ACL访问控制列表

最新推荐文章于 2020-08-05 17:48:30 发布
最新推荐文章于 2020-08-05 17:48:30 发布
阅读量888 收藏 6
点赞数 2
分类专栏: tcp/ip 文章标签: ACL
本文介绍了ACL的基本原理,包括流量控制和匹配流量的功能。详细讲解了标准ACL和扩展ACL的区别,以及如何配置和应用它们。通过实例展示了如何根据源IP、目的IP和端口设置ACL规则,以实现不同级别的访问控制。最后,强调了ACL应用中的注意事项,如顺序组织、接口应用等。
摘要由CSDN通过智能技术生成

文章目录

ACL的基本原理

为什么要用ACL?
在这里插入图片描述

  • ACL的两大主要功能
    流量控制
    匹配感兴趣流量

  • ACL的类型
    标准ACL:核对来源地址;一般允许或拒绝整个协议套件;
    扩展ACL:核对来源及目的地地址;一般允许或否认特定的协议和应用;
    用于识别标准和扩展ACL的两种方法
    编号的ACL使用数字来识别
    命名的ACL使用描述性名称或数字来识别

标准ACL

标准访问控制列表

  • 只能根据源地址做过滤
  • 针对整个协议采取相关动作(允许或禁止)
    在这里插入图片描述
扩展ACL

扩展访问控制列表

  • 能根据源,目的地地址,端口号等等进行过滤
  • 能允许或拒绝特定的协议
    在这里插入图片描述
ACL配置实践

  • 入站及出战
    在这里插入图片描述

  • 入方向的ACL操作
    在这里插入图片描述

  • 出方向的ACL的操作
    在这里插入图片描述
    access-list x
    在这里插入图片描述

  • 标准访问控制列表的配置
    • Router(config-if)#
    access-list access-list-number {permit|deny} source [wildcard mask]
    • 编号选择1 – 99
    • 通配符若无,默认0.0.0.0
    • “no access-list access-list-number” 将会删除整个ACL列表
    Router(config-if)#
    ip access-group access-list-number { in | out }
    • 在接口中应用
    • 应用时关联入或出站方向
    • 默认出站
    • “no ip access-group access-list-number”可移除接口上应用的访问列表

  • 通配符缩写
    192.168.1.1 0.0.0.0 =host 192.168.1.1
    精确匹配192.168.1.1这个IP
    0.0.0.0 255.255.255.255 = any
    匹配所有IP

  • 实例 1在这里插入图片描述
    只禁止A网段中的192.168.1.1访问外网,其他放行
    router(config)#access-list 1deny 192.168.1.1 0.0.0.0
    router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
    router(config)#interface e0
    router(config-if)#ip access-group 1 in

  • 实例2
    在这里插入图片描述
    只禁止A网段中的192.168.1.1-192.168.1.30访问外网
    router(config)#access-list 1 deny 192.168.1.0 0.0.0.31
    router(config)#access-list 1 permit any
    router(config)#interface e0
    router(config-if)#access-group 1 in

  • 实例3
    在这里插入图片描述
    只禁止A网段中的192.168.1.1–192.168.1.30 访问B网段的服务器2.200
    router(config)# access-list 100 deny ip 192.168.1.0 0.0.0.31 host 1922.168.2.200
    router(config)# access-list 100 permit any
    router(config)# interface e0
    router(config-if) ip access-group 100 in

  • 实例4

  • 在这里插入图片描述
    只禁止所有用户访问B网段的服务器的Telnet服务
    router(config)# access-list 100 deny tcp any host 192.168.2.200 eq 23
    router(config)# access-list 100 permit ip any any
    router(config)# interface e1
    router(config-if)# ip access-group 100 out

  • 查看
    Router# show access-lists {access-list number|name}
    Router# show access-lists
    Standard IP access listSALES
    10 deny 10.1.1.0, wildcard bits 0.0.0.255
    20 permit 10.3.3.1
    30 permit 10.4.4.1
    40 permit 10.5.5.1
    Extended IP access list ENG
    10 permit tcp host 10.22.22.1 any eq telnet (25 matches)
    20 permit tcp host 10.33.33.1 any eq ftp
    30 permit tcp host 10.44.44.1 any eq ftp-data

  • 总结
    • 每个接口,每个方向,每种协议,你只能设置1 个ACL
    • 组织好你的ACL的顺序,比如测试性的最好放在ACL 的最顶部
    • 你不可能从ACL从除去1 行,除去1 行意味你将除去整个ACL,命名访问列表(named access lists)例外
    • 默认ACL结尾语句是deny any,所以你要记住的是在ACL 里至少要有1 条permit 语句
    • 记得创建了ACL后要把它应用在需要过滤的接口上
    • ACL是用于过滤经过router 的数据包,它并不会过滤router 本身所产生的数据包
    • 尽可能的把IP 标准ACL放置在离目标地址近的地方;尽可能的把IP 扩展ACL放置在离源地址近的地方

在这里插入图片描述

heibaikong6
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ACL访问控制列表
qq_47175413的博客
06-03 4803
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
等保测评练习3
最新发布
weixin_54799594的博客
06-17 723
学习等保测评过程中的一些小练习
ACL访问控制列表
我们好像在哪见过
03-09 1362
ACL访问控制列表) 复习(NAT) 一、NAT 1.私有IP地址 (1)为了减少地址浪费,开发了私有地址。 (2)私有IP地址只能在内网使用,禁止出现在公网上,且可以重复利用。 (3)私有IP地址范围 10.0.0.0/8 172.16.0.0 -- 172.31.0.0/16 192.168.0.0/16 2.公网IP地址 除私有IP外,全是公网IP地址。 要求:公网IP地址只能出现在...
ACL基本原理
05-23 616
访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。 访问控制列表(ACL)的工作原理 ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。 ACl是一组规则的集合,它应用...
常见的ACL访问控制列表
weixin_34290631的博客
09-09 262
常见的ACL分标准访问控制列表、扩展访问控制列表和命名访问控制列表,不同的场合应用不同的访问控制列表。 1、 标准访问控制列表 一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。 2、 扩展访问控制列表 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配...
访问控制列表ACL
小小博客
11-04 1358
为什么需要ACL,无非是进行访问控制罢了。这种技术从路由器逐步推广到交换机上进行使用。
ACL访问控制列表.docx
10-13
ACL 访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包。下面是 ACL 访问控制列表的相关知识点: 1. ACL 访问控制列表的定义:ACL 是路由器和交换机接口的指令列表,用来控制端口进出的数据包...
ACL访问控制列表·ppt
04-30
ACL 访问控制列表 ACL(Access Control List,访问控制列表)是一种非常重要的基础性工具,主要用于控制和过滤网络流量。它是由一系列有序的条目组成的,每个条目包含“条件”和“动作”两元素。 ACL 的类型: 1....
ACL访问控制列表说明
10-24
ACL
26_ACL访问控制列表基础.pptx
09-27
ACL访问控制列表基础
ACL访问控制列表[整理].pdf
10-19
"ACL访问控制列表详解" ACL(Access Control List,访问控制列表)是一种网络层访问权限控制技术,用于控制网络中的访问权限,保护网络资源和用户的安全。下面是ACL的详解: 1. ACL的概念和原理 ACL是一种基于包...
实验五ACL访问控制列表
10-15
ACL访问控制列表在网络安全中的应用》 网络安全是现代网络管理的核心议题,随着网络规模的扩大,各种安全威胁也随之增多。访问控制列表(Access Control List,简称ACL)作为一种有效的网络安全工具,被广泛应用...
访问控制列表ACL及配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制。ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
实验三、ACL访问控制列表配置.doc
02-25
### 实验三、ACL访问控制列表配置 #### 实验目的 - **理解访问控制列表ACL)的概念**:访问控制列表是一种重要的网络安全措施,用于控制数据包进出网络设备的策略,能够有效地管理网络流量和方向,同时保障网络...
ACL访问控制列表.doc
10-07
ACL访问控制列表】是网络管理员用于管理网络流量和安全策略的重要工具。访问控制列表(Access Control List)是一系列规则的集合,这些规则定义了数据包的特定特征,如源IP地址、目的IP地址、端口号等,用来决定...
ACL 访问控制列表 (理论一)
王久惠的博客
08-05 457
1>ACL的含义: 应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包 需要拒绝 2>访问控制列表工作原理 读取第三层(ip)及第四层(端口)包头中的信息 根据预先定义好的规则对包进行过滤 实现访问控制列表的核心技术是包过滤 3>标准访问控制列表: 根据数据包的源IP地址来允许或拒绝数据包 访问控制列表号从1到99 4>标准访问控制列表的配置: access-list ---- 创建访问控制列表 Router(config)#access-list acce
ACL访问控制理论+实操详解
weixin_47151643的博客
07-29 6054
ACL访问控制理论加实操详解 文章目录ACL访问控制理论加实操详解前言1.1访问控制列表1.2访问控制列表的类型1.3:访问控制列表在接口应用的方向1.4:访问控制列表的处理过程1.5:ACL原理:二:实验拓扑2.1:配置SW12.2:配置路由器R12.3:配置R22.4:配置IP2.5:配置PC的IP需求一:验证全网通信需求二:用ACL标准列表禁止vlan 10和vlan 20通信实验三:用ACL扩展列表禁止AR1访问FTP服务器实验总结: 前言 访问控制列表(ACL)是一种基于包过滤的访问控制技术,
ensp acl访问控制列表
08-30
在ensp中配置ACL访问控制列表,可以通过以下步骤进行操作: 1. 进入ensp CLI命令行界面。 2. 使用acl命令创建一个ACL,并定义它的规则。例如,可以指定允许或拒绝哪些IP地址、端口、协议等等。 3. 将ACL应用到设备...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值