ACL技术

最新推荐文章于 2024-10-13 00:43:14 发布
最新推荐文章于 2024-10-13 00:43:14 发布
阅读量1.9k 收藏 6
点赞数
文章标签: 网络 以太坊 数字货币
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52825616/article/details/121405650
版权
本文介绍了访问控制列表(ACL)的概念及其在网络中的作用,包括标准和扩展ACL的分类。通过一个拓扑案例展示了如何配置ACL以限制特定设备间的通信,实现网络安全。最终验证了ACL配置的有效性,强调了合理使用ACL对于保障网络安全的重要性。
摘要由CSDN通过智能技术生成

目录

前言

一、ACL的概念

1、ACL的作用

2、ACL的分类

二、案例拓扑

ACL综合案例

总结

前言

访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。

一、acl的概念

1、acl的作用

读取第三层、第四层包头信息

根据预先定义好的规则对包进行过滤

2、acl的分类

(1)标准访问控制列表

基于源IP地址过滤数据包,标准访问控制列表的访问控制列表号是1 ~ 99。

(2)扩展访问控制列表

基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包,扩展访问控制列表的访问控制列表号是100~ 199。

(3)命名访问控制列表

命名访问控制列表允许在标准和扩展访问控制列表中使用,名称代替表号。

二、案例拓扑

ACL综合拓扑

图中pc1和pc3都属于vlan10 ,pc2和pc4属于vlan20,要求全网互通的情况下,pc1不能访问pc2,pc1不能访问服务器的ftp服务。

各设备的配置如下

LSW1
<Huawei>undo terminal monitor                                        关闭弹窗
<Huawei>sys                                                                        用户视图
[Huawei]sysname LSW1                                                        更改LSW1 
[LSW1]user-interface console 0                                           用不超时                                                                                 
[LSW1-ui-console0]id 0 0
[LSW1-ui-console0]q                                                          退回到上一级
[LSW1]vlan batch 10 20                                                      创建vlan10、20
[LSW1]int e0/0/1                                                                 进入e0/0/1接口
[LSW1-Ethernet0/0/1]port link-type access                      选择access模式
[LSW1-Ethernet0/0/1]port default vlan 10                        划给vlan10
[LSW1-Ethernet0/0/1]int e0/0/2                                       进入e0/0/2接口
[LSW1-Ethernet0/0/2]port link-type access                     选择access模式
[LSW1-Ethernet0/0/2]port default vlan 20                        划给vlan20
[LSW1-Ethernet0/0/2]int e0/0/3                                     进入e0/0/3接口       
[LSW1-Ethernet0/0/3]port link-type access                    选择access模式
[LSW1-Ethernet0/0/3]port default vlan 10                        划给vlan10
[LSW1-Ethernet0/0/3]int e0/0/4                                       进入e0/0/4接口    
[LSW1-Ethernet0/0/4]port link-type access                     选择access模式
[LSW1-Ethernet0/0/4]port default vlan 20                     划给vlan20
[LSW1-Ethernet0/0/4]q                                                      退回到上一级
[LSW1]int g0/0/1                                                           进入g0/0/1接口  
[LSW1-GigabitEthernet0/0/1]port link-type trunk         选择trunk模式
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all   允许所有标签流量通过

AR1
<Huawei>undo terminal monitor                                          关闭弹窗 
<Huawei>sys                                                                        用户视图
[Huawei]sysname AR1                                                           更改用户名为AR1                                         
[AR1]user-interface console 0                                               永不超时
[AR1-ui-console0]id 0 0                           
[AR1-ui-console0]q                                                              退回上一级
[AR1]int g0/0/0.1                                                                 进入 g0/0/0.1接口
[AR1-GigabitEthernet0/0/0.1]dot1q termination vid 10    分装协议号 vid10
[AR1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24        配置ip地址192.168.10.1/24
[AR1-GigabitEthernet0/0/0.1]un sh                                     激活端口
[AR1-GigabitEthernet0/0/0.1]int g0/0/0.2                          进入 g0/0/0.2接口
[AR1-GigabitEthernet0/0/0.2]dot1q termination vid 20     分装协议号 vid20
[AR1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24          配置ip地址192.168.20.1/24
[AR1-GigabitEthernet0/0/0.2]un sh                                         激活端口
[AR1-GigabitEthernet0/0/0.2]int g0/0/0.1                             进入 g0/0/0.1接口   
[AR1-GigabitEthernet0/0/0.1]arp broadcast enable               开启arp广播
[AR1-GigabitEthernet0/0/0.1]int g0/0/0.2                              进入 g0/0/0.2接口                      
[AR1-GigabitEthernet0/0/0.2]arp broadcast enable                开启arp广播  
[AR1-GigabitEthernet0/0/0.2]int g0/0/1                               进入 g0/0/1接口              
[AR1-GigabitEthernet0/0/1]ip add 10.1.1.1 24                    配置ip地址10.1.1.1/24  
[AR1-GigabitEthernet0/0/1]un sh                                         激活端口 
[AR1-GigabitEthernet0/0/1]q                                                   退回上一级 
[AR1]ip route-static 10.1.2.0 24 10.1.1.2                                获取10.1.2.0的地址,下一跳地址10.1.1.2
[AR1]acl 2000                                                                          进入 acl 2000
[AR1-acl-basic-2000]rule 5 deny source 192.168.10.10 0.0.0.0  拒绝192.168.10.10 流量通过
[AR1-acl-basic-2000]rule 10 permit source  any                        允许其他流量通过
[AR1-acl-basic-2000]q                                                                  退回到上一级
[AR1]int g0/0/0.2                                                                         进入 g0/0/0.2接口         
[AR1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000    应用acl 2000
[AR1]acl 3000                                                                                 进入acl3000
[AR1-acl-adv-3000]rule 5 deny tcp source 192.168.10.10 0.0.0.0 destination 10.1.
2.254 0.0.0.0 destination-port eq 21                                         拒绝192.168.10.10访问10.1.2.254 的ftp服务
[AR1-acl-adv-3000]rule 10 permit ip source any destination any     允许所有其他流量通过  
[AR1-acl-adv-3000]q                                                                         退回到上一级
[AR1]int g0/0/0.1                                                                             进入 g0/0/0.1接口  
[AR1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000              应用acl 2000

AR2
<Huawei>undo terminal monitor                                                     关闭弹窗                                           
<Huawei>sys                                                                                      用户视图                                                                                  
[Huawei]sysname AR2
[AR2]user-interface console 0
[AR2-ui-console0]id 0 0                                                                      永不超时
[AR2-ui-console0]q                                                                            退回到上一级
[AR2]int g0/0/0                                                                                  进入g0/0/0接口
[AR2-GigabitEthernet0/0/0]ip add 10.1.1.2 24                                 配置ip地址10.1.1.2/24                 
[AR2-GigabitEthernet0/0/0]un sh                                                     激活端口
[AR2-GigabitEthernet0/0/0]int g0/0/1                                              进入g0/0/1接口     
[AR2-GigabitEthernet0/0/1]ip add 10.1.2.1 24                                配置ip地址10.1.2.1/24      
[AR2-GigabitEthernet0/0/1]un sh                                                      激活端口
[AR2-GigabitEthernet0/0/1]q                                                            退回到上一级
[AR2]ip route-static 192.168.10.0 24 10.1.1.1                                获取192.168.10.0的地址,下一跳地址10.1.1.1                               
[AR2]ip route-static 192.168.20.0 24 10.1.1.1                                 获取192.168.20.0的地址,下一跳地址10.1.1.1   

 

 验证pc1无法访问pc2第一个要求验证成功

 验证pc1无法访问服务器的ftp服务第二个要求验证成功。

总结

 合理使用访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

qq_52825616
关注
深入探索思科中的ACL技术
2301_81920872的博客
04-17 1542
ACL(Access Control List)是一种基于包过滤的网络安全技术,用于控制网络流量的访问权限。它可以根据一定的规则,对经过网络设备的数据包进行过滤,从而实现访问控制的目的。ACL的重要性在于它可以有效地保护网络资源,防止非法访问和攻击,提高网络的安全性和稳定性。
ACL技术与园区网络
upmans的博客
10-28 459
NAT,对于从内到外的流量设备会通过NAT将数据包的源地址进行转换(转换成特定的公网 地址);即可以使用ipv4报文的源IP地址,也可以使用目的的IP地址,协议类型、甚至使用ICMP、TCP、UDP、ipv6等协议的各类字段信息来定义规则。配置了ACL网络设备会根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对报文执行优先设定好的处理动作。如果是公网地址,则会根据事先配好的静态ip地址映射表查找该源ip对应的公网ip地址。访问控制:在设备的流入或流出接口上,匹配流量,然后执行设定的动作。
ACL技术学习
12-02
PTN技术系列培训 -ACL技术,向对交换芯片ACL技术有所了解的可以看一下
ACL学习笔记
m0_62909438的博客
09-01 984
学习了解ACL,掌握ACL的基本配置使用。
ACL技术原理浅析及实例
weixin_33991418的博客
12-14 291
摘要:本文主要介绍了IP访问控制列表(ACL)技术,对ACL的工作原理和工作过程进行了深入阐述,并对目前主要ACL应用进行了分析,最后给出具体应用的配置实例(本文以Cisco路由器的IOS的ACL为例,主要给出标准和扩展的配置),并就ACL需要注意的相关问题给出具体建议。 一、引言 ACL是一种基于包过滤的流控制技术,在路由器中被广泛采用,它可以有效的在三层上控制网...
ACL技术总结
weixin_30822451的博客
10-22 885
1、ACL的全称是访问控制列表,本质上是定义一组策略,以便指导报文在交换机内部的转发行为。 2、要配置策略,首先要明确ACL应用的对象,可以是针对端口,也可以是针对特殊的一条流。 针对端口,就是指端口上收发的所有报文。 针对一条流,就是指符合特征的报文。 3、明确了对象后,需要明确策略的行为,即满足了条件后的报文,做什么动作。 动作可以是:限速、转发、...
ACL技术网络安全中的应用.pdf
09-20
ACL技术网络安全中的应用 ACL(Access Control List,访问控制列表)是一种被广泛应用在路由器和三层交换机上的访问控制技术。它能够对数据包进行过滤和控制,从而实现对网络访问的安全控制。本文将详细介绍ACL...
ACL技术在中小型网络安全管理中的应用分析.pdf
09-20
1. ACL技术概述:ACL是一种基于包过滤机制的网络安全技术,它的核心作用是根据预先设定的条件来过滤数据包,判断是否允许数据包通过网络设备的接口。ACL可以应用在路由器或三层交换机上,通过读取数据包的第三层和第...
ACL技术与NAT技术
x74188的博客
07-12 896
主要用于过滤网络中的流量,是控制访问的一种技术手段。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,应用在端口上,根据预先设定的策略,对特定端口的流量起到控制作用。访问控制列表(ACL)由一组规则组成,在规则中定义允许或拒绝通过路由器的条件。利用ACL可以对经过路由器的数据包按照设定的规则进行过滤,使数据包有选择的通过路由器,起到防火墙的作用。
网络安全技术——ACL技术(访问控制列表)
weixin_62594100的博客
04-03 1万+
一、ACL概述 访问控制列表(ACL)就是一种对经过路由器的数据流进行判断、分类和过滤的方法。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。 ACL有不同的类别,通过不同的编号来区别,华为设备中的ACL分类如下表: ACL类型 编号范围 规则制定依据 基本ACL 2000~2
ACL技术概述
2301_78538021的博客
07-06 381
匹配条件可以基于源IP地址、目标IP地址、协议类型、端口号等进行定义,而动作可以是允许通过、拒绝或其他特定操作。注:包过滤必须配置在接口某个方向上才能生效,一个接口的一个方向只能配置一个包过滤策略 建议:在不影响实际效果的前提下,包过滤尽量配置在离源地址最近的接口的入方向。高级ACL:对数据包的五元组(源IP、目的IP、源端口、目的端口、协议类型)进行检查,编号3000- 3999。2.按照ACL编号顺序(从小到大)匹配第一条规则,匹配进一步检查该条规则的动作, 否则与下一条规则进行匹配……
ACL 技术体系结构
winter_leaf_wei的专栏
12-08 622
<br />System.Security.AccessControl 命名空间通过一些方便的类(这些类抽象化 Windows ACL 安全系统的大部分复杂性)提供对访问控制列表 (ACL) 的访问。此外,System.Security.AccessControl 命名空间还包含几个提供对 Windows ACL 安全系统的高级访问的类。 <br />.NET Framework 提供对下列资源的 ACL 的访问: <br />加密密钥<br />目录<br />事件等待句柄<br />文件<br />Mu
第七章:ACl技术
Ruimin0519的博客
07-06 184
2、按照ACL编号顺序(从大到小)匹配第一条规则,匹配进一步检查该条规则的动作,否则与下一条规则进行匹配.....高级ACL:对数据包的五元组(源IP、目的IP、源端口、目的端口、协议类型)进行检查,编号3000-3999。二层ACL:检查二层帧的头部信息,源MAC\二层协议类型等等,编号4000-4999。通配符:哪些位需要严格匹配,哪些位可以随意,0表示严格匹配,1表示随意匹配。3、所有规则都不匹配,检查默认动作,默认动作允许则放行,默认动作拒绝则放弃。手动指定:0、1、2、3、4、5......
浅谈ACL技术背景
从宏观到微观,从抽象到具象!
03-15 392
ACL应用非常广泛,不仅仅是做数据的控制。
acl简介
热门推荐
安静的一个人
07-18 1万+
1 目录 2 基础 2.1 技术背景 ACL这玩意,在工作中,经常会遇到,特别是在数据中心这块,所以还是花点功夫去悟点真理出来。 年轻人,还是要讲武德。 说回悟德,ACL到底是什么玩意,来点背景先 在古代是一夫多妻制,把服务器当成老夫,不在防火墙做限制的话;那么PC1和PC2都是可以访问服务器。真好 回到现代,朝廷要限定一夫一妻制,为了达到这个目的,就得设立一系列法律规则。 要么PC1访问到服务器,要么PC2访问到服务器。 而这一系列法律规则就类似ACL。 你违反了条例,.
ACL原理基本ACL
最新发布
2301_79514721的博客
10-13 577
permit/deny 只是做为标记使用,具体是允许通过还是禁止通过是由其他技术决定的---------只标记没作用,---P允许---D拒绝。[AR1-acl-basic-2000]step <1-20> 设置步长,默认为5 修改步长长度好匹配ACL节点号的同步性,赏心悦目。INTEGER<3000-3999> 高级ACL,可以匹配 SIP、时间戳、分片、第一个报文、DIP、协议号、端口号 等。0--匹配192----匹配168----匹配1 255表示任意匹配,即192.168.1。
路由与交换技术ACL配置
2码8改
01-31 1843
                                       ACL配置 实验目的 掌握ACL的设计原则和工作过程 掌握标准ACL的配置方法; 掌握扩展ACL的配置方法; 掌握两种ACL的放置规则 掌握两种ACL调试和故障排除 实验要求 允许pc0特定主机访问网络; 允许pc1所在网络访问网络; 允许pc1所在网络访问www服务; 给出具体的实验步骤和调试结果 ...
ACL技术网络安全策略中的应用与实践
作者莫林利是网络工程和网络安全领域的讲师,文章详细阐述了ACL技术的基本原理、主要功能,以及在路由器上的配置和访问规则。通过一个具体的网络拓扑实例,文章深入分析了如何利用ACL来防范网络安全问题,并提供了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值