ACL-基础访问控制列表

最新推荐文章于 2023-06-03 14:39:56 发布
最新推荐文章于 2023-06-03 14:39:56 发布
阅读量488 收藏
点赞数
分类专栏: 网络安全基础协议 文章标签: 网络 路由器 运维 负载均衡 acl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45873667/article/details/115866234
版权

1 Access Control List技术背景

企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。访问控制列表ACL (Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。在这里插入图片描述

2 概念

ACL(Access Control List),是一张管理员手动添加的用于数据包访问控制的列表,路由器通过逐项读取列表中的条目来判断当前数据包是放行还是丢弃。是一个路由器数据处理数据包的行为规范手册。

3.1ACL的分类【华为】:

在这里插入图片描述

3.2ACL的分类【思科】:

在这里插入图片描述

4 匹配和不匹配

针对某个网段的数据流量进行操作,匹配上了就执行,没有匹配上,就不执行控制列表内的内容
ACL的对数据执行的动作 :允许/拒绝—》 针对与流量

5 ACL的规则

在这里插入图片描述

6 ACL匹配原则

就近原则:在配置ACL的时候,一定要选择最近的路由器或者三层设备接口进行截取
按序匹配:匹配立即停止,命中立即生效
黑白名单:黑名单:只有名单上的不能过
白名单:只有名单上的能过
隐式拒绝 :一个ACL启用,子啊不做任何配置的情况下,默认是不允许任何数据通过的,
在现网中配置ACL,一定记得加permit any any
在思科以及类思科里,是有隐式拒绝,而在华为类设备是没有隐式拒绝的

7 ACL如何实现

1.确定部署位置
部署在流量的必经之路上
靠近源部署
集中化部署 —> 尽量少 而精细的部署ACL规则

		路由器无法控制来源于自身的数据包
		
	2.匹配对应的流量
		考虑对流量的 允许 / 拒绝
		考虑 匹配到的网段/主机的IP地址			 
		 
		 0,表示 ACL在检查数据流量的时候, 0对应的位 要 检查
		 1,对应的位则不关心
		 
	3.决定调用的方向  ----》ACL的掉用 一定在接口上调用的
		
		in/ out 针对与 流量 进入  出 路由器的 行为
		
		观察流量 流经 接口的方式
		
		inbound 方向上调用,先调用ACL,在进行路由转发(对于未匹配上的流量,或者 拒绝的流量,则不进行路由转发)
		outbound 方向上调用,先路由转发,在调用ACL (如果路由器根据路由表 找到数据的逃出接口,则在逃出接口上进行ACL的匹配)

8 ACL的配置

1 判断数据流量的走向和接口的方向 (判断数据流量下,接口的方向 inbound outbound)
具体是in还是out没有固定的接口,一切都是一数据流向来定
2 ACL部署的具体位置
根据就近原则来进行部署
3 配置ACL确实基本的还是高级的
peimit deny ,切记加primit any any(不加的话默认都拒绝了)
如果不具体声明rule的编号,那么就按照默认的步长(ID之间的间隔)按照顺序排序
设定步长的目的,是为了后期更方便进行
4 在接口上调用ACL,并且声明方向(不调用就不生效)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

ACL基础实验
主机A:192.168.1.1 24
主机B:192.168.2.1 24
# SW1
## 基本配置
sy
sys SW1
## 二层 
### vlan
vlan batch 10  11  20

### access
int  g0/0/1
port link-type access
port default vlan 10


int  g0/0/2
port link-type access
port default vlan 20
display vlan 

int e0/0/1
port link-type access
port default vlan 11
## 三层
### vlanif 
int vlanif10
ip address 192.168.1.254 24

int vlanif20 
ip address 192.168.2.254 24

int vlanif11
ip address 11.1.1.2 24
dis ip int br

### 路由
ip route-static 0.0.0.0 0.0.0.0 vlanif11 11.1.1.1
# AR1
## 基本配置
sy
sys R1
##  ip

 int g0/0/0
 ip address 11.1.1.1 24
 
 int g0/0/1
 ip address 12.1.1.1 24
## 路由
 ip route-static 0.0.0.0 0.0.0.0 g0/0/1 12.1.1.2
 ip route-static 192.168.1.0 24 g0/0/0 11.1.1.2
 ip route-static 192.168.2.0 24 g0/0/0 11.1.1.2
 display ip routing-table

## 配置ACL
acl 2000
rule deny source 192.168.1.0 0.0.0.255
rule deny source 192.168.2.0 0.0.0.255
int g0/0/1
traffic-filter outbound acl 2000 
display acl 2000
# AR2
## 基本配置
sy
sys R2
## ip 
int g0/0/0/
ip address 12.1.1.2 24

int LoopBack 0
ip address 2.2.2.2 24

## 路由
ip route-static 0.0.0.0 0.0.0.0 g0/0/0 12.1.1.1

# pc1
ip:192.168.1.1
gw:192.168.1.254
# pc2
ip:192.168.2.1
gw:192.168.2.254

# 测试
stp1 :pc1--->ping 192.168.1.254-----ping 192.168.2.254
stp2 :pc1--->ping 2.2.2.2
stp3 :在R1上配置完成acl之后,再来测试
用pc1ping 2.2.2.2 ,就会出现request timeout!意味着发出去了包,但是没有收回
在R1上被拦截了
stp4 :undo rule 10
stp5 :display acl 2000---->就剩一条
stp6 :在ping 2.2.2.2 ;就可以通了

在这里插入图片描述

菜狗就不能打游戏了吗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实验5基本访问控制列表
05-26
一.实验目的: 掌握ACL配置。 二.实验要点: • 设计命名标准 ACL 和命名扩展 ACL • 应用命名标准 ACL 和命名扩展 ACL • 测试命名标准 ACL 和命名扩展 ACL • 排查命名标准 ACL 和命名扩展 ACL 的问题 三.实验设备: Cisco 2950交换机3台,Cisco2621xm路由器3台,带有网卡的工作站 PC 三台。
计算机网络基础 ---- ACL----访问控制列表----详解
Murphy_Biao的博客
10-25 2597
访问控制列表(Access Control List)是路由器和交换机接口的指令列表,用来制端口进出的数据包;包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行制;
访问 列表
weixin_44551911的博客
10-28 1304
访问控制列表ACL:Access Control List)是一种常用的网络技术,基本功能是对网络设备报文进行过滤处理。ACL是由permit和deny语句组成的一个有序规则的集合,首先通过报文匹配过程来实现对报文的分类识别,然后根据报文分类信息和相关的执行动作来判断哪些报文可以放行,哪些报文不能放行,从而实现对特定报文的过滤处理。ACL还有一些其它功能,这些功能常常被Route-policy、QoS(Quality of Service)、IPSec(IP Security)、Firewall等技术结合
ACL访问控制列表
最新发布
qq_47175413的博客
06-03 4709
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
基本的访问控制列表 ACL
weixin_44551911的博客
09-26 1688
访问控制列表ACL(Access Control List)是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包可以拒绝。 基本的ACL可以使用报文的源IP地址、间段信息来定义规则,编号范围2000~2999.一个ACL可以由多条“deny/permit”语句组成,每一条语句描述一条规则,m每条规则则有一个Rule-ID。Rule
访问控制列表ACL及配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量制。ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
26_ACL访问控制列表基础.pptx
09-27
ACL访问控制列表基础
ACL访问控制列表·ppt
04-30
ACL(Access Control List,访问控制列表)是一种非常重要的基础性工具,主要用于制和过滤网络流量。它是由一系列有序的条目组成的,每个条目包含“条件”和“动作”两元素。 ACL 的类型: 1. 标准访问控制列表...
华为ACL-基础配置篇.pdf
06-05
访问控制列表(Access Control List,简称ACL)是网络设备上的一种安全机制,用于对网络流量进行精细化制。华为设备ACL主要用于过滤数据包,实现对网络资源的访问权限管理,包括允许或拒绝特定IP地址、端口等...
华为ACL-基础配置篇.docx
06-12
**访问控制列表ACL)**是网络设备,如华为路由器,用于管理网络流量的重要工具。它基于预定义的规则来过滤数据包,允许或拒绝特定的网络通信。在华为路由器ACL主要用于实现网络安全、访问权限、优化带宽...
访问控制列表(一)
weixin_34208185的博客
12-10 508
访问控制列表(一)? TCP和UDP协议TCP/IP协议族的传输层协议主要有两个:TCP(Transmission ,传输制协议)和UDP(User Datagram Protocol,用户数据抱协议)。? TCP协议TCP是面向连接的、可靠的进程到进程通信的协议。TCP提供全双工服务,即数据可在同一间双向传输,每一个TCP都有发送缓存和接受缓存,用来临存储数据。1. ...
10.1 配置基本的访问控制列表
qq_45382474的博客
11-09 2067
原理概述 访问控制列表ACL(Access Control List)是由permit或deny语句组成的一些列有顺序的规则集合,这些规则根据数据包的原地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝。 按照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表,基本ACL可以使用报文的源IP地址、间段等信息来定义规则,编号范围为2000~2999。 ...
访问控制列表ACL
oldyan
08-16 6462
ACL 简单介绍及使用实战
新手必看的ACL基本访问控制列表及高级访问控制列表
02-18 5015
【温馨提示】需要资料或者需要进群交流划到最底部 ACL原理 ACL是什么 为了过滤数据包,需要配置一些规则,规定什么样的数据包可以通过,什么样的数据包不能通过。这些规则就是通过访问控制列表(Access Control List)体现的。 访问控制列表根据IP报文的协议号、源地址、目标地址、源端口和目的端口的信息起到过滤数据报文的作用。 用户需要根据自己的安全策略来确定访问控制列表,并将其应用到整机或指定接口上,安全网关就会根据访问控制列表来检查所有接口或指定接口上的所有数据包,对于符合规则的报文作正.
访问控制列表ACL)详细讲解
一起努力共同进步,为了未来一起奋斗吧!
09-27 3297
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地制用户对网络访问,从而最大程度地保障网络安全。
8-0访问控制列表ACL
cindyandcandy的博客
07-03 466
访问控制列表ACL可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的制、限制网络流量、提高网络性能、防止网络攻击等等。ACL概述用于路由器接口:包过滤技术,读取第三层或第四层包头的信息,从而达到访问控制目的。用于其他制策略的匹配列表:通过包头部信息进行数据的匹配,匹配结果被其他制策略调用并执行相应制操作。ACL的作用...
ACL访问控制列表实战
zuopiezia的博客
07-02 389
访问控制列表 访问控制列表和可以定义一系列不同的规则,设备根据这些跪着对数据包进行分类,针对不同类型的报文进行不同的处理, 从而实现对网络访问行为的制、限制网络流量、提高网络性能、防止网络攻击等等。 ACL 应用场景: ACL可以通过定义规则来允许或拒绝流量的通过 ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作 ACL分类 基本ACL 2000-2999 源IP地址 高级ACL 3000-3999 源IP地址、目的IP地址、源端口、目的端口等 二层ACL 4000-4999 源M...
CCNA学习笔记十 ACL访问控制列表、包过滤
catkint的博客
11-28 2087
实现访问控制列表的核心技术是包过滤 将包拆开,查看源端口和目的端口 TCP 65535 UDP 65535 Telnet 23 FTP 21 HTTP 80show  分析数据包包头信息,进行判断 RIP 520端口 ETGRP IP协议号88 OSPF IP协议号 当所有的规则都没有匹配到,那么最后一条默认是拒绝所有,数据包被丢弃。 router eigrp    
路由与交换——ACL访问控制列表
weixin_43801543的博客
12-16 1400
ACL访问控制列表及其配置命令
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值