第八章:ACL 路由器的访问控制列表

最新推荐文章于 2023-05-28 13:52:21 发布
最新推荐文章于 2023-05-28 13:52:21 发布
阅读量1.4k 收藏 9
点赞数 2
分类专栏: 计算机网络
JaweG
本文链接:https://blog.csdn.net/weixin_36750623/article/details/94847324
版权

目录

怎么配置标准的ACL(访问控制列表)

ACL作用

路由器的访问控制列表ACL的作用是(B)
  A. ACL可以监控交换的字节数   B. ACL提供路由过滤功能
  C. ACL可以检测网络病毒       D. ACL可以提高网络的利用率

    通过路由器提供的访问控制列表可以根据一些准则过滤不安全的数据包,如攻击包、病毒包等,以保证网络的可靠性和安全性。ACL适合于所有网络层协议,如IP/IPX/AppleTalk等协议。ACL的定义也是基于每一种协议的,但实际网络应用中,特别是在Internet上,都使用TCP/IP协议,因此基于IP协议的ACL的应用即为普遍。

总结:IP访问控制列表的主要功能
(1) 过滤流入和流出路由器接口的数据包。
(2) 带宽控制、控制对虚拟终端(VTY)的访问(Telnet)
(3) 限定路由更新内容、重新分配路由、触发按需拨号(Dial-on-Demand Routing,DDR)呼叫
(4) 限制诊断(debug)输出和为质量保证服务(QoS)识别、分类流量等。

IP访问控制列表的分类

IP访问控制列表的分为两类:一类是标准访问控制列表、扩展访问控制列表。
在这里插入图片描述
(1)标准访问控制列表(IP StandardAccess Lists)
    只允许过滤数据包的源地址,根据源网络、子网或主机的IP地址来决定对数据包的过滤,比如拒绝接收还是允许接收。
    标准访问控制列表的表号范围是1~99,补充的表号是1300~1999。

    举例:当需要配置对虚拟在终端(VTY)的访问控制权限,可以使用标准访问控制列表,设定凡是来自网络管理员的IP地址可以允许通过vty line远程登录到路由器,而来自所有其它地址的数据拒绝通过vty line 进入路由器。

(2)扩展访问控制列表(IP ExtendedAccesss Lists)
    允许用户根据以下内容过滤报文:源地址和目的地址,根据源网络或目的网络、子网、主机的IP地址决定数据包的过滤操作,还可以检查指定的协议,根据数据包头中的协议类型进行过滤,如IP协议、TCP协议、和UDP协议等。
    扩展访问控制列表的表号范围是100~199,补充的表号是2000~2699。

    举例:在发生利用ICMP协议攻击网络的情况下,可以使用扩展访问控制列表设置拒绝所有ICMP协议的数据包通过路由器。此外还可以检查端口号,根据端口号对数据包进行过滤。
    举例:为防止“冲击波”蠕虫病毒的传播,可以使用设定拒绝TCP协议的4444端口的所有数据包通过路由器。由于扩展访问列表具有更强的功能、更灵活的配置、更精确的控制和更好的扩展性等优点,因此应用广泛。

IP访问控制列表的过滤准则

(1)特别要注意的是ACL语句的匹配顺序,ACL按照条件语句的顺序从第一条开始执行,数据包只有在跟第一个判断条件不匹配时,才能被交给ACL中的下一条件语句进行比较。当若当匹配成功后,将直接对该条数据执行相应的permit或deny操作。

(2)在CIsco IOS操作系统上,所有的ACL默认拒绝所有,也就是说,如果你书写了一个空的列表,该列表会匹配所有内容,并标记为deny。

(3)IP访问控制列表是一个连续的列表,至少有一个“permit”(允许)语句和一个或多个“deny”(拒绝)语句组成。不写明permit或deny时,默认为deny。

(4)使用ACL匹配IP地址,结合通配符掩码可以匹配一定范围内的IP地址。
      注意:通配符掩码的作用与子网掩码的作用刚好相反。0表示匹配,1表示不匹配。

(5)IP访问控制列表的定义格式:access-list 或 ip access-list。

(6)access list命令要求只能使用表号标识列表,在建立控制列表的同一语句中,同时配置过滤规则;

(7)ip access-list命令,既可以使用表号,也可以使用名字标识一个访问控制列表。在访问控制列表建立并配置号规则之后,列表并不能马上生效,必须将控制列表应用于一个接口、一个VTY line或被其他命令引用之后,列表才能生效。

实战案例1:配置标准IP访问控制列表

全局配置模式下配置,命令格式:
    access-list access-list-number {permit|deny} source wildcard-mask
                      表号                             子网掩码的反码

示例1:只允许源地址为211.105.130.0 255.255.255.0子网上的主机登录到路由器

     Router(config) #access-list 10 permit 211.105.130.0 0.0.0.255
     Router(config) #

配置应用接口:

     Router(config) #line vty 0 5
     Router(config-line) #access-class 10 in

查看访问控制列表的配置信息:

在特权用户模式下:

     Router #show configuration
     !
     access-list 10 permit 211.105.130.0 0.0.0.255
     !
     !
     line vty 0 5
     access-class 10 in
     password 7 01090A1D0A52525C701E18
     login
     !

查看访问控制列表:

在特权用户模式下:

    Router # sh access-lists
    Standard IP access list 10
    permit 211.105.130.0, wildcard bits 0.0.0.255(74 matches)

示例2:只允许源地址为182.105.130.111和222.112.7.56的两台主机登录路由器。

在全局配置模式下:

      Router(config) #access-list 20 permit 182.105.130.111
      Router(config) #access-list 20 permit 222.112.7.56
      Router(config) #access-list 20 deny any              //any代表所有的主机

配置应用接口:

     Router(config) #line vty 0 5
     Router(config-line) #access-class 20 in

示例3:禁止源地址为非法地址的数据包进入路由器或从路由器输出。

在全局配置模式下:

     Router(config) #access-list 30 deny 10.0.0.0 0.255.255.255 log
     Router(config) #access-list 30 deny 192.168.0.0 0.0.255.255
     Router(config) #access-list 30 deny 127.0.0.0 0.255.255.255
     Router(config) #access-list 30 deny 172.16.0.0 0.15.255.255
     Router(config) #access-list 30 permit any

配置应用接口:

    Router(config) #interface g0/1
    Router(config-if) #ip access-group 30 in  将ACL调用在接口上
实战案例2:配置扩展IP访问控制列表
case1:使用access-list命令

在全局配置模式下,命令格式:
    access-list access-list-number {permit|deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]
    说明:其中operator操作,有“lt”小于、“gt”大于、“eq”等于、“neq”不等于。operand操作数指的是端口号。

示例1:拒绝转发所有IP地址进出的,端口号为1434的UDP协议数据包。

在全局配置模式下:

    Router(config) #access-list 130 deny udp any any eq 1434
    Router(config) #access-list 130 permit ip any any
    Router(config) #

配置应用接口:

    Router(config) #interface g0/1
    Router(config-if) #ip access-group 130 in
    Router(config-if) #ip access-group 130 out
    Router(config-if) #

示例2:封禁某一台主机。

在全局配置模式下: //log如果有这种情况发生就在控制台报送一条信息。

    Router(config) #access-list 110 deny ip host 202.112.60.230 any log
    Router(config) #access-list 110 deny ip any host 202.112.60.230 log
    Router(config) #access-list 110 permit ip any any

配置应用接口:

   Router(config) #interface g0/1
   Router(config-if) #ip access-group 110 in
   Router(config-if) #ip access-group 110 out
   Router(config-if) #

示例3:封禁ICMP协议,只允许162.105.141.0/24和202.38.97.0/24子网的ICMP数据包通过路由器。

在全局配置模式下;

   Router(config) #access-list 198 permit icmp 162.105.141.0 255.255.255.0 any
   Router(config) #access-list 198 permit icmp 202.38.97.0 255.255.255.0 any
   Router(config) #access-list 198 deny icmp any any
   Router(config) #access-list 198 permit ip any any
   Router(config) #

配置应用接口:

  Router(config) #interface g0/1
  Router(config-if) #ip access-group 198 in
  Router(config-if) #ip access-group 198 out
  Router(config-if) #
case2:使用ip access-list命令

在全局模式下,命令格式:ip access-list extended|standard access-list-number|name

注:在扩展或标准访问控制模式下(如:router(config-ext-nacl)#),配置过滤规则,命令格式:
{permit|deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]

示例:拒绝转发所有IP地址进与出方向的,端口号为1434的UDP协议数据包。

  Router(config) #ip access-list extended 130   //进入扩展访问控制列表配置模式
  Router(config-ext-nacl) #
  Router(config-ext-nacl) #deny udp any any eq 1434
  Router(config-ext-nacl) #permit ip any any
  Router(config-ext-nacl) #

配置应用接口:

  Router(config) #interface g0/1
  Router(config-if) #ip access-group 130 in
  Router(config-if) #ip access-group 130 out
  Router(config-if) #
粪逗er
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为内部培训资料之第六章路由器配置简介
10-01
网络爱好者必备资料,华为内部培训资料之路由器配置简介
路由器访问控制列表基础知识问答
weixin_34306446的博客
12-13 155
1、什么是访问控制列表访问控制列表在Cisco IOS软件中是一个可选机制,可以配置成过滤器来控制数据包,以决定该数据包是继续向前传递到它的目的地还是丢弃。 2、为什么要使用访问控制列表? 最初的网络只是连接有限的LAN和主机,随着路由器连接内部和外部的网络,加上互联网的普及,控制访问成为新的挑战,网络管理员面临两难的局面:如何拒绝不期望的访问而允许需要的访问...
第十四章 处理NAT
至虛極,守靜篤
10-25 1751
NAT(Network Address Translation,网络地址转换)是时代原因遗留的最大问题:它源自互联网没有广泛使用,恐龙自由漫游的年代。那时候…大约是20年前?网络地址资源非常充足(通常分配一个C类网络地址,有254个公共互联网可路由地址。我个人拥有两个C类地址,一个用于iol.it,另一个用于matrice.it),没有人意识到IPV4地址资源池会永远耗尽。因此,互...
Packet Tracer - 配置 IP ACL 来缓解攻击
傻傻的心动的博客
05-06 4270
Packet Tracer - 配置 IP ACL 来缓解攻击
Packet Tracer - 在 VTY 线路上配置 ACL
最新发布
傻傻的心动的博客
05-28 2379
Packet Tracer - 在 VTY 线路上配置 ACL
3.0-LAB1-C1 实验
agonilw的博客
10-21 1050
1、二层配置 2、IGP配置 3、MPLS-v-pn跨域配置 4、HA部分 5、QOS部分 6、IPV6部分
第八次实验ACL配置实验.docx
05-17
2. 实验原理:ACL(Access Control List)访问控制列表,在路由器接口上使用的规则列表ACL 工作原理:一入站数据包,由路由器处理器调入内存,读取数据包的包头信息,如目标 IP 地址,并搜索路由器的路由表,...
标准ACL控制列表实验
06-08
访问控制列表简称为 ACL,它使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。ACL 分很多种,不同...
ACL 进行网络流量的控制1
08-08
IP ACL(IP 访问控制列表或 IP 访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。 知识点二:IP ACL 的分类 IP ACL 分为两种:标准 IP 访问列表和扩展 IP ...
动态访问控制列表配置详解
05-31
例如,创建一个名为`MY_ACL`的扩展访问控制列表: ``` ip access-list extended MY_ACL ``` 接下来,添加规则到这个访问控制列表中。规则通常包括许可(permit)或拒绝(deny)操作,以及具体的匹配条件。例如,...
第一章信号基础设备与通讯系统的安全共31页.pdf.zip
10-28
4. **防火墙与访问控制**:为了阻止未经授权的访问,通讯系统通常会部署防火墙和其他访问控制机制,如ACL访问控制列表)、IDS/IPS(入侵检测/防御系统)。 5. **网络安全威胁**:包括DDoS攻击、病毒、木马、蠕虫...
telnet成功_网络安全访问控制列表ACL控制telnet登录,一分钟了解下
weixin_39720662的博客
11-21 903
一、需求 1.路由器名为:cisco1、cisco2; 2.cisco1的S0端口与cisco2的S0端口相连,IP地址如图所示,在cisco2上设置特权密码为cisco,线路密码为cisco; 3.从cisco1使用PING命令测试到cisco2的连通性,结果可达,但却不可以 TELNET到cisco2。二、拓扑三、步骤有两种方法实现方法一:使用扩展ACL1.检测基本配置cisco2(confi...
路由器in and out解释
zhjcyn的专栏
07-16 1393
困扰了很久的IN和OUT..91LAB上面看到一个很形象的比喻,摘抄出来:in和out是相对的,比如:A(s0)-----(s0)B(s1)--------(s1)C假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这
思科路由器限速实例
Galdys的专栏
07-07 2097
例一 : Cisco路由器中的rate-limit命令就可以有效地对这部分用户的带宽进行限制。假设学生上机的网段为192.168.6.*,我们以Cisco 2600为例来进行设置。 在Cisco设备中,只有支持CEF(Cisco Express Forward)的路由器或交换机
路由器及其配置
dianying7959的博客
03-28 722
路由器及其配置 Internet就是用路由器加专线的方法连接了成千上万个网络而构成的 路由选择的核心就是确定下一跳路由器的IP地址路由表 路由表主要内容:目的网络地址,下一跳路由器地址和目的端口等信息,缺省路由信息 分组转发通常称分组交换 缺省路由又称缺省网关,一般路由器的缺省网关是指向连往Internet出口的路由器 几种路由协议管理距离: 直接连接:0...
CCNA--LAB-6:配置ACL(访问控制列表-经典实例)
weixin_34112900的博客
11-30 150
拓扑如上:两台路由器,已经配置好了IP地址,并且都已经启用了TELNET,密码为cisco . 实验一:我们都知道PING是双向的,但我们灵活应用ACL使R1可以拼通R2,但是R2不能拼通R1 ! 步骤1:测试在R1拼R2与在R2拼R1 r1#ping 12.1.1.2 Type escape se...
access-group和access-class的区别
weixin_34240657的博客
11-20 1628
ip access-group用在接口下;access-class用在VTY线下 access-class命令前面没有“ip” 例子: 先配置access-list: access-list 1 permit host 192.168.1.1 access-list 1 permit host 192.168.2.1 情况一:line vty 0 4(最多允许5...
Cisco交换机常用配置命令总结
weixin_34166472的博客
11-12 330
1:配置VLAN 理解VLAN: 一个VLAN就是一个交换网,其逻辑上按功能、项目、应用来分而不必考虑用户的物理位置。任何交换口都可以属于某一VLAN, IP包、广播包及组播包均可以发送或广播给在此VLAN内的最终用户。每一个VLAN均可看成是...
Cisco的常用命令
无情时代
05-14 1698
Cisco的常用命令命令 说明? 给出一个帮助屏幕0.0.0.0 255.255.255.255 通配符命令,作用与any命令相同access-class 将标准的IP访问列表应用到VTY线路access-list 创建一个过滤网络的测试列表any 指定任何主机或任何网络Backspace 删除一个字符bandwidth 设置一个串行接口的带宽banner 为登录到本路由器上的用户创建一个标志区c
第五---七章 交换机和路由器的基本配置
05-13
第五章:交换机的基本配置 交换机的基本配置包括: 1. 设置主机名 2. 设置管理口IP地址 3. 配置Telnet远程登录 4. 配置Console本地登录 5. 配置交换机端口 6. 配置VLAN 7. 配置交换机端口安全 8. 配置端口镜像 9. 配置链路聚合 10. 配置Spanning Tree协议 第六章:路由器的基本配置 路由器的基本配置包括: 1. 设置主机名 2. 设置管理口IP地址 3. 配置Telnet远程登录 4. 配置Console本地登录 5. 配置路由 6. 配置路由器接口 7. 配置静态路由 8. 配置默认路由 9. 配置动态路由 10. 配置路由器接口安全 第七章:交换机和路由器的高级配置 交换机和路由器的高级配置包括: 1. 配置VLAN间路由 2. 配置VTP(VLAN Trunking Protocol) 3. 配置OSPF(Open Shortest Path First)路由协议 4. 配置BGP(Border Gateway Protocol)路由协议 5. 配置QoS(Quality of Service)服务质量 6. 配置NAT(Network Address Translation)网络地址转换 7. 配置VPN(Virtual Private Network)虚拟专用网络 8. 配置ACL(Access Control List)访问控制列表 9. 配置DHCP(Dynamic Host Configuration Protocol)动态主机配置协议 10. 配置SNMP(Simple Network Management Protocol)简单网络管理协议

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值