将第一组数据按二进制展开得:

1100 0000 .  1010 1000 .  0000 0001  .  0011 0000

将第二数据按二进制展开得:

0000 0000  . 0000 0000 .  0000 0000 .  0000 1111

将第二组数所有的0  都与  第一组数据的对应位置上的数  “按位异或”,也即:填原数

其余位置可以任意填0或1(规则就是碰到0就填原数,碰到1就任意)。

那么就得到了如下的数:

1100 0000 .  1010 1000 .  0000 0001  .  0011 XXXX(其中X代表任意的0或者1)

那么这组数表示的范围就是前面那个ACL的语句作用的IP地址范围,也即:

192.168.1.48--192.168.1.63。

为了熟练地使用这个源地址通配符掩码,我们来做几个练习题:

写出下列ACL语句的作用范围:

1,access-list 1 permit 192.168.1.0    0.0.0.7

2,access-list 1 permit 192.168.1.8    0.0.0.7

3,access-list 1 permit 192.168.1.8    0.0.0.63

4,access-list 1 permit 192.168.1.64    0.0.0.63

5,access-list 1 permit 192.168.1.1     0.0.0.0

6,access-list 1 permit 192.168.0.0    0.0.7.255

7,access-list 1 permit   192.168.1.23   0.0.0.5

答案:

1, 192.168.1.0--192.168.1.7

2, 192.168.1.8--192.168.1.15

3, 192.168.1.0--192.168.1.63

4, 192.168.1.64--192.168.1.127

5, 只表示192.168.1.1一个IP

6, 192.168.0.0--192.168.7.255

7, 只表示192.168.1.23 , 192.168.1.22 , 192.168.1.18 , 192.168.1.19

三,参考资料:

通配符及反掩码的详解 (网络中ACL )_冷鞘-的博客-CSDN博客_0.0.254.255反掩码

如有错误,敬请指正。

fly_view
关注
  • 9
    点赞
  • 68
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
思科交换机访问控制列表ACL
01-04
详细描述交换机访问控制列表配置,使得对交换机访问控制列表有个明确的了解
cisco最完美的ACL配置详解及配置全过程
10-26
cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程
思科ACL访问控制列表配置命令教程
最新发布
2301_76845656的博客
05-25 1921
访问控制列表ACL概念访问控制列表简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上。
网络原理与应用——访问控制列表
feili12138的博客
11-26 1996
访问控制列表ACLACL概述 访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表,就是用来告诉路由器哪些数据可以接收,哪些数据不能接收,哪里来的数据可以接收,哪里来的数据不能接收。 ACL原理主要分为两个方向 出:已经过路由器的处理,正离开路由器接口的数据包 入:已经到达路由器接口的数据包,将被路由器处理 ACL的分类 标准ACL:根据数据...
ACL控制访问列表
istrangeboy&begin zero的博客
04-16 3977
本文主要介绍acl列表语法及举例
Cisco VLAN ACL配置
allway2的博客
06-02 4465
反掩码就是通配符掩码 , 通过标记0和1告诉设备应该匹配到哪位。在反掩码中,相应位为1的地址在比较中忽略,为0的必须被检查。IP地址与反掩码都是32位的数 由于跟子网掩码刚好相反,所以也叫反掩码。路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围,它与子网掩码不同。它不像子网掩码告诉路由器IP地址是属于哪个子网(网段),通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。例如:255.255.255.0 反掩码(wildcard-mask)就是0.0.0.255。
CCNP路由实验之十四 路由器的访问控制ACL
kkfloat博客
10-05 1万+
CCNP路由实验之十四 路由器的访问控制ACL ACL(Access Control List,访问控制列表) 是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制访问控制列表使用包过滤技术,在路
Cisco Packet Tracer acl实例
02-16
Cisco Packet Tracer 实例 要求: 1、配置所有设备的接口IP 2、配置静态路由,使网络互通 3、使PC1不能访问PC3
Cisco Packet Tracer 典型校园网设计
04-06
这是一个基于中小型校园网的网络搭建设计,使用Packet Tracer模拟器实现网络配置,并应用多种关键技术。其中,使用了VLAN技术实现了学校部门间的网段隔离;使用链路聚合提高了核心层的网络带宽与稳定性;使用RSTP...
ACL.rar_Cisco Packet Tracer_The Handle
09-22
Cisco Packet Tracer中,ACL被广泛应用于定义数据包过滤规则,以实现对网络访问的精细化控制。本资料将详细介绍如何在Cisco Packet Tracer中处理ACL。** ### 一、ACL的基础概念 访问控制列表是一种基于源IP地址...
5.5.1 Packet Tracer - IPv4 ACL Implementation Challenge
05-27
Cisco Packet Tracer 思科模拟器 5.5.1 Packet Tracer - IPv4 ACL Implementation Challenge 正确答案文件 可直接上交正确答案文件 本答案权归mewhaku所有,严禁再次转载!!! Copyright @mewhaku 2022 All ...
cisco_Packet_Tracer_使用教程手册
03-24
Cisco Packet Tracer 使用教程手册 本手册旨在指导读者使用 Cisco Packet Tracer 软件来学习和实践 CCNA实验攻略。 Packet Tracer 是一款功能强大且实用的网络模拟器,可以模拟各种网络设备和拓扑结构,帮助读者...
Cisco-ACL
qq_44526151的博客
09-21 1060
一、ACL是什么? 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 二、ACL的两大主要功能 1.流量控制 2.匹配感兴趣流量 三、ACL的类型 1.标准访问控制列表 只能根据源地址做过滤 针对整个协议采
思科CISCO ACL配置详解
weixin_64312503的博客
07-25 2万+
思科ACL控制访问列表详细信息
Cisco:标准ACL实验配置实验以及知识讲解
qq_45345433的博客
05-13 6050
Cisco:标准ACL实验配置实验以及知识讲解 访问控制列表,实现网络流量限制,提供流量控制,为网络提供基本的安全层 目录Cisco:标准ACL实验配置实验以及知识讲解一、ACL基本概念二、访问控制列表的类型1、标准访问控制列表2、扩展访问控制列表3、命名访问控制列表三、实验一:配置标准ACL实现流量控制1、网络拓扑图搭建2、R1、R2、R3的IP地址接口配置2、标准ACL配置 一、ACL基本概念 ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的指令列表。这
思科网络中如何配置标准ACL协议
2201_75693008的博客
03-09 4045
根据每台PC机所处的位置配置地址,这里可以统一给他们的地址为.1 / .2(每个IP网段共有254个地址是可以分配给PC机的,分别是第1~254,IP地址中的第一个地址.0是网络地址(保留地址),IP网段的最后一个地址.255是广播地址(保留地址)这样做是为了确保只有主机位为奇数的IP地址(即最后一位为1的IP地址)被允许通过ACL,而主机位为偶数的IP地址(即最后一位为0的IP地址)被拒绝。(创建一个标准ACLACL编号为1),表示只允许主机位为192.168.2.1的主机通过ACL
计算机网络课设
热门推荐
耀耀zz的博客
09-15 4万+
《计算机网络》 课程设计报告书 专业:计嵌 班级:计嵌151 学号:1513052017 姓名:张耀 目录 一、 设计题目 二、 设备选型 三、 IP地址规划 四、 拓扑图设计 五、 主要技术 六、 配置清单 七、 总结
11、标准访问控制列表配置(思科)
qq_64951792的博客
06-17 2570
ACL的全称为接入控制列表(Access Control Lists),也称为访问列表(Access List),俗称为防火墙,在有的文档中还称之为包过滤。IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围分别为1~99、100~199、1300~1999、2000~2699;扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤;2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的。1、编号访问控制列表
思科 Cisco Access Control List ,简称ACL访问控制列表
weixin_48824655的博客
08-15 2135
Access Control List ,简称ACL访问控制列表
cisco 访问控制列表
06-11
Cisco 访问控制列表(Access Control List,ACL)是一种网络安全功能,用于控制网络中流量的访问权限。ACL 可以根据一系列规则,允许或阻止特定类型的流量通过网络设备,如路由器和交换机。 ACL 可以基于源IP地址、目标IP地址、协议类型、源端口、目标端口等条件来控制数据包的流动。ACL 通常分为两种类型:标准 ACL 和扩展 ACL。标准 ACL 只能基于源IP地址来过滤流量,而扩展 ACL 可以基于源IP地址、目标IP地址、协议类型、源端口、目标端口等条件来过滤流量。 通过使用 ACL,网络管理员可以控制谁能够访问网络上的资源,并且可以保护网络免受潜在的安全威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值