配置标准访问控制列表ACL

已于 2022-11-13 12:53:25 修改
阅读量3.9k 收藏 28
点赞数 2
分类专栏: 网络路由实验 文章标签: 网络 运维 网络协议 学习方法
于 2022-11-11 10:07:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52357217/article/details/127801031
版权

配置标准访问控制列表ACL

1. 标准访问控制列表的作用

  • 标准ACL(Access Control List)只检查数据包的源地址
  • 可以使用标准ACL阻止(或允许)来自某一网络的所有通信流量
  • 拒绝某一协议簇(如IP)的所有通信流量

注意:访问控制列表末尾隐含存在一条拒绝所有流量的指令。所以,访问控制列表至少要有一条允许数据通过的命令语句

默认语句
access-list 1 deny any

2. 标准访问控制列表的语法

基本语法:Access-list 标准访问控制列表号 deny/permit 源网络地址 通配符掩码

  1. 标准ACL的号码范围是<1-99>
  2. deny/permit 是必选项
    • deny表示如果满足条件,数据包则被丢弃
    • permit表示如果满足条件,数据包则被允许通过该接口
  3. 通配符掩码(反掩码),子网掩码按位取反就可以得到相应的通配符掩码

关键字any和host的用法

  1. any:允许源地址为任意的IP地址的数据包通过

    access-list 1 permit any 等价于
access-list 1 permit any 0.0.0.255 255.255.255.255

  2. host:仅允许单台主机的流量通过

    access-list permit host 192.168.100.100

3. 在接口上应用ACL

基本语法:ip access-group 访问控制列表号 in/out

  1. in:数据包从外部进入设备
  2. out:数据包从设备流向外部

in和out是针对设备来说的

4. 配置标准访问控制列表

本次实验的拓扑图如下图所示

拓扑图

各路由器的配置

Router0:
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config)#interface FastEthernet 0/1
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config)#interface Serial 0/1/0
Router(config-if)#ip address 192.168.3.1 255.255.255.0
-----本次实验采用静态路由-----
Router(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2

Router1:
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 192.168.4.1 255.255.255.0
Router(config)#interface Serial 0/1/0
Router(config-if)#ip address 192.168.3.2 255.255.255.0
-----本次实验采用静态路由-----
Router(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1
Router(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1

4.1 创建标准访问控制列表

目前所有主机互通,现要求主机PC0、PC1可以访问主机PC3而主机PC2不能访问主机PC3

注意:设置标准访问控制列表的路由器应尽可能靠近数据包所送达的目的主机端,这样可以直接对数据包进行过滤

因此,本次实验使用Router1作为标准访问控制列表的过滤器

Router1:
Router(config)#access-list ?
  <1-99>     IP standard access list
  <100-199>  IP extended access list
Router(config)#access-list 1 ?
  deny    Specify packets to reject
  permit  Specify packets to forward
  remark  Access list entry comment
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255	//允许192.168.1.0网段上的所有主机的数据包通过
Router(config)#access-list 1 permit host 192.168.2.101		//允许主机IP为192.168.2.101的数据包通过
Router(config)#access-list 1 deny host 192.168.2.102		//拒绝主机IP为192.168.2.102都数据包通过

4.2 选择接口的数据包流向

一般的,我们选择该设备数据流向的出口为该设备的过滤接口

我们需要根据具体情况来设置 in和out,一般out口适合少主机接入设置,而in口适合多主机接入设置

在本次拓扑实验里 in和out 的效果是一样的

在这里插入图片描述

Router1:
Router(config)#intface FastEthernet 0/0
Router(config-if)#ip access-group ?
  <1-199>  IP access list (standard or extended)
  WORD     Access-list name
Router(config-if)#ip access-group 1 ?
  in   inbound packets
  out  outbound packets
Router(config-if)#ip access-group 1 out		//接口fa0/0使用ACL1的规则并绑定out进行过滤

测试主机连通性

总结:

  1. 标准访问控制列表只针对源地址
  2. 标准访问控制列表的配置应该尽可能靠近目标端进行设置
  3. 配置接口的数据包流向的 in和out方向是针对该设备的
sarexpine
关注
  • 2
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ACL工作原理及处理过程
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
10-31 7196
文章目录一、ACL访问控制列表1.访问控制列表acl)2.访问控制列表在接口应用的方向二、访问控制列表的处理过程1.ACL工作原理2.ACL两种作用3.ACL种类4.ACL的应用原则(1)ACL的应用规则 一、ACL访问控制列表 1.访问控制列表acl) 读取第三层,第四层包头信息 根据预先定义好的规则对包进行过滤 (防火墙的功能) 第三层传输层 —— 数据段——源端口、目的端口 —————————————————————— 通信四元组 第四层网络层 —— 数据包——源IP、目的IP
ACL标准访问控制列表
任宇航的博客
01-18 867
路由器上配置RIP协议,并在R1上配置标准ACL实现以下功能: 服务器组的计算机拒绝访问Internet,其余部门可以访问Internet R1: Router>enable Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R1 R1
10、ACL访问控制列表)原理与配置
2301_76274559的博客
06-19 2558
本次主要介绍了ACL的相关技术知识,包括ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置
思科ACL访问控制列表配置命令教程
2301_76845656的博客
05-25 2094
访问控制列表ACL概念访问控制列表简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上。
ACL访问控制列表(详细配置教程)
热门推荐
亦在春风的博客
07-14 2万+
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。 这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。1~99 和 1300~1999:标准IP ACL。(基于源P地址过滤) 100~199 和 2000~2699:扩展IP ACL。 (基于源、目的IP地址;源、目的TCP/UDP端口;协议类型) AppleTalk: 600~699 IPX:800~899基于每种协议设置一个ACL(per p
ACL (访问控制列表)相关理论与基础命令
Gengchenchen的博客
10-30 1962
访问控制列表ACL)一、访问控制列表概述二、访问控制列表的工作原理(一)、访问控制列表在接口应用的方向(二)、访问控制列表的处理过程(三)、ACL: access list 访问控制列表1、ACL两种作用:2、acl 工作原理:3、acl种类:4、ACL(访问控制列表)的应用原则:三、ACL相关命令(一)、基本acl配置命令(二)、高级ACL配置命令 一、访问控制列表概述 1、读取第三次、第四层包头信息 2、根据预先定义好的规则对包头进行过滤 二、访问控制列表的工作原理 (一)、访问控制列表在接口应用的
访问控制列表ACL配置
ssslq的博客
01-10 1491
访问控制列表ACL以及
ACL介绍及其相关配置
m0_61665967的博客
07-25 8491
ACL称为访问控制列表在流量转发的接口限制流量的进或出为其他策略定义感兴趣流量;当数据包流量经过路由器接口进或出时,ACL可以匹配流量产生动作 --- 允许 拒绝匹配规则:自上而下逐一匹配,上条匹配按上条执行,不再查看下一条;cisco系在表格末尾隐含拒绝所有;华为系在表格末尾隐含允许所有;1. 意识到全意识的重要性:ACL实验涉及到对计算机资源访问权限的控制,这也在提醒我们要时刻保持警惕,意识到安全意识的重要性。
ACL介绍及基本命令配置
m0_74412260的博客
03-21 7048
ACL:又称访问控制列表,它只是一个匹配用的工具,用于过滤经过接口的数据包,根据规则要么放通,要么丢弃。
ACL标准访问控制列表
qq_41814701的博客
06-03 910
笔记: 满足第一个条件直接执行,否则看是否满足第二个条件,以此类推,如果所有条件都不满足,执行默认最终条件即拒绝所有(设备默认),故需要手写最后条件允许所有{access-list ID permit any}! 命令:access-list ID(1-99) {deny|permit} [host] {ip anti-subnet mask | ip} 由于只能控制源IP,故需要明确是控制端口的进还是出方向(根据实际情况而定) 访问控制表需要加在端口中 eg: int f0/0 i...
访问控制列表ACL配置教程
10-01
1. 标准访问控制列表:编号从1到99,主要检查数据包的源IP地址,用于简单的过滤需求。例如,你可以设置一条规则,禁止所有来自172.16.4.1/30的流量。 配置示例: ``` Router(config)# access-list 1 deny 172.16...
ACL访问控制列表.docx
10-13
ACL 访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包。下面是 ACL 访问控制列表的相关知识点: 1. ACL 访问控制列表的定义:ACL 是路由器和交换机接口的指令列表,用来控制端口进出的数据包...
ACL访问控制列表·ppt
04-30
1. 标准访问控制列表(Standard Access Control List):只能匹配报头中的源 IP 地址,且只能针对整个协议采取动作,无法针对特定的协议类型。 2. 扩展访问控制列表(Extended Access Control List):能够匹配报文...
Cisco访问控制列表配置指南全套
07-22
资源名称:Cisco访问控制列表配置指南全套资源目录: 教程目录【】Cisco访问控制列表配置004动态访问表【】013附录C 标准的访问表【】Cisco访问控制列表配置003Cisco访问表基础【】Cisco访问控制列表配置ACL总结...
三层交换机访问控制列表ACL配置.ppt
02-22
三层交换机访问控制列表ACL配置 三层交换机访问控制列表ACL是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,可以对网络访问进行控制,有效保证网络的安全运行。ACL是一个有序的语句集,...
11、标准访问控制列表配置(思科)
qq_64951792的博客
06-17 2592
ACL的全称为接入控制列表(Access Control Lists),也称为访问列表(Access List),俗称为防火墙,在有的文档中还称之为包过滤。IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围分别为1~99、100~199、1300~1999、2000~2699;扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤;2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的。1、编号访问控制列表
实验二十二 配置访问控制列表AGL
qq_59621600的博客
01-06 1884
实验二十二 配置访问控制列表AGL
访问控制列表ACL
weixin_58669530的博客
03-14 2438
文章目录一、ACL二、实验配置1.配置需求:2.配置步骤:3.配置命令 一、ACL 1、ACL的作用: 1)匹配数据包,实现数据包的控制(过滤或放行) 2、组成: 1)规则:即匹配数据包的各种条件; 2)动作:permit 和 deny ; 3、基本ACL 1)表示方式:ID,取值控制为:2000~2999 2)仅仅能匹配数据包的源IP地址,匹配数据包不精确 3)建议:在调用时,尽量调用在距离目标设备近的地方; 4、高级ACL 1)表示方式:ID,取值控制为:3000~3999 2)可以同时匹配数据包的源
标准访问控制列表配置
KingXai的专栏
10-15 2596
前提(先进入全局配置模式下) access–list 11 deny/permit 192.168.1.12 0.0.0.255    192.168.1.12为源地址0.0.0.255为192.168.1.12 的反掩码 11为标准访问控制列表的编号 ip access–group 11 in/out 前提(先进入接口配置模式下)     in为进方向out为出方向,缺省下为出方向 1
ACL--标准访问控制列表配置
最新发布
06-21
标准访问控制列表配置通常应用于早期的网络设备,按照预定义的规则对入站或出站的数据包进行控制。 配置一个标准ACL一般包含以下几个步骤: 1. **创建ACL**: 使用命令行工具(如Cisco IOS的access-list或IPV4/IPv6...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值