Ⅲ、ACL理论及案例实验

已于 2024-08-28 17:37:02 修改
阅读量977 收藏 18
点赞数 31
分类专栏: 网络工程——开端 文章标签: 网络 运维 网络协议
于 2024-03-20 11:52:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45790661/article/details/136869227
版权

目录

一、基础

二、三种ACL

  1.标准ACL

  2.拓展ACL

  3.命名ACL

三、部署实例

原则:

案例:

Do show run | sec acl   查看设置的acl

一、基础

ACL:access control list —— 访问控制列表

平时上网,其实就是数据包的传输,不同的上网行为,传输的数据包不同

数据包的五元组:IP地址、目的IP地址、协议、源端口、目的端口

Telnet        192.168.10.1        192.168.10.254        TCP        随机        23

QQ        192.168.10.1        QQ服务器         oicq        随机        8000     //端口和协议不同来区分包

QQ通话:本机的IP地址、QQ服务器的IP地址、UDP、本台设备的任意端口、8000

PING:自己的IP地址、对方的IP地址、ICMP、echo-request、echo-reply

TELNET:自己的IP地址、对方的IP地址、TCP、本台设备的任意端口、23

ACL的两大功能:

1、匹配感兴趣流量         //接口下调用,从上而下执行(in/out)

2、过滤数据包               //ACL可以根据数据包的五元组进行对数据包过滤

二、三种ACL

(实则两种,写法三种) 注意:只能删除整个表,不能单独删除表中的一个条目(标准/拓展acl)

  1.标准ACL

编号1-99【1300-1999】,最简单,只能根据IP地址过滤数据包的,只关注数    据包由谁发送,不能针对目的地址,也不能针对协议和端口,也不针对协议 一个any

  2.拓展ACL

编号100-199【2000-2699】,更精确,可以根据源、目IP地址、协议以及端口号过滤数据包  两个any

  3.命名ACL

可以对ACL进行命名,并且单独控制其中一条(方便删减)

三、部署实例

host IP地址 = IP地址 =  IP地址 0.0.0.0     //只允许设定的ip

原则:

1.按照序列号以此往下匹配,精确地ACL需要置顶(范围小的排前面)

          ACL默认的序列号是10,并且以10递增

2.配置ACL要在全局模式下,只有在接口(以太网接口、串行接口、VTY接口)下调用

3.ACL最后一条默认隐藏式拒绝所有

4.配置ACL时后面带上反掩码表示匹配范围,如果没有带上反掩码则默认跟上0.0.0.0

5.一个接口只能在一个方向调用一个ACL,远程都是in

6.只能针对过往的数据包进行过滤,自己发出的数据包无法过滤

         推荐标准ACL靠近目标配置拓展ACL靠近源配置(避免误杀,节省资源)

案例:

案例1使用标准ACL实现PC1不能ping通PC2          icmp   echo包

R3(config)#access-list 1 deny 192.168.10.0 0.0.0.255        //ACL 1第一条拒绝

R3(config)#access-list 1 permit any                         //ACL 1第二条允许剩下的所有

R3(config)#int e0/1

R3(config-if)#ip access-group 1 out         //当数据包从e0/1出去时,调用ACL进行数据包过滤

案例2使用拓展ACL实现PC1无法访问192.168.20.254   (不要再PC上启用ACL)

R1(config)#access-list 102 deny icmp 192.168.10.0 0.0.0.255 host 192.168.20.254 echo        

//ACL 102第一条拒绝192.168.10.0 0.0.0.255到192.168.20.254这个地址发送的icmp协议的echo包

R1(config)#access-list 102 permit ip any any         //ACL 102允许剩下的所有报文

R1(config)#int e0/0

R1(config-if)#ip access-group 102 in        //当数据包进入e0/0时,调用ACL进行数据包过滤

案例3使用命名类的标准ACL实现PC1不能ping通PC2

R3(config)#ip access-list standard PC1notoPC2                //创建一个命名类标准ACL,名字为PC1notoPC2

R3(config-std-nacl)#deny 192.168.10.0 0.0.0.255        //第一条拒绝192.168.10.0 0.0.0.255

R3(config-std-nacl)#permit any                                 //第二条允许剩下的所有

R3(config)#int e0/1

R3(config-if)#ip access-group PC1notoPC2 out                 //当数据包从e0/1出去时,调用ACL进行数据包过滤

案例4使用拓展ACL实现只有192.168.10.1能ping通PC2 --- PC2只给PC1回包

ping IP地址 source 指定端口)

R3(config)#access-list 114 permit icmp host 192.168.20.1 host 192.168.10.1 echo-reply         

//ACL 114第一条允许192.168.20.1这个地址发给192.168.10.1这个地址的icmp协议的echo-reply报文

R3(config)#access-list 114 deny ip any any         //ACL 114第二条拒绝剩下所有报文

R3(config)#int e0/1

R3(config-if)#ip access-group 114 in                //当PC2的回包进入e0/1接口时,调用ACL进行数据包过滤

案例5实现PC2能ping通R1,但是无法进行远程登录

1本台设备的VTY接口调用ACL(只能写标准ACL)

R1(config)#access-list 105 deny ip 192.168.20.0 0.0.0.255 any                //ACL 105第一条拒绝192.168.20.0 0.0.0.255发的所有数据包

R1(config)#access-list 105 permit ip any any         //ACL 105第二条允许剩下所有报文

R1(config)#line vty 0 4                        

R1(config-line)#access-class 105 in        //当流量进入VTY口时,调用ACL进行数据包过滤

2在物理接口调用ACL

R1(config)#access-list 115 deny tcp host 192.168.20.1 host 202.101.12.1 eq 23          //ACL 115第一条拒绝192.168.20.1给202.101.12.1的23端口通过tcp发送数据包【Telnet流量

R1(config)#access-list 115 deny tcp host 192.168.20.1 host 192.168.10.254 eq 23  //ACL 115第二条拒绝192.168.20.1给192.168.10.254的23端口通过tcp发送数据包【Telnet流量

R1(config)#access-list 115 permit ip any any         //ACL115允许剩下所有报文

R1(config)#int e0/1

R1(config-if)#ip access-group 115 in        //当流量进入e0/1时,调用ACL进行数据包过滤

案例6实现PC1能ping通PC2,但是PC2ping不通PC1【单向通信】

R3(config)#access-list 106 deny icmp host 192.168.20.1 host 192.168.10.1 echo        

//ACL106 第一条拒绝192.168.20.1到192.168.10.1的icmp协议的echo报文

R3(config)#access-list 106 permit ip any any        //ACL106 第二条允许剩下所有

R3(config)#int e0/1

R3(config-if)#ip access-group 106 in        //当流量进入e0/1时,调用ACL进行数据包过滤

Jun_Share
关注
专栏目录
华为路由器:ACL介绍及配置实验
迷逝
12-10 1万+
一、ACL介绍 ACL作用 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 应用设备——路由器 访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定
ACL实验
weixin_42280882的博客
07-30 924
理论基础 标准访问控制列表:基于IP地址过滤数据包,访问控制列表号2000-2999 扩展访问控制列表:基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包 命名访问控制列表:允许在标准和扩展访问控制列表中使用名称代替表号 实验目的 学习ACL;学习ACL规则的编写与端口的调用;学习ACL基础配置 实验环境 实验需求 全网互通 用ACL标准列表禁止vlan10和vlan20通信 用ACL扩展列表禁止AR3访问ftp服务 实验分析 ACL标准列表序号2000-2999,由于ACL标准列表,匹
ACL原理及实验
最新发布
FHY26828的博客
08-20 1396
访问控制列表 ACL是由一系列规则组成的集合,ACL 通过这些规则对数据包进行分类,从而设备可以对不同类报文进行不同的处理。ACL的规则匹配:报文到达设备时,查找引擎从报文中取出信息组成查找键值,键值与 ACL 中的规则进行匹配,只要有一条规则和报文匹配,就停止查找,称为命中规则。查找完所有规则,如果没有符合条件的规则,称为未命中规则,故ACL的规则分为“permit”(允许)规则或者“deny”(拒绝)规则和未命中规则。常用 ACL 的功能分类如下表所示:分类对应编号范围适用的IP版本。
ACL的综合应用案例
weixin_34119545的博客
08-24 267
在上一篇,介绍了ACL的原理与基本配置,举例说明了标准ACL、扩展ACL、命名ACL的配置案例,下面介绍综合应用ACL案例ACL的原理与基本配置的链接:http://yangshufan.blog.51cto.com/13004230/1958558 ACL的综合应用公司内部网络已经建成,网络拓扑图如下所示: 公司网络内部规划如下:(1)根据公司现有各部门主机...
acl实验
wanglong1258的博客
12-27 137
ACL实验 1、新建拓扑及地址规划 pc自动获取地址指令 配置设备 重复过程配置每一台设备 然后写rip协议 四、如何才能使PC1机不能ping到pc6,但是可以ping到pc5? 这时候R1的g0/0/0接口为入接口,所以输入inbound 四,(2)如何使PC2ping不到PC3,但是PC3可以ping到PC2? 现在R1的g0/0/0接口为出接口,输入为outbound 五、使路由器R1ping不到R3,但是可以远程登录R3 在路由器R2端口设置,借用g0/0/1端口,
acl使用示例
dnil27295的博客
06-12 291
declare v_count number; uprinciple varchar2(20); principle varchar2(20); beginuprinciple := upper('&wssl_user');select count(1) into v_count from dba_network_acls where acl like '%htt...
ACL实验
weixin_53176674的博客
12-13 2139
ACL功能:分类:题目分析 ACL:访问控制列表 功能: ​ 1、 访问控制—在路由器流量进或出接口上,定制列表匹配流量后产生动作—允许、拒绝(类似于小区保安) ​ 2、 定义流量 — 帮助其他的策略技术抓取流量(类似于保安抓人) 分类: ​ 标准 – 仅关注数据包中的源ip地址 ​ 扩展 – 关注数据包中的源、目标ip地址,目标端口号或协议号 题目 PC1可以Telnet R1但不能ping通 R1 PC1可以ping通 R2,但不能Telnet R2 PC2所有规则与PC1相反 分析 在R1
第八次实验ACL配置实验.docx
05-17
通过本次实验,我对如何在路由器上配置标准的 ACL 有了更深的理解,掌握路由器上标准 ACL 的规则及配置,也通过路由器标准 ACL 的配置实现了网段间互访的安全控制。访问控制列表(ACL)是一种基于包过滤的访问控制...
基于ACL的访问控制及安全策略的设计实验报告.doc
05-27
### 基于ACL的访问控制及安全策略的设计实验报告 #### 实验概述 本次实验主要探讨了基于访问控制列表(Access Control List, ACL)的访问控制与安全策略设计。通过实际操作,深入理解并掌握了如何利用ACL进行精确的...
H3C网络产品ACL及QoS配置案例
02-26
案例主要探讨如何利用H3C网络产品的ACL和QoS进行配置,以实现有效的网络管理和优化。 访问控制列表(ACL)是网络设备上的一个重要工具,用于过滤和控制网络流量。ACL通过定义一系列规则,允许或拒绝特定的网络...
ACL实验配置及分析
Piwrim的博客
12-23 1159
什么是ACL? 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 为什么使用ACLACL作为一个过滤器,设备通过应用ACL来阻止和允许特定流量的流入和流出,如果没有它,任何流量都会自由流入和流出,使得网络
ACL访问控制的基本实例
qq_56438857的博客
01-25 1856
在ensp中实践配置两种类型的acl访问控制。
ACL案例
m0_61338464的博客
11-24 138
目录 一.拓扑图 二.案例配置 三.测试结果 二.案例配置 AR1 <Huawei>undo terminal monito ##关闭弹出信息## <Huawei>sys ##进入系统视图## [Huawei]sysname AR1 ##重命名## [AR1]user-interface console 0 [AR1-ui-console0]idle-timeout 0 0 ##配置永不超时## [AR1-ui-console0]q ##退...
ACL技术原理浅析及实例
weixin_33991418的博客
12-14 284
摘要:本文主要介绍了IP访问控制列表(ACL)技术,对ACL的工作原理和工作过程进行了深入阐述,并对目前主要ACL应用进行了分析,最后给出具体应用的配置实例(本文以Cisco路由器的IOS的ACL为例,主要给出标准和扩展的配置),并就ACL需要注意的相关问题给出具体建议。 一、引言 ACL是一种基于包过滤的流控制技术,在路由器中被广泛采用,它可以有效的在三层上控制网...
ACL示例
spring℡
01-19 513
1、域名匹配 vim /etc/haproxy/conf.d/domain.cfg frontend openlab_http_port bind 192.168.157.10:80 mode http balance roundrobin log global option httplog ###################### acl setting ############################### acl pc_domain hdr_dom(host
企业中常用的ACL实例
weixin_34146986的博客
05-02 417
ACL实例实施环境:真实设备H3C的防火墙和两台PC1、要求:现有一台H3C防火墙和两台PC,两台PC分别代表两个网络lan1和lan2,路由器分别连接这两个网络,要求lan1---->lan2 tcp 允许,lan2---->lan1 tcp 不允许。2、网络拓扑图:使用亿图工具绘制出网络拓扑图如图1所示:图1:网络拓扑图3、设备配置(1)防火墙的配置/...
CCNA实验:基于IP的ACL实现网络安全
CCNA实验手册第9章深入探讨了访问控制列表(ACL)在网络安全中的关键作用。随着网络规模的扩大,保护网络免受日益增长的安全威胁变得尤为重要。ACL作为基础的网络安全技术,通过路由器上的包过滤机制,根据源地址、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jun_Share

能不花就省点~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值