网络配置之ACL

最新推荐文章于 2023-06-06 19:37:41 发布
最新推荐文章于 2023-06-06 19:37:41 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: # 网络配置 文章标签: 网络配置 ACL PT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38768365/article/details/114276013
版权

文章目录

0x01 ACL概述

  1. 什么是ACL?

    ACL,即访问控制列表,ACL可以读取第三层、第四层的包头信息,并根据预先定义好的规则对包进行过滤。

  2. 应用ACL时需要注意什么?

    • ACL必须应用到接口上才能生效;
    • 一个接口最多应用两个ACL,出方向入方向
      • outside:已经过路由器的处理,当从此接口离开时才生效的ACL;
      • inside:到达路由器并从此接口进入路由器时才生效的ACL。

  3. ACL的处理过程?

    • 首先会匹配第一条ACL,若匹配成功且为拒绝则直接丢弃该数据包;若匹配成功且为允许则将数据包转到目的接口;若匹配不成功,则继续匹配下一条ACL;后续的匹配过程亦是如此。
    • 若所有规则都不匹配则丢弃该数据包,因为ACL规则默认为拒绝。

0x02 ACL分类

  • 标准ACL
    • 基于源IP地址过滤数据包
    • 标准ACL的访问控制列表号是1-99
  • 扩展ACL
    • 基于协议、源IP地址、目的IP地址、端口和标志来过滤数据包
    • 扩展ACL的访问控制列表号是100-199
  • 命令ACL
    • 命名ACL允许在标准和扩展访问控制列表中使用名称代替表号

0x03 ACL应用

  1. 标准ACL

    # 拒绝主机192.168.1.1的流量通过
R(config)#access-list 1 deny 192.168.1.1 0.0.0.0
R(config)#access-list 1 deny host 192.168.1.1
# 允许192.168.1.0/24的流量通过
R(config)#access-list 1 permit 192.168.1.0 0.0.0.255
# 隐含的拒绝语句(拒绝所有主机)
R(config)#access-list 1 deny 0.0.0.0 255.255.255.255
R(config)#access-list 1 deny any

R(config)#int f0/1
# 将ACL应用到f0/1的入方向(出方向为out)
R(config-if)#ip access-group 1 in

  2. 扩展ACL

    # 允许192.168.1.0/24中的主机访问192.168.2.0/24中的主机
R(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 12.168.2.0 0.0.0.255
# 允许192.168.1.0/24中的主机访问192.168.2.0/24中主机的21号端口
R(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 12.168.2.0 0.0.0.255 eq 21
R(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 12.168.2.0 0.0.0.255 eq ftp
# 允许所有访问
R(config)#access-list 101 permit ip any any
# 拒绝192.168.1.0/24中的主机ping192.168.2.2主机
R(config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo

R(config)#int f0/1
# 将ACL应用到f0/1的出方向(入方向为in)
R(config-if)#ip access-group 101 out

  3. 命名ACL

    # 标准命名ACL
R(config)#ip access-list standard Out-to-ISP
R(config-std-nacl)#deny 192.168.1.0 0.0.0.255
R(config-std-nacl)#permit any 

# 扩展命名ACL
R(config)#ip access-list extended In-to-ISP
R(config-ext-nacl)#deny ip host 192.168.2.2 192.168.1.0 0.0.0.255
R(config-ext-nacl)#permit ip any any

R(config)#int f0/1
R(config-if)#ip access-group Out-to-ISP in

0x04ACL查看

# 查看所有ACL
R#show access-lists
# 查看编号为1的ACL
R#show access-lists 1
煮酒笺华
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网络学习三--ACL配置1
PollyZBL的博客
04-13 603
ACL配置1IntruductionTopological GraphSetup IP Address & IP Route-StaticSetup ACLVerify this TestSummary Intruduction ACL的简单应用,位于不同路由下的两台PC,首先配置静态路由让他们联通,再配置ACL让他们无法通信。 Topological Graph Setup IP A...
网络-ACL
weixin_43899817的博客
02-09 337
一、编号ACL和命名ACL 调试命令: show run | include access-list show access-list //查看ACL状态 debug ip icmp //调试ICMP 实验1:编号标准ACL 要求:1.1.1.1可以访问3.3.3.3,而192.168.1.1不能访问3.3.3.3 ① 配置ACL access-list 1 permit 1.1.1.1 0.0.0.0 access-list 1 deny 192.168.1.0 0.0.0.252 //可以..
acl方向
weixin_34378922的博客
05-19 330
对于acl的方向问题,说句实话我也纠结了一天,看了好多别人写的文章,可是总是觉得还是要想向一下,我是做锐捷的,悲剧可是我是学思科出身的,对于锐捷的比较bt,他只是支持in方向的调用,可是思科的是全部支持的啊,对于方向的问题,我们想象一下,假设有三个vlan ,vlan 10.vlan20.vlan30.现在要vlan 10不能访问vlan 20.vlan30,但是只能限制在i...
ACL管理与配置ACL匹配机制、ACL应用匹配位置、基本配置)】(下)-20211214
AZK707的博客
01-29 2414
一、基本ACL&高级ACL 1.基本ACL 只能根据源ip进行匹配 配置rule时不写编号,会自动补上,从rule 5开始,步长为5 2.高级ACL 可以根据协议、源ip、目的ip、端口号进行匹配 二、ACL的匹配机制 如果ACL匹配接口为不匹配,查看路由表,是否能转发改路由。 acl用来匹配流量默认规则是允许,用来匹配路由默认是拒绝 三、ACL匹配位置 1.在入方向的接口或者出方向的接口上配置 1) inbound的优势:先看ACL,再查路由。...
ACL概述及配置
qhycvbjs的博客
08-28 1594
文章目录一、ACL概述1、作用2、接口应用的方向3、处理原则4、类型4.1 标准访问控制列表4.2 扩展访问控制列表二、实验配置1、实例12、实例2三、总结 一、ACL概述 1、作用 读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选和过滤。 三层头部信息:源、目IP 四层头部信息:TCP/UDP协议、源、目端口号 2、接口应用的方向 ①入方向:流量将要进入本地路由器,将要被本地路由器处理 ②出方向:已经被本地路由器处理过,流量将离开本地路由器 补: 策略做好后,在入接口和出接口调用的区别: 入接口
ACL(访问控制列表)
Liangheng32的博客
08-27 375
目录 ACL-访问控制列表 访问控制列表的调用的方向: 策略做好后,在入接口调用和出接口调用的区别: 访问控制列表的处理原则: 访问控制列表类型: 实验1: 标准访问控制列表 ACL-访问控制列表 作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。 三层头部信息:源、目IP 四层头部信息:源、目端口号 访问控制列表的调用的方向: 入:流量将要进入本地路由器,将被本地路由器处理。 出:已经被本地路由器处理过了,流量将离开本地路由器。 (所谓的接口的出和...
网络工程实验 配置标准ACL
12-15
通过这个实验,我们可以学习如何配置标准IP ACL,以实现网络访问控制,并提高网络安全性。 知识点7:实验拓扑的实现 实验拓扑的实现需要使用路由器和PC机。我们需要配置路由器的接口、设置IP地址和子网掩码,并...
网络工程实验 配置扩展ACL
12-15
扩展 ACL 可以根据配置的规则对网络中的数据进行过滤,对数据包的源 IP 地址、目的 IP 地址、协议、源端口、目的端口进行检查,从而达到访问控制的目的,提高网络安全性。 在本实验中,我们将使用扩展 ACL 实现以下...
使用基本ACL限制公司网络访问.rar
02-17
2、学习目标:配置交换机基础环境,配置路由器基础环境,配置基本ACL访问控制 3、应用场景:使用基本ACL限制公司网络访问 4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出了实验的...
使用扩展ACL限制公司网络访问.rar
02-17
2、学习目标:配置路由器接口,配置高级ACL控制访问 3、应用场景:使用扩展ACL限制公司网络访问 4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出了实验的topo文件(包括配置信息) 5...
ACL 进行网络流量的控制1
08-08
实验步骤包括:需求分析、网络拓扑结构、实验原理、路由器设置、测试拓扑结构等。 知识点八:实验结果 实验结果显示,使用 IP ACL 可以控制网络流量,使得网段 172.16.2.0 与 172.16.4.0 的主机可以进行通信,但...
ACL-in-out的区别
seaship的博客
01-10 6699
1.access-list 与ip access-list的区别 access-list 是用数字来定义----acl(标准或扩展ACL,用数字定义)  ip access-list 是用名字来定义acl(命名ACL 命名前面要加 standard or extended 2.应用在端口上的访问控制列表 1、如果在路由器R1上配置标准的访问控制列表,阻止PC1访问PC3,如配置ACL为acce...
ACL的in和out图解(router或三层交换机)
wailaizhu的博客
02-18 4658
acl中in和out的区别。 标准访问控制列表只能抓原地址。 扩展访问控制列表可以抓原地址 端口 目的地址 端口。 a.举例 ip access-list 1 permit 192.168.11.2 如果这个时候应用在192.168.11.2所接的设备上,检测到这个原地址的数据包将被丢弃,不管去往哪里。 b.扩展访问控制列表可以抓原地址 端口 目的地址 端口。 用在源地址处,方向in将避免流量穿越网络,首先被拦截。 用在目的地址处,方向out 也能达到效果,流量穿越网络...
网络ACL原理与配置
最新发布
m0_70893463的博客
06-06 5365
3000-3999 高级acl,可以匹配源ip和目标ip、源端口和目标端口、三层和四层的协议字段(三层:icmp,arp。四层:udp,tcp)虽然划分了vlan,但是不是流量控制,只是单纯的划分了广播域,而且通过三层交换机或者单臂路由还能实现不同vlan之间的通信,要求1:允许pc1访问pc3 pc1访问192.168.2.0/24(pc1能ping通pc3,其他pc不能)所以最后一位都是1是固定的,固定的位置是0,前面的都会变,所以结果是11111110 十进制为254。
访问控制列表ACL
sjsjshhs134654的博客
11-11 1047
从路由器的角度来看,数据包可以分为进入的和出去的数据包。ACL是一组判断语句的集合,具体对下列数据包进行检测并控制:从入站接口进入设备的数据包;2、只有在数据包与第一个判断条件不匹配时,它才交给ACL中的下一个条件判断语句进行比较。列表在调用时需要分清出入口,以数据流向为参照,进入接口的是"in" 出口是"out"流量在被路由器ACL处理时,如果配置了NAT,会先进行NAT转换,再通过ACL过滤。出:已经过路由器的处理,正离开路由器接口的数据包。,标准访问控制列表的访问控制列表号是。
0基础学RS(二十七)ACL访问控制列表
weixin_45816894的博客
06-10 3237
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。ACL分为基本ACL和高级ACL。基本ACL针对网络层和传输层进行过滤,也叫包过滤。 其中基本ACL中包含标准ACL和扩展ACL。拓扑由于ACL的使用是基于底层互通的情况下来制定一些规则,所以首先保证底层互通。规则1:禁止PC3访问PC1(源为PC3,目的为PC1,所以靠近源配置(R1))方法一: 方法二: ACL一般用在接口上,其中包括入站ACL和出站ACL注意:ACL对路由器自己产生的数
ACL的方向
weixin_30510153的博客
05-23 685
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。 信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量...
Cisco Packet Tracer实验及实训
热门推荐
Hugu
10-24 3万+
Cisco Packet Tracer实验及实训,主要参照于路由和交换技术实验实训完成。本文中实现RSPAN配置实验、VTP配置实验、交换式以太网实验、交换机VLAN远程配置实验、交换机远程配置实验、单交换机VLAN配置实验、容错实验、负载均衡实验、跨交换机VLAN配置实验、路由聚合实验、 链路聚合与RSPAN配置实验、链路聚合与VLAN配置实验、链路聚合与生成树配置实验、集线器和交换机工作原理验证实验等。文末附有实验材料有需可自行下载。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值