二十五·ACL

最新推荐文章于 2024-05-12 10:42:40 发布
最新推荐文章于 2024-05-12 10:42:40 发布
阅读量419 收藏
点赞数
分类专栏: 千锋网络安全笔记 文章标签: 路由器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lllly12378/article/details/113654799
版权

二十五·ACL

Access Control List

ACL是一种包过滤技术

ACL基于ip包头的ip地址,四层TCP/UDP头部的端口号

ACL在路由器上配置,也可以在防火墙上配置(一般称为策略)

标准ACL:

表号:1-99

特点:只能基于源ip对包进行过滤

命令:

conf t

access-list 表号 permit/deny 源ip或网段 反子网掩码

反子网掩码就是将正子网掩码的0和1倒置

255.255.255.0 0.0.0.255

access-list 10 deny 10.0.0.0 0.255.255.255 拒绝所有源ip为10开头的

反子网掩码的作用:用来匹配,与0对应的需要严格匹配,与1对应的忽略

查看acl表

show ip access-list

将acl应用到某端口

int f0/x

ip access-group 表号 in/out

exit

扩展ACL

表号:100-199

特点:可以基于源ip 目标ip 端口号 协议等对包进行过滤

命令:

conf t

access-list 100 permit/deny 协议 源ip或源网段 反子网掩码 目标ip或目标网段 反子网掩码 【eq 端口号】

注释:协议:tcp/udp/icmp/ip 当细致到端口号的时候前面必须要写上这个端口号依赖的协议

acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80

acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255

acc 100 permit ip any any

查看acl表

show ip access-list

将acl应用到某端口

int f0/x

ip access-group 表号 in/out

exit

ACL原理:

(一个接口有两个方向(此方向是站在路由器的角度))

acl表必须应用到接口的进或出方向才生效

一个接口的一个方向只能应用一张表

进还是出方向应用取决于流量控制的总方向

ACL表是严格自上而下的检查每一条,所以要注意书写顺序,每一条是由条件和动作组成,当某流量没有满足某条件则继续检查下一条(大多数情况是越往下域越广(一个范围内))

ACL表内隐含any x(当所有条件都不满足是数据将被干掉)

做流量控制,首先要判断ACL写的位置(哪个路由器,哪个接口方向)再考虑怎么写ACL

如何写:先判断最终要允许所有还是拒绝所有,写的时候将严格的控制写在前面

一般情况下,标准或扩展acl一旦编写好无法修改或删除某一条,无法修改顺序。

deny ------------------- 拒绝

permit -----------------允许

lllly12378
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈ACL 访问控制列表
weixin_43572328的博客
03-26 694
ACL访问控制列表 用途:是应用在路由器接口列表的一种路由策略(也可以说是定义的一种规则)这个列表中的内容就是告诉路由器,哪些数据包可以接收,哪些数据包不需要拒绝接收。 作用:1,访问控制 - 在路由器上流量进或出的接口上对流量进行特定的控制 2,定义感兴趣流量 - 为其他的各种路由策略匹配流量 访问控制::定义ACL后,将列表调用于路由器的接口上,当流量通过接口时,进行匹配,匹配成功之后按之前设...
ACL阻断QQ的访问列表,经测试有效
02-02 257
阻断QQ的访问列表,经测试有效access-list 106 deny udp 172.16.0.0 0.0.255.255 any eq 4000access-list 106 deny udp 172.16.0.0 0.0.255.255 any eq 8000access-list 106 deny tcp 172.16.0.0 0.0.255.255 any eq 8000access
通过acl设置阻止数据包通过
最新发布
wudongfang666的专栏
05-12 309
实验拓扑和信息如图(配置信息参考上一章内容)接口0视图下 数据接收时。acl设置代码 AR4。
ACL的一些总结
sign1991的专栏
09-08 830
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ access-list逐条匹配,满足条件即转发,因此access-list的过滤顺序非常重要 +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++
NAT实验——基于ACL实验的IP配置
qq_45491497的博客
09-30 390
搭建实验环境如下(其中AR4为外网): 二丶配置缺省路由(AR3为边界路由器)及接口IP 边界路由AR3 [AR3]rip 1 [AR3-rip-1]version 2 [AR3-rip-1]default-route originate [AR3-rip-1] Sep 30 2019 22:02:28-08:00 AR3 %%01IFPDT/4/IF_STATE(l)[0]:Interface ...
acl详细解读
03-30
#### 二、在Linux系统中开启ACL权限 在CentOS 7.3及其后续版本中,默认情况下新创建的分区会启用ACL权限。但在早期版本如CentOS 6.9中,可能需要手动开启。具体操作如下: 1. **挂载时指定打开ACL权限**:通过`...
《华为基础实验》二十二 配置访问控制列表ACL.docx
11-29
ACL 可以在路由器、三层交换机等设备上使用,目前部分新二层交换机也支持 ACLACL 由编号或名字标识,ACL 包含一组语句(规则)。ACL 包括 permit/deny 两种动作,表示允许/拒绝,匹配(命中规则)是指存在 ACL,且...
acl损伤与康复学习教案.pptx
09-29
#### 二、生物学特点 - **纤维组成**:ACL由两个主要部分构成: - 前内支(Anteromedial Bundle, AMB) - 后外支(Posterolateral Bundle, PLB) - **力学特性**: - 当膝关节处于伸直状态时,AMB相对较松弛,而...
用ensp的22个实验,VRRP,IP ACL,NAT,Easy Ip,HDLC,PPP,CHAP,PPPoE,OSPF,帧中继
08-17
实验二十和实验二十二涵盖了DHCP(动态主机配置协议)中继的配置,用于自动分配IP地址和其他网络配置信息给客户端。 实验二十一关注无线LAN(局域网)配置,这对于理解和管理现代无线网络至关重要。每个实验都旨在...
第二章:Oracle数据库表的管理
12-14
二、数据库表的操作 在Oracle中创建表,你需要指定表名和列的定义,包括数据类型。例如,创建一个名为`student`的学生信息表: ```sql CREATE TABLE student ( sid NUMBER(8,0), name VARCHAR2(20), sex CHAR(2...
ACL管理与配置(ACL匹配机制、ACL应用匹配位置、基本配置)】(下)-20211214
AZK707的博客
01-29 2202
一、基本ACL&高级ACL 1.基本ACL 只能根据源ip进行匹配 配置rule时不写编号,会自动补上,从rule 5开始,步长为5 2.高级ACL 可以根据协议、源ip、目的ip、端口号进行匹配 二、ACL的匹配机制 如果ACL匹配接口为不匹配,查看路由表,是否能转发改路由。 acl用来匹配流量默认规则是允许,用来匹配路由默认是拒绝 三、ACL匹配位置 1.在入方向的接口或者出方向的接口上配置 1) inbound的优势:先看ACL,再查路由。...
acl拒绝网段访问dns_ACL阻止访问特定网站
weixin_39640911的博客
12-19 4581
ACL阻止访问特定网站如何使用Cisco命令阻止访问特定网站==============================步骤1:配置一个DNS服务器假设我们打算屏蔽一个名为www.badsite.com的网站。我们并不知道该网站的具体IP地址,而且我们也不想知道。没问题——Cisco IOS会自己 把地址找出来并填上它。要做到这一点,我们需要至少在路由器上配置一台DNS服务器。若想配置一台DNS服...
高级ACL的基础配置命令
qq_23930765的博客
01-11 4718
它的基本原理是:配置了ACL网络设备根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对匹配上的报文执行事先设定好的处理动作。处理动作的不同以及匹配规则的多样性,使得ACL可以发挥出各种各样的功效。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。主要介绍了ACL的相关技术知识,包括:ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置及应用。在基本ACL视图下,通过此命令来配置基本ACL的规则。
网路中的ACL--
qq_60807433的博客
12-02 3919
关于网络ACL基本知识
CCNA--ACL:访问控制列表
yangyuCISCO的博客
12-24 490
ACL访问控制列表 作用:1、控制数据流量 2、抓取感兴趣流量 访问控制:当流量在路由器上的各个接口,进入或离开时,ACL对流量进行匹配,之后产生动态—允许或拒绝 【1】分类:标准ACL 扩展ACL 标准ACL:检查数据源IP地址 扩展ACL:检查数据协议、源目IP地址 (上层协议) ACL是一张表 每张ACL可包含多个条目 每个条目需要做permit/deny动作 允许 拒绝 【2】写法: ...
关于华为ACL末尾的详解
qq_43008319的博客
06-03 4745
众所周知,华为的ACL末尾是默认permit,思科的ACL末尾默认deny。 实际操作过来并不是这样的。因为错误的认知,还造成了业务中断。 例: 业务出口处需要对两个源IP进行引流至防火墙,通过出口配置PBR。回包直接指静态到防火墙。 ACL里加了2条匹配源地址,末尾加了一条rule deny ip,最终结果是,引流的IP正常。其他所有业务不通。咨询华为工程师后,回复末尾加rule deny ip导致的。 最终通过模拟器测试得出以下结论。 华为的ACL末尾机制: 末尾加rule permit ip 相当于p
网络学习(第二十篇-ACL
qq_43068990的博客
12-29 455
ACL-访问控制列表 ACL是一种包过滤技术。 ACL基于IP包头的IP地址,四层TCP/UDP头部的端口号。[5层也可以,但不建议] 基于3,4层过滤 ACL路由器上配置,也可以在防火墙上配置(一般称为策略) 防火墙:主要用于3,4层,过滤网络流量。 IDS/IPS:主要对帧进行全面检查,过滤木马,病毒。 ACL主要分为2大类: 1)标准ACL 2)扩展ACL 标准ACL: 表号:1-99 特点:只能基于源IP对包进行过滤 命令: conf t access-list 表号 permit/deny 源I
彻底澄清子网掩码、反掩码、通配符掩码以及ospf network命令误区
一个懒鬼的博客
02-14 9017
1.子网掩码(IP subnet mask) 用途:标识一个IP地址的网络位,主机位 网络设备判断目的IP跟自己是否同一网段的依据。 特点:1和0绝对不可能间隔,1总在0的前面。 网络通信角度,子网掩码只具有本地意义。跟对端没有匹配的硬性要求。 误区:一条链路两端的子网掩码必须一致(是习惯不是必须) 例外:ospf 多路访问网络中,掩码不一致会影响ospf邻居关系建立 2.通配符掩码 wildcard mask 用途:选出一组符合否规则的IP地址 特点:0表匹配...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值