交换机和路由器技术-31-扩展ACL

最新推荐文章于 2024-03-11 23:06:53 发布
最新推荐文章于 2024-03-11 23:06:53 发布
阅读量2k 收藏 11
点赞数
文章标签: 网络 tcp/ip acl 扩展ACL acl配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46232917/article/details/126138334
版权

扩展ACL

 ACL应用规则

在一个接口一个方向上只能应用一个访问控制列表

access-list 1 deny host 192.168.1.1

access-list 2 deny host 192.168.2.1

int f0/0

ip access-group 1 in#这条生效

ip access-aroup 2 in # 这条不生效

ip access-aroup 2 out #另一个方向根本没有192.168.2.1的通信信息,相当于白配置

可以通过在同一个路由器上设置in、out来解决,要注意流量走向

扩展ACL:基于源ip、目的ip、指定协议、端口号、标志位进行过滤。表号:100~199

配置扩展ACL实例

实验要求
1、PC0无法访问服务器0的DNS服务,其他服务不受影响
2、PC1无法访问服务器0的http服务,其他服务不受影响
3、两台主机都无法ping通服务器0

如图完成上述拓扑搭建,网段划分,ip配置,服务器也需要配置ip,然后指定静态路由,实现所有主机与服务器互通,服务器开启DNS,并写一条资源记录www.test.com 123.123.123.123。完成以上设置才能做实验

PC1 ping 服务器

PC0 ping 服务器

测试http服务

测试DNS服务

这一步需要将主机dns服务器配置为server的ip

思考:ACL的配置在哪台服务器上完成?配置在入口还是出口?

链路上尽量不要出现无用流量

减少路由器工作量

尽量配置在一个表上

在这个拓扑上,要么多个表号直接应用在入口,要么一个表号,直接应用在出口即,路由器1的g0/1接口

DNS基于udp的应用层协议 端口是53.号

Http基于tcp的应用层协议,端口是80号

eq 等于

gt 大于

lt 小于

neq 不等于

range 一个范围

R1上的配置如下

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#access-list 160 deny ?

  ahp    Authentication Header Protocol

  eigrp  Cisco's EIGRP routing protocol

  esp    Encapsulation Security Payload

  gre    Cisco's GRE tunneling

  icmp   Internet Control Message Protocol

  ip     Any Internet Protocol

  ospf   OSPF routing protocol

  tcp    Transmission Control Protocol

  udp    User Datagram Protocol

Router(config)#access-list 160 deny icmp ?

  A.B.C.D  Source address

  any      Any source host

  host     A single source host

Router(config)#access-list 160 deny icmp host 192.168.10.2 ?

  A.B.C.D  Destination address

  any      Any destination host

  host     A single destination host

Router(config)#access-list 160 deny icmp host 192.168.10.2 host 192.168.30.2

Router(config)#

Router(config)#access-list 160 deny icmp host 192.168.20.2 host 192.168.30.2

Router(config)#

Router(config)#access-list 160 deny tcp host 192.168.10.2 host 192.168.30.2 eq 80

Router(config)#

Router(config)#access-list 160 deny udp host 192.168.20.2 host 192.168.30.2 eq 53

Router(config)#

Router(config)#access-list 160 permit ip any any

查看效果

PC0无法使用dns服务,但HTTP服务不受影响

PC2刚好相反,不做演示

总结:

扩展ACL命令:

先拒绝再允许\最后配置一条permit ip any any 允许其他ip流量通过

access-list 表号 permit/deny 协议(icmp ip tcp udp) host 源地址 host 目的地址(eq/gt/lt/neq/range) 端口号

w辣条小王子
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用扩展ACL限制公司网络访问.rar
02-17
1、资源内容:Word文档和topo文件 2、学习目标:配置路由器接口,配置高级ACL控制访问 3、应用场景:使用扩展ACL限制公司网络访问 4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出了实验的topo文件(包括配置信息) 5、适用人群:网络系统的建设与运维 6、使用说明:重点内容已标红
ACL扩展配置实验
2302_77643483的博客
05-16 303
基础:AR1 GE 0/0/1 192.168.1.1 24。R1 0/0/1接口调用ACL3000。R2 0/0/0接口调用ACL3001。1:R1 R2 配置telnet。2:给R1配置ACL。使pc1无法ping通R1。使pc2无法ping通R2。使pc2无法登录R1。3:给R2配置ACL。使pc1无法登录R2。
思科网络中如何配置扩展ACL协议
最新发布
2201_75693008的博客
03-11 1574
源IP地址、目标IP地址、协议类型、端口号。
飞鱼星路由器命令行配置ACL的方法介绍
10-01
控制列表分为两种类型:一是标准访问控制列表:检查被路由数据包的源地址、 1~99 代表号。二是扩展访问控制列表:对数据包的源地址与目标地址进行检查。访问控制列表最常见的用途是作为数据包的过滤器
思科扩展ACL具体怎么配置?
XMWS-IT
02-21 5358
1.理解扩展ACL的应用 2.掌握扩展ACL的配置 1.根据实验拓扑图,完成设备的基本配置; 2.配置EIGRP,使得全网路由可达; 3.在R3上部署ACL,只允许192.168.1.0/24网段的用户PingPC3; 4.在R3上部署ACL,只允许192.168.2.0/24网段的用户TelnetPC3。 步骤1:设备的基本配置 配置PC1: Router>enable Router#configure terminal Router...
Linux的ACL扩展权限)规划:setfacl、getfacl
Thewei666的博客
02-14 2484
ACL是Access Control List的英文缩写,中文译为访问控制列表,主要目的是提供传统的属主、所属群组、其他人的读、写、执行权限之外的详细权限设置。ACL可以直接针对单一用户、单一文件或目录来进行r、w、x的权限设置,对于需要特殊权限的使用状况非常有帮助用户(user):可以针对用户来设置权限用户组(group):可以针对用户组为对象来设置权限默认属性(umask):还可以针对在该目录下建立新文件/目录时,规范新数据的默认权限。
DPtech 交换机配置命令
03-13
DPtech 迪普 交换机 命令 配置 手册 DPtech LSW2000系列工业以太网交换机
实训二十三:交换机扩展 ACL 配置
weixin_60462069的博客
10-03 1483
1、配置 ACL之前,PC1 和 PC2 都可以 telnet 交换机 A。2、配置 ACL后,PC1 可以 telnet 交换机 A,而 PC2 不可以 telnet 交换机 A。1、 端口可以成功绑定的 ACL数目取决于已绑定的 ACL的内容以及硬件资源限制,如 果因为硬件资源有限无法配置会提示用户相关信息。1、标准 ACL 只能限制源 IP 地址,而扩展 ACL 的限制权限就很广泛,包括源 IP、目 的 IP、服务类型等。第四步:配置交换机 A 的 telnet 信息。
配置扩展ACL
m0_64292323的博客
10-06 1258
ACL综合实验
Packet Tracer - 配置扩展 ACL - 场景 1
傻傻的心动的博客
05-06 3349
Packet Tracer - 配置扩展 ACL - 场景 1
路由器ACL(访问控制列表)详解
热门推荐
NoobMaster的博客
03-13 1万+
ACL是应用在路由器接口的指令列表,通过这些指令,来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝,基本原理就是:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。ACL有三种类型: 标准ACL:根据数据包的源IP地址来允许或拒绝数据包,标准ACL的访问列表控制号是...
思科网络技术学院(CCNA)-配置并检验扩展 ACL
01-01
第 3 部分:配置并检验扩展编号 ACL 和命名 ACL • 配置、应用并检验编号扩展 ACL。 • 配置、应用并检验命名扩展 ACL。 第 4 部分:修改并检验扩展 ACL 二、 实验准备 • 3 台路由器(支持 Cisco IOS 15.2(4)M3 ...
路由器和三层交换机联合实现扩展ACL.pdf
10-09
路由器和三层交换机联合实现扩展ACL.pdf
思科交换机图文设置扩展ACL的配置与应用技巧.docx
09-27
思科交换机图文设置扩展ACL的配置与应用技巧 本文介绍了思科交换机图文设置扩展ACL的配置与应用技巧...本文介绍了思科交换机图文设置扩展ACL的配置与应用技巧,旨在帮助读者更好地理解和应用扩展ACL来实现粒度化控制。
cisco路由器配置ACL详解.doc
07-12
技术初期仅在路由器上支持,近些年来已经 扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子...
扩展ACL配置
傻傻的心动的博客
05-01 1381
扩展ACL配置 【实验目的】 掌握扩展ACL的配置。 认识扩展ACL的作用。 验证配置。
标准ACL扩展ACL和命名ACL的配置详解
weixin_34409822的博客
07-25 5036
访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。访问控制列表(ACL)的工作原理ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。ACl是一组规则的集合,它应用在路由...
acl配置与详解
qq_43210022的博客
08-12 4483
扩展ACL:access-list [eq ]Ip access-group #接口发送/接收流量被处理。 [permit/deny] 配置:编号标准ACL:access-list
访问控制列表 扩展ACL+命名ACL+实战小实验
一起努力共同进步,为了未来一起奋斗吧!
10-05 596
ACL扩展ACL命名详细讲解,内附Cisco实验,锻炼自己
描述有关标准ACL扩展ACL位置的两条基本规则。
05-29
标准ACL扩展ACL的位置都有两条基本规则: 1. 标准ACL应该尽可能地接近目标,而扩展ACL应该尽可能地接近源。这是因为标准ACL只能基于源IP地址进行过滤,而扩展ACL可以基于源IP地址、目标IP地址、协议、端口等多个因素进行过滤。因此,在网络中,应该将标准ACL放置在接近目标的位置(比如路由器的出口),将扩展ACL放置在接近源的位置(比如路由器的入口)。 2. ACL应该放置在最小化过滤流量的位置。ACL是一种过滤机制,它可以有效地减少网络中的不必要流量,从而提高网络的性能和安全性。但是,ACL也会增加网络的延迟和负载,因此,应该将ACL放置在最小化过滤流量的位置。比如,在一个大型企业网络中,可以将ACL放置在核心交换机或者边界路由器上,以最小化过滤流量的数量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

w辣条小王子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值