ACL配置方法

最新推荐文章于 2025-04-16 15:29:59 发布
最新推荐文章于 2025-04-16 15:29:59 发布
阅读量1.4k 收藏 15
点赞数 22
分类专栏: 计算机网络基础 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44265455/article/details/138850895
版权

一、ACL概述

1.1 ALC基本原理和基本作用

技术背景:需要一个工具,实现流量过滤。

ACL:access control list,访问控制列表。

ACL作用:通过对报文进行匹配和区分,实现:

  • 对数据包的访问进行控制。
  • 对协议控制。ICMP,TCP协议等

ACL配置在路由上,数据包从接口经过的时候,接口配置ACL策略,路由器会根据策略,检查数据包,然后根据策略做出相应的处理。

ACL在接口上如何应用:
在入口:数据包从入口进入路由器,能不能进入路由器
在出口:数据包经过路由器处理之后,数据包能不能出去。

1.2 ACL的组成和匹配顺序

ACL由若干条 permit或deny语句组成,每条语句就是该ACL的一条规则,permit/deny就是这条规则对应的处理动作。

在这里插入图片描述

ACL的应用规则和匹配顺序:

  1. 一个接口的同一方向只能调用一个ACL。

  2. 在一个ACL当中可以有多个规则,数量不限,规则的id从小到大排序,从上到下依次执行,默认步进5。

  3. 数据包一旦被某个策略匹配,那么就不再继续向下匹配。

  4. 默认是放行所有的(华为设备)。

1.3 ACL的不同种类及特点

1.3.1 ACL种类

  • 基本ACL:范围2000~2999 只能匹配源IP地址。

  • 高级ACL:范围3000~3999 源IP,目的IP,源端口,目的端口,三层和四层协议都可以支持:icmp、tcp、udp、http、https。

  • 二层ACL:范围4000~4999 根据MAC地址匹配,如果设备更换,所有配置都要重新部署。所以一般不用。

1.3.2 ACL的使用原则

基本ACL:尽量用在靠近目的地。

高级ACL:尽量使用在靠近源的地方。

1.4 ACL配置相关

1.4.1 基本语句
rule x(编号,可以不写,默认为5,默认步进5)	permit	source	1.1.1.0	0.0.0.255(通配符)

rule 10 deny source	1.1.1.0 0.0.0.255
permit 	允许访问
deny	拒绝访问
1.4.2 通配符

通配符是一个32bit的数制,又称反掩码。决定了哪些bit位要严格匹配,哪些bit位无需匹配。

匹配规则:“0”表示“匹配”,“1”表示“随机分配”。

例:匹配192.168.1.1/24对应网段,严格匹配前24位,后8位随机分配。通配符为0.0.0.255。

二、ENSP实验配置

2.1 实验要求

​ 建立拓扑如下,要求:

  1. 仅允许PC1访问192.168.2.0/24网络(或仅允许PC1访问PC3)
  2. 禁止192.168.1.0/24网络ping Web服务器Server1
  3. 仅允许Client1访问Web服务器的Web服务。

在这里插入图片描述

2.2 配置

配置仅允许PC1访问PC3

##配置网关地址##
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[r1-GigabitEthernet0/0/0]int g0/0/1 
[r1-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[r1-GigabitEthernet0/0/1]int g0/0/2
[r1-GigabitEthernet0/0/2]ip add 192.168.3.254 24

##配置ACL##
[r1]acl 2000	##创建基本ACL 2000
[r1-acl-basic-2000]rule permit source 192.168.1.10 0	##创建规则:允许固定源IP 通配符0
[r1-acl-basic-2000]rule deny source any	##禁止 所有源,因为默认在第二条,不影响上一条规则
[r1]int g0/0/1	##进入端口调用ACL
[r1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000	##调用ACL2000,方向outbound,出端口

验证连通性:PC1 可ping通 PC3,PC2,Client1 ping不通PC3。

下面配置禁止192.168.1.0/24网络ping Web服务器Server1,并且仅允许Client1访问Web服务器的Web服务。

[r1]acl 3000	##创建高级ACL 3000
[r1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168
.3.10 0		##禁止 ICMP协议,源IP网段 通配符 目的IP地址 通配符0
[r1-acl-adv-3000]rule permit tcp source 192.168.1.30 0 destination 192.168.3.10 
0 destination-port eq 80	##允许 TCP协议 源IP 目的IP 目的端口(= 80,80是Web服务端口号)
[r1-acl-adv-3000]q
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000	##调用ACL服务,方向inbound,进入端口

Web服务器Server1:启动Http服务端口80

在这里插入图片描述

Client1:获取服务器Web服务

在这里插入图片描述

验证连通性:ping服务器不通,Client可访问Web服务。

如何配置基本ACL
彭淦淦的博客
04-08 5225
5.1 问题 如图配置IP地址 禁止 PC1 网络访问服务器 Server1 允许其他所有的访问流量 5.2 方案 搭建实验环境,如图-5所示。 图-5 5.3 步骤 实现此案例需要按照如下步骤进行。 1)配置终端设备 - PC1 地址: 192.168.1.1 掩码: 255.255.255.0 网关: 192.168.1.254 2)配置终端设备 - PC2 地址: 192.16...
第八次实验ACL配置实验.docx
05-17
通过本次实验,我们可以更好地理解 ACL 的工作原理和配置方法,掌握路由器上标准 ACL 的规则及配置,实现网段间互访的安全控制。 ACL 是一种重要的网络安全技术,它可以帮助我们更好地控制用户对网络的访问,保障...
访问控制列表(ACL
墨_衍的博客
03-14 3735
文章目录一、ACL二、实验配置1.配置需求:2.配置步骤:3.配置命令 一、ACL 1、ACL的作用: 1)匹配数据包,实现数据包的控制(过滤或放行) 2、组成: 1)规则:即匹配数据包的各种条件; 2)动作:permit 和 deny ; 3、基本ACL 1)表示方式:ID,取值控制为:2000~2999 2)仅仅能匹配数据包的源IP地址,匹配数据包不精确 3)建议:在调用时,尽量调用在距离目标设备近的地方; 4、高级ACL 1)表示方式:ID,取值控制为:3000~3999 2)可以同时匹配数据包的源
基本ACL配置
最新发布
smxsnq的博客
04-16 601
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
ACL配置
A1813968的博客
06-13 5146
ACL(Access Control Lists,访问控制列表)是一种基于包过滤的访问控制技术,旨在根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。通过合理地配置和应用ACL规则,可以有效地控制网络中的数据流,保护网络免受未授权访问和攻击。数字命名方式使用aclnumber+数字(0~4294967294)进行命名,而字符串命名方式则使用acl name+字母+acl类型进行命名。在ACL中,每条规则由permit(允许)或deny(拒绝)语句组成,用于指定与该规则相对应的处理动作。
ACL的基本配置
lwljh134的博客
08-27 6456
(2)在交换机LSW1上创建VLAN10和20,把g0/0/1划分到vlan10,把g0/0/2划分到vlan20,把g0/0/3设置成trunk。PC1的配置,在ipv4下选择静态配置,输入对应的ip地址、子网掩码和网关,然后点击应用。(3)如图11-1所示,在路由器上配置IP地址,并配置单臂路由让PC1和PC2可以相互访问。华为ACL总结:如果配置在接口上,则默认规则为允许,如果配置在其他地方,则默认规则为拒绝。在g0/0/口的入方向配置流量过滤,当匹配到acl2000流量则执行相应的过滤掉动作。
配置ACL
weixin_64444995的博客
04-13 5511
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。 应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝。
ACL配置实验
01-30
该实验报告的目的旨在掌握 ACL 的设计原则和工作过程,包括标准 ACL 和扩展 ACL配置方法、两种 ACL 的放置规则和调试故障排除方法。 一、ACL 简介 ACL(Access Control List,访问控制列表)是一种路由器和...
华为路由器 ACL 配置方法
03-28
以下是华为路由器 ACL 配置方法: 1. 登录路由器管理页面。在浏览器中输入路由器的 IP 地址,输入用户名和密码登录路由器管理页面。 2. 进入 ACL 配置页面。在路由器管理页面中找到“安全”或“ACL”选项,进入 ...
Cisco-ACL配置.pdf
09-30
Cisco作为网络设备的领导者,其ACL配置方法和功能在整个网络安全体系中占据着核心地位。接下来,我们将详细介绍Cisco ACL的基本概念、配置方法以及使用技巧。 首先,访问控制列表(ACL)是一种应用在网络设备上的...
为zookeeper配置相应的acl权限
08-29
Zookeeper 权限配置 ACL Zookeeper 是一个高可用的分布式协调服务,可以为分布式应用程序...这只是 Zookeeper 配置 ACL 权限的一些基本概念和实现方法,实际上还有许多其他的知识点和实现细节需要进一步了解和掌握。
ACL配置
云计算运维工程师的成长之路
07-19 7310
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换技术,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。......
ACL介绍及其相关配置
m0_61665967的博客
07-25 9682
ACL称为访问控制列表在流量转发的接口限制流量的进或出为其他策略定义感兴趣流量;当数据包流量经过路由器接口进或出时,ACL可以匹配流量产生动作 --- 允许 拒绝匹配规则:自上而下逐一匹配,上条匹配按上条执行,不再查看下一条;cisco系在表格末尾隐含拒绝所有;华为系在表格末尾隐含允许所有;1. 意识到全意识的重要性:ACL实验涉及到对计算机资源访问权限的控制,这也在提醒我们要时刻保持警惕,意识到安全意识的重要性。
简单的ACL配置
MA463841740的博客
03-12 682
hcia,简单的acl配置
网络ACL原理与配置
m0_70893463的博客
06-06 5619
3000-3999 高级acl,可以匹配源ip和目标ip、源端口和目标端口、三层和四层的协议字段(三层:icmp,arp。四层:udp,tcp)虽然划分了vlan,但是不是流量控制,只是单纯的划分了广播域,而且通过三层交换机或者单臂路由还能实现不同vlan之间的通信,要求1:允许pc1访问pc3 pc1访问192.168.2.0/24(pc1能ping通pc3,其他pc不能)所以最后一位都是1是固定的,固定的位置是0,前面的都会变,所以结果是11111110 十进制为254。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值