0基础学RS(二十七)ACL访问控制列表

已于 2023-09-14 23:47:45 修改
阅读量3.1k 收藏 35
点赞数 7
分类专栏: CCNA基础 文章标签: 网络 网络协议 运维 ACL
于 2022-06-10 12:51:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45816894/article/details/125217802
版权

一、概述

访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。

ACL分为基本ACL高级ACL

二、基本ACL

基本ACL针对网络层传输层进行过滤,也叫包过滤。
其中基本ACL中包含标准ACL扩展ACL

  • 标准ACL只对源IP地址进行过滤,应靠近目的使用
  • 在思科设备上标准ACL编号为1-99,扩展ACL编号为100-199
  • 扩展ACL可以对协议源IP地址源端口号目的IP地址目的端口号进行过滤,应靠近源使用

1、配置

标准ACL

拓扑

在这里插入图片描述

第一步:配置IP地址
第二步:配置路由

由于ACL的使用是基于底层互通的情况下来制定一些规则,所以首先保证底层互通

第三步:配置ACL(编号)

规则1:禁止PC3访问PC1(源为PC3,目的为PC1,所以靠近目的配置(R1))

方法一:

R1(config)#access-list 1 deny host 10.1.3.3 	创建编号为1的ACL拒绝主机10.1.3.3
R1(config)#access-list 1 permit any				创建编号为1的ACL允许所有
R1(config)#interface g0/0/1
R1(config-if)#ip access-group 1 in 				把ACL 1 运用到接口的in方向

方法二:

R1(config)#ip access-list standard 1			创建标准ACL 1 
R1(config-std-nacl)#deny host 10.1.3.3			拒绝主机10.1.3.3
R1(config-std-nacl)#permit any 					允许所有
R1(config)#interface g0/0/1
R1(config-if)#ip access-group 1 in 				把ACL 1 运用到接口的in方向

ACL一般用在接口上,其中包括入站ACL出站ACL

  • 入站ACL:在数据包进入接口时检查ACL规则过后才会被转发到出接口(入站为in
  • 出站ACL:在数据包进入接口被转发到出接口后,在出接口检查ACL判断是否转发数据(出站为out

注意:ACL对路由器自己产生的数据包不起作用
在这里插入图片描述

第四步:验证

R1#show access-lists 可以查看ACL

  • 前面的10,20为ACL条目(ACE)的编号,后面的match为匹配的数据包个数
  • ACL查询是从ACE编号小的开始查
  • ACL有一条隐式拒绝所有的ACE条目,所以在使用deny的ACL条目最后都要加一条permit any的ACE条目
    在这里插入图片描述
    分别使用PC2和PC3去ping PC1,查看结果
    PC2可以ping通,PC3不能ping通

在这里插入图片描述
在这里插入图片描述

ACL用到VTY接口上

规则1:拒绝主机10.1.3.3远程登录R2,允许其他主机远程登录R2

R2(config)#access-list 2 deny 10.1.3.3		创建编号为2的ACL拒绝10.1.3.3
R2(config)#access-list 2 permit any 		创建编号为2的ACL允许所有
R2(config)#line vty 0 4						进入VTY接口
R2(config-line)#password cisco				创建密码cisco
R2(config-line)#login 						启用密码验证
R2(config-line)#access-class 2 in 			将ACL 2 用到in方向

使用PC2 和PC3 远程登录R2
PC2:远程登录成功
在这里插入图片描述
PC3:远程登录失败
在这里插入图片描述

扩展ACL

在原有的拓扑上添加一个Server

在这里插入图片描述
规则1:拒绝PC1向server发出ping请求消息
规则2:允许PC1访问server的http服务
规则3:拒绝PC1访问server的FTP服务
扩展ACL靠近源配置,所以在R1上配置

R1(config)#ip access-list extended 100								创建扩展ACL100
R1(config-ext-nacl)#deny icmp host 10.1.1.2 host 10.1.3.4 echo 		拒绝原IP 10.1.1.2 目的IP 10.1.3.4 使用ICMP的echo消息
R1(config-ext-nacl)#permit tcp host 10.1.1.2 host 10.1.3.4 eq 80	允许原IP 10.1.1.2 目的IP 10.1.3.4 使用TCP的80端口(http)
R1(config-ext-nacl)#deny tcp host 10.1.1.2 host 10.1.3.4 eq ftp 	拒绝原IP 10.1.1.2 目的IP 10.1.3.4 使用tcp的FTP服务(20,21号端口)
R1(config-ext-nacl)#permit ip any any 								允许所有
R1(config)#interface g0/0/0											进入g0/0/0接口
R1(config-if)#ip access-group 100 in 								将ACL 100 用到接口的in方向
验证

PC1 ping server:失败
在这里插入图片描述
PC1 ping PC3 :成功
在这里插入图片描述
PC1 访问server web服务:成功
在这里插入图片描述
PC1 访问 server FTP服务:失败
在这里插入图片描述
R1#show access-lists 查看每条ACE匹配的数据包
在这里插入图片描述

2、关于配置

标准ACL
access-list 【1-99】 【permit / deny】 【address / any / host】 【通配符掩码】
通配符掩码:0代表匹配1代表不匹配 和ospf、eigrp 里面的一样
例如:ACL 10 拒绝 192.168.10.0/24 网段

access-list 10 deny 192.168.10.0 0.0.0.255

扩展ACL
access-list 【100-199】【permit / deny】【ahp /eigrp / esp gre / icmp / ip / ospf / tcp / udp】【address / any / host】 【通配符掩码】【匹配的端口号】目的【address / any / host】 【通配符掩码】【匹配的端口号】
例如:ACL100 允许 10.1.1.0/24 网段的32769 端口号 去往20.1.1.0/24 网段的80端口 的TCP流量

access-list 100 permit tcp 10.1.1.0 0.0.0.255 eq 32769 20.1.1.0 0.0.0.255 eq 80

注意:

  • 所有的ACL最后都具有隐式拒绝所有的ACE条目
  • ACL要挂接在接口上才会起作用
  • 一个出站 IPv4 ACL、一个入站 IPv4 ACL、一个入站 IPv6 ACL、一个出站 IPv6 ACL
网工小王
关注
  • 7
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Cisco的ACL访问控制列表
chouzhi7161的博客
08-02 1575
前言: 最近整理一些以前的习笔记(有部分缺失,会有些乱,日后再补)。 过去都是存储在本地,此次传到网络留待备用。 ACL访问控制列表: 1.访问控制列表(ACL) Access Control List 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 2、访问控制...
思科网络中如何配置标准ACL协议
2201_75693008的博客
03-09 4271
根据每台PC机所处的位置配置地址,这里可以统一给他们的地址为.1 / .2(每个IP网段共有254个地址是可以分配给PC机的,分别是第1~254,IP地址中的第一个地址.0是网络地址(保留地址),IP网段的最后一个地址.255是广播地址(保留地址)这样做是为了确保只有主机位为奇数的IP地址(即最后一位为1的IP地址)被允许通过ACL,而主机位为偶数的IP地址(即最后一位为0的IP地址)被拒绝。(创建一个标准ACLACL编号为1),表示只允许主机位为192.168.2.1的主机通过ACL
思科CISCO ACL配置详解
最新发布
2301_81615088的博客
06-18 344
简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包(1)、最小特权原则只给受控对象完成任务所必须的最小的权限。
思科 Cisco Access Control List ,简称ACL访问控制列表
weixin_48824655的博客
08-15 2143
Access Control List ,简称ACL访问控制列表
Cisco之访问控制列表ACL
weixin_33725239的博客
05-07 850
访问控制列表ACL)是应用在路由器接口的指令列表(即规则),这些规则表用来告诉路由器,哪些数据包可以接收,哪些包需要拒绝。其基本原理如下:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层和第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义的规则,对包进行过滤,从而达到访问控制的目的。 ACL可以分为以下两种基本类型:标准ACL:...
CISCO ACL配置详解
热门推荐
奇幻风云
04-29 5万+
什么是ACL访问控制列表简称为ACL访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的原理 对路由器接口来说有两个方向 出:已经经路由器的处理,正
Cisco访问控制列表详解(ACL
lanndmentt的专栏
11-14 1740
CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。 (1)标准型IP访问列表的格式      ---- 标准型IP访问列表的格式如下:      ---- access-list[list number][permit|deny][so
casbin-rs:一个授权库,支持Rust中的访问控制模型,如ACL,RBAC,ABAC
02-05
`casbin-rs` 是一个专为 Rust 语言设计的授权库,它提供了丰富的访问控制模型,包括经典的访问控制列表ACL)、基于角色的访问控制(RBAC)以及属性基础访问控制(ABAC)。这个库的目的是帮助开发者在他们的应用...
pycasbin:授权库,支持Python中的ACL,RBAC,ABAC等访问控制模型
04-28
皮卡斯宾 新闻:仍然担心如何编写正确的Casbin策略?...ACL访问控制列表) 具有超级用户的ACL 没有用户的ACL :对于没有身份验证或用户登录的系统特别有用。 没有资源的ACL :通过使用诸如write-a
H3CSE-RS新版PPT
04-19
8. **网络安全**:在路由技术中,安全是一个不可忽视的方面,涉及路由协议的安全配置、访问控制列表ACL)的应用以及防止路由泄露等措施。 9. **网络管理与监控**:使用CLI命令行界面、SNMP(简单网络管理协议)和...
AccessControl:Rest 服务提供了一个 api 来添加、删除和查看访问控制列表中的授权 rfid 密钥
07-08
访问控制列表(Access Control List, ACL)是计算机安全领域的一个概念,它是一种策略机制,用于定义哪些用户或系统进程可以访问特定的系统资源。在这个API中,ACL用于存储和管理已授权的RFID密钥,以决定谁可以访问...
ACL访问控制列表
03-14
ACL访问控制列表实验,有详细的拓扑图和命令。实验有扩展ACL和标准ACL
H3C H3CIE-RS+ Lab实验备考.rar
09-06
1. ACL(Access Control List):熟练配置基于源IP、目的IP、端口等条件的访问控制列表,进行流量过滤。 2. IPSec(Internet Protocol Security):习如何设置IPSec加密隧道,确保数据传输的安全性。 3. 802.1X...
ACL访问控制列表——思科模拟器
小猿
01-01 3507
思科模拟器
Cisco ACL 访问控制列表
weixin_34327223的博客
02-07 153
访问控制列表类型 标准访问控制列表 序号 1-99 扩展访问控制列表 序号 100-199 命名访问控制列表 使用名称代替表号 Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 允许网段通过 Router(config)# access-list 1 permit 192.168.2.2 0.0.0...
ACL访问控制列表 Cisco
aiwo1376301646的博客
05-25 610
拓扑结构图: 配置代码: S1: enable conf t host s1 no ip domain-lookup vlan 2 exit vlan 3 exit vlan 4 exit int vlan 2 ip address 192.168.2.254 255.255.255.0 int vlan 3 ip address 192.168.3.254 255.255.255.0 int vlan 4 ip address 192.168.4.254 255.255.255.0 int f0
cisco的访问控制列表ACL的基本使用(大白话版)(基于cisco packet tracer)
fly_view的博客
01-05 8915
ACL语句实现IP地址过滤,access-list 1 permit XXXX.XXXX.XXXX.XXXX XXXX.XXXX.XXXX.XXXX
CISCO习笔记(十)访问控制列表ACL
My Inspiration World _" Franz °
10-21 2万+
一、访问控制列表的作用: *过滤:通过过滤经过路由器的数据包来管理IP流量 *分类:标识流量以进行特殊处理     ACL在作用的时候有两个动作,即允许和拒绝。 允许或拒绝经过路由器的数据包 允许或拒绝来自路由器或到路由器的vty访问 如果没有ACL,所有数据包会发往网络的所有部分。   配置完以后一定要记得调用ACL访问控制列表。 二、访问列表的分类: *标准  -
思科ACL访问控制列表配置命令教程
2301_76845656的博客
05-25 2307
访问控制列表ACL概念访问控制列表简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上。
CCIE RS版本访问控制列表解析
3. 命名的访问控制列表(Named ACL):只是将标准访问控制列表或扩展访问控制列表取个名字,优点是可以对访问控制列表进行增加、删除操作。 在CCIE考试中,访问控制列表是一个重要的考点,需要考生对其有深入的理解...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网工小王

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值