ACL 配置实例学习记录

最新推荐文章于 2024-06-07 09:18:52 发布
最新推荐文章于 2024-06-07 09:18:52 发布
阅读量984 收藏 11
点赞数 3
分类专栏: 网络互联技术 文章标签: 网络 运维 经验分享 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46286412/article/details/125810614
版权

ACL 配置实例

访问控制列表 (ACL) 是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

具体了解 ACL 请参考:什么是ACL

文章目录

1、实验目标

掌握 ACL 的配置方法;在交换机或路由器上利用 ACL 实现包过滤,禁止 PC1 访问 Server ,允许 PC2 访问 Server 。

2、网络拓扑图

注:PC 和 Server 的IP地址、子网掩码及网关,点击 PC 或 Server 进入自行配置
在这里插入图片描述

3、配置步骤

(1)按拓扑图配置端口 IP 地址

R1:

<Huawei>system-view  //进入系统视图
[Huawei]sysname R1  //重命名设备
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.1.1.1 24  //配置端口 IP 地址
[R1-GigabitEthernet0/0/1]quit
[R1]interface GigabitEthernet0/0/2
[R1-GigabitEthernet0/0/2]ip address 20.1.1.1 24  //配置端口 IP 地址
[R1-GigabitEthernet0/0/2]quit
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]ip address 40.1.1.1 24  //配置端口 IP 地址
[R1-GigabitEthernet0/0/0]quit

R2:

<Huawei>system-view  //进入系统视图
[Huawei]sysname R2  //重命名设备
[R2]interface GigabitEthernet0/0/0
[R2-GigabitEthernet0/0/0]ip address 40.1.1.2 24  //配置端口 IP 地址
[R2-GigabitEthernet0/0/0]quit
[R2]interface GigabitEthernet0/0/1
[R2-GigabitEthernet0/0/1]ip address 30.1.1.1 24  //配置端口 IP 地址
[R2-GigabitEthernet0/0/1]quit

(2)配置路由实现全网路由可通达

可以采用静态路由、RIP、OSPF等

采用静态路由具体请参考 静态路由配置实例学习记录
采用 RIP 路由具体请参考 RIP 配置实例学习记录
采用 OSPF 路由具体请参考 OSPF 单区域配置实例学习记录OSPF 多区域配置实例学习记录

a、配置路由操作如下:

本次实例选用 RIP 路由

R1:

[R1]rip 1  //启动 RIP
[R1-rip-1]version 2  //指定全局RIP版本	
[R1-rip-1]network 10.0.0.0  //在指定网段使能RIP
[R1-rip-1]network 20.0.0.0  //在指定网段使能RIP
[R1-rip-1]network 40.0.0.0  //在指定网段使能RIP
[R1-rip-1]quit

R2:

[R2]rip 1  //启动 RIP  	
[R2-rip-1]version 2  //指定全局RIP版本
[R2-rip-1]network 40.0.0.0  //在指定网段使能RIP
[R2-rip-1]network 30.0.0.0  //在指定网段使能RIP
[R2-rip-1]quit

b、检查联通性

用 PC1 去 ping PC2 和 Server1 的 IP 地址,发现都可以通
在这里插入图片描述

用 PC2 去 ping PC1 和 Server1 的 IP 地址,发现都可以通
在这里插入图片描述

(3)在 R1 上配置 ACL 并作用于端口

[R1]acl number 3000  //配置 ACL 策略
[R1-acl-adv-3000]rule 10 permit ip source 10.1.1.10 0.0.0.255 destination 30.1.1.10 0.0.0.255  //允许 10.1.1.10 (PC1) 访问 30.1.1.10 (Server1),地址掩码使用反掩码
[R1-acl-adv-3000]rule 20 deny ip source 20.1.1.10 0.0.0.255 destination 30.1.1.10 0.0.0.255  //限制 20.1.1.10 (PC2) 访问 30.1.1.10 (Server1),地址掩码使用反掩码
[R1-acl-adv-3000]quit
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000  //将策略应用在本端口上
[R1-GigabitEthernet0/0/0]quit

4、测试

用 PC1 去 ping Server1 的 IP 地址,发现还是可以通的
在这里插入图片描述

用 PC2 去 ping Server1 的 IP 地址,就发现已经不通了
在这里插入图片描述

5、小结

访问控制列表 (ACL) 分类:

ACL 类型适用的IP版本规则定义描述编号范围
基本ACLIPv4仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。2000~2999
高级ACLIPv4既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。3000~3999
二层ACLIPv4&IPv6使用报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、二层协议类型等。4000~4999
用户自定义ACLIPv4&IPv6使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则,即以报文头为基准,指定从报文的第几个字节开始与字符串掩码进行“与”操作,并将提取出的字符串与用户自定义的字符串进行比较,从而过滤出相匹配的报文。5000~5999
用户ACLIPv4既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。6000~6031
基本ACL6IPv6可使用IPv6报文的源IPv6地址、分片信息和生效时间段来定义规则。2000~2999
高级ACL6IPv6可以使用IPv6报文的源IPv6地址、目的IPv6地址、IPv6协议类型、ICMPv6类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。3000~3999

访问控制列表 (ACL) 功能:
(1)限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定这种类型的数据包具有更高的优先级,同等情况下可预先被网络设备处理。
(2)提供对通信流量的控制手段。
(3)提供网络访问的基本安全手段。
(4)在网络设备接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

文章如有错误之处,欢迎各位大佬批评指正

业余幻想家
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ACL配置(十分基础)
konna_H的博客
12-06 8592
ACL----------两者都可以以描述性名称和数字命名 使用通配符掩码,和子网掩码不同,它的0表示精确匹配,非0则表示不用精确匹配的位,即1表示可0可1,2表示有00,01,10,11四种,配合Ip地址使用 --------有两种配置方法,一般用access-list 1-99|100-199 源地址范围 目的地址范围 端口号 1.标准访问控制列表(在使用时尽量放在靠近目的地址的位
H3C路由器基本ACL配置案例.doc
12-15
H3C路由器基本ACL配置案例
HCAL-ACL
wang_e_d的博客
12-26 424
作业要求 1.规划IP地址 给r1.r2.r3.r4改名字防止混乱 r1---pc1 r2---pc2 r3---r1 r4---r2 在r1.r2。pc1.pc2写IP地址 2.把r2的路由表配完 3.由于pc1.pc2都是由两台路由器模拟成,所以网关是在两台路由器上设置缺省路由,下一跳就是网关地址 4.完成后全网可达 5.pc1不能Ping...
华为基本ACL配置实验记录
weixin_46575696的博客
04-07 1052
...
华为ACL配置(基本ACL+高级ACL+综合应用)
Ablimit17的博客
12-21 5798
R3-acl-adv-3000]rule 20 permit tcp source 14.1.1.1 0 destination 15.1.1.1 0 destination-port eq 80 // 允许 14.1.1.1 仅能访问 15.1.1.1之间的 web 流量。[R2-acl-adv-3000]rule 10 permit ip source 11.1.1.1 0 destination 10.1.1.1 0 //允许11.1.1.1和10.1.1.1之间的所有流量。
ACL配置实例
weixin_33775582的博客
02-19 143
转载于:https://blog.51cto.com/itxiaoliu/1899220
网络技术联盟站 | 网络安全之访问控制列表ACL详解和配置案例(全)
网络技术联盟站
09-27 1055
文章目录ACL 概述ACL的主要使用场景:ACL 的分类1.基本ACL2.高级ACLACL配置1.创建基本ACL2.创建高级ACLACL 配置实例(路由器)1.基本ACL配置示例2.高级ACL配置示例13.高级ACL配置示例2ACL 配置示例(交换机) ACL 概述 ACL(Access Control List,访问控制列表)是由一系列permit或deny语句组成的、有序的规则集合,它通过匹配报文的相关字段实现对报文的分类。 ACL本身只是一组规则,只能区分某一类报文,换句话说,ACL更像是一个工
ACL和NAT(附配置实例)超详细
这是博客的简介的简介
07-12 2775
每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。使用列表匹配私网的ip地址,将所有的私网地址映射成路由器当前接口的公网地址。1)静态NAT: 一个私网地址对应一个公网地址 (两个私网就对应两个公网地址) (一 一对应)。source 1.1.1.0 表示匹配项(用于在ACL中匹配对应规则,此处表示源IP地址)ACL访问控制表),用于过滤数据包(源目IP地址),决定是否能通过。NAT将内部(私有)地址转换成外部(公有)地址。
ACL配置
云计算运维工程师的成长之路
07-19 7059
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换技术,借助于访问控制列表,可以有效地控制用户对网络访问,从而最大程度地保障网络安全。......
H3C_ACL包过滤基础配置案例
04-18
H3C_ACL包过滤基础配置案例,原创文档。 适用于H3CV7版本的网络设备,包括交换机、路由器等。 搭建环境为HCL3.0.1,适用于刚入门的网络工程师学习参考。
H3C交换机 典型配置举例-6W100-ACL典型配置举例
08-04
H3C交换机 典型配置举例-6W100-ACL典型配置举例
Cisco ACL配置
09-26
Cisco ACL配置访问控制列表简称为ACL访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的...
ACL在路由器上设置例子
weixin_34244102的博客
09-30 148
基本IP配置 R1: Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#no ip do lo Router(config)#line console 0 Router(config-lin...
网络基础学习(第八章):ACL原理及配置
weixin_42054864的博客
06-06 2135
一、ACL访问控制列表1.1 ACL的两种作用:● 用来对数据包做访问控制(丢弃或者放行)● 结合其他协议,用来匹配范围1.2 访问控制列表● 读取第三层,第四层包头信息● 根据预先定义好的规则对包进行过滤1.3 访问控制列表在接口应用的方向● 出: 已经过路由器的处理,正离开路由器接口的数据包。● 入:已到达路由器接口的数据包,即将被被处理。注:数据是有去又回的,进的是进口,回来的时候就是出口,出的是出口,回来的时候就是进口。
ACL访问控制的基本实例
qq_56438857的博客
01-25 1783
在ensp中实践配置两种类型的acl访问控制。
华为路由器:ACL介绍及配置实验
热门推荐
迷逝
12-10 1万+
一、ACL介绍 ACL作用 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 应用设备——路由器 访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定
ipv6配置实验
Figust_07的博客
02-08 776
将r1两个环回和g0/0/0ip转为ipv6地址。r2的环回和g0/0/0接口IP转换为ipv6。利用ipv6多数组的特性减小工作量。在r2和r4上写两条缺省指向r3。3、在私网部分使用RIP协议。1、公网r2、r3、r4。修改下一跳和修改反射器。ipv4部分配置完成。
Ruoyi-Vue-Plus 下载启动后菜单无法点击展开,
最新发布
06-07 296
1.框架下载后运行2.使用mock数据3.进入页面后无法点击菜单本以为是动态路由或者菜单逻辑出了问题,最后发现是websocket的问题。
基本ACL配置实例交换机怎么配置
05-20
基本ACL配置实例交换机的步骤如下: 1. 创建ACL规则 在交换机中创建ACL规则,定义允许禁止的数据流。例如,我们可以创建一个ACL规则,允许TCP协议从源IP地址为192.168.1.10的主机流向目的IP地址为192.168.2.10的主机。 2. 将ACL规则应用到接口 现在,我们需要将ACL规则应用到交换机接口上,以过滤进出该接口的数据流。例如,我们可以将上述ACL规则应用到交换机接口GigabitEthernet0/1上。 3. 验证ACL规则是否生效 最后,我们需要验证ACL规则是否生效。我们可以通过ping测试或其他数据流测试方法来验证。 以下是一个ACL配置实例: 创建ACL规则: Switch(config)# access-list 1 permit tcp host 192.168.1.10 host 192.168.2.10 eq 80 将ACL规则应用到接口: Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# ip access-group 1 in 验证ACL规则是否生效: Switch# show access-lists Standard IP access list 1 10 permit tcp host 192.168.1.10 host 192.168.2.10 eq www (10 matches) Switch# ping 192.168.2.10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.10, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms 以上就是基本ACL配置实例交换机的步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

业余幻想家

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值