交换机与路由技术-31-扩展ACL

最新推荐文章于 2024-03-11 23:06:53 发布
最新推荐文章于 2024-03-11 23:06:53 发布
阅读量1.4k 收藏 6
点赞数 2
分类专栏: 网络安全 # 交换机与路由技术 文章标签: 扩展ACL ACK ACL ACl配置案例 扩展ACL用法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46232917/article/details/127039439
版权

目录

一、扩展的ACL

1.1 特点

1.2 ACL应用规则

二、扩展ACL实验

三、 扩展ACL总结

一、扩展的ACL

1.1 特点

基于数据包五元组:源IP、目的IP、源端口、目的端口、协议来过滤数据包

扩展访问控制列表的表号为:100~199

1.2 ACL应用规则

在一个接口上、一个方向上、只能应用一个访问控制列表

Router(config)#access-list 88 deny host 192.168.10.2

Router(config)#access-list 99 deny host 192.168.20.2

Router(config)#int g0/0

Router(config-if)#ip access-group 88 in   /* 生效 */

Router(config-if)#ip access-group 99 in   /* 不生效 */

二、扩展ACL实验

实验要求:

如图,完成网段划分,IP配置,和启用OSPF动态路由协议实现网络互通

注意点:主机的DNS服务为server的IP地址

在Server开启DNS功能和HTTP功能,并添加两条记录如图

测试配置前的效果

配置要求:

PC0 无法访问服务器的dns服务、其他服务正常

(即PC0无法通过域名访问,但可以通过ip地址访问网站)

PC1无法访问服务器的http服务、其他服务正常

(即可以进行域名解析但是无法访问网站)

两台主机都无法ping通服务器

配置思路

       确定在哪一台路由器配置ACL

       确定配置在入口还是出口

原则:减少路由器无用功、尽量配置在一个表中

综合考虑:配置在路由器0的出口

DNS是应用层协议,基于传输层的UDP用户数据报协议 53号端口

HTTP是应用层协议,基于传输层的TCP传输控制协议 80 端口

Router(config)#

Router(config)#access

Router(config)#access-list 111 ?

deny Specify packets to reject

permit Specify packets to forward

remark Access list entry comment

Router(config)#access-list 111 deny ?

ahp Authentication Header Protocol

eigrp Cisco's EIGRP routing protocol

esp Encapsulation Security Payload

gre Cisco's GRE tunneling

icmp Internet Control Message Protocol

ip Any Internet Protocol

ospf OSPF routing protocol

tcp Transmission Control Protocol

udp User Datagram Protocol

Router(config)#access-list 111 deny icmp ?

A.B.C.D Source address

any Any source host

host A single source host

Router(config)#access-list 111 deny icmp any ?

A.B.C.D Destination address

any Any destination host

host A single destination host

Router(config)#access-list 111 deny icmp any host 192.168.40.1

Router(config)#access-list 111 deny udp ?

A.B.C.D Source address

any Any source host

host A single source host

Router(config)#access-list 111 deny udp host 192.168.10.1 ?

A.B.C.D Destination address

any Any destination host

eq Match only packets on a given port number

gt Match only packets with a greater port number

host A single destination host

lt Match only packets with a lower port number

neq Match only packets not on a given port number

range Match only packets in the range of port numbers

Router(config)#access-list 111 deny udp host 192.168.10.1 host 192.168.40.1 eq 53

Router(config)#access-list 111 deny tcp host 192.168.20.1 host 192.168.40.1 eq 80

Router(config)#access-list 111 permit ip any any

Router(config)#int g0/2

Router(config-if)#ip access-group 111 out

验证效果

PC0 无法访问服务器的dns服务、其他服务正常

(即PC0无法通过域名访问,但可以通过ip地址访问网站)

PC0和PC1均不能ping通服务器

PC1无法访问服务器的http服务、其他服务正常

(即可以进行域名解析但是无法访问网站)

两台主机都无法ping通服务器

三、 扩展ACL总结

所有的ACL类型

只能在一个接口一个方向上配置一个组ACL(表号相同算一组)

配置扩展ACL使用表号是100~199

access-list 表号(100~199)deny/permit 协议 源地址/主机 目的地址/主机 (eq/gt/lt/neq/range) (端口号)

eq        等于

gt          大于

lt           小于

neq       不等于

range     范围

w辣条小王子
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
扩展ACL
Lance_Zhang的博客
06-01 1668
扩展ACL配置 创建扩展ACL Router(config)# access-list access-list-number {permit|deny} protocol {source source-wildcard destination destination-wildcard} [operator operan] access-list-number: ACL表号,范围在100-199 protocol: 用来指定协议类型,如IP,TCP,UDP,ICMP等 sourc...
使用扩展ACL限制公司网络访问.rar
02-17
1、资源内容:Word文档和topo文件 2、学习目标:配置路由器接口,配置高级ACL控制访问 3、应用场景:使用扩展ACL限制公司网络访问 4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出了实验的topo文件(包括配置信息) 5、适用人群:网络系统的建设与运维 6、使用说明:重点内容已标红
基本ACL扩展ACL
weixin_69884785的博客
04-20 2857
如果有两条语句,一个拒绝来自某个主机的通信,另一个允许来自该主机的通信,则排在前面的语句将被执行,而排在后面的语句将被忽略。所以在安排ACL语句的顺序时要把最特殊的语句排在列表的最前面,而最一般的语句排在列表的最后面,这是ACL语句排列的基本原则。出于安全性考虑,ACL的默认动作是拒绝(Implicit Deny),即在ACL中没有找到匹配的语句时分组将被拒绝通过,这相当于在列表最后有一个隐含语句拒绝了所有的通信(deny any)。①一旦发现匹配的语句,就不再处理列表中的其他语句。
思科网络中如何配置扩展ACL协议
最新发布
2201_75693008的博客
03-11 1572
源IP地址、目标IP地址、协议类型、端口号。
标准ACL扩展ACL
蛋壳的博客
11-27 2072
ACL概述,标准,扩展ACL实验(思科)
配置扩展ACL
秦庚辰的博客
05-01 4584
配置扩展ACL 问题 在网络中很有可能要允许或拒绝的并不是某一个源IP地址,而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。 1)配置扩展ACL实现拒绝PC2(IP地址为192.168.0.20)访问Web Server的web服务,但可访问其他服务。 方案 为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。 扩展IP访问控制列表比标...
思科网络技术学院(CCNA)-配置并检验扩展 ACL
01-01
第 3 部分:配置并检验扩展编号 ACL 和命名 ACL配置、应用并检验编号扩展 ACL。 • 配置、应用并检验命名扩展 ACL。 第 4 部分:修改并检验扩展 ACL 二、 实验准备 • 3 台路由器(支持 Cisco IOS 15.2(4)M3 ...
网络互联与路由实训报告.doc
12-30
为了更深入的了解企业网络,可以实现一些简单的拓扑搭建,掌握以下能力: ...(6)掌握应用标准ACL配置扩展ACL配置。 (7)学会在服务器上开启DNS并修改相关配置。 (8)掌握NAT和远程登录telnet的基本配置
网络学习资料ACL以及ACL扩展
11-13
网络交换机ACL配置学习网络运维,ACL以及ACL扩展。关于交换机路由ACL的基本配置
北京中科信软路由与交换培训01
03-21
标准和扩展IP ACL ACL的应用 动态ACL 基于时间的ACL 自反ACL 基于上下文的ACL 配置与演示 NAT NAT功能 NAT术语 静态NAT 动态NAT PAT 配置与演示 应用NAT的注意事项 IPv6 IPv6报文结构 IPv6的地址 ...
飞鱼星路由器命令行配置ACL的方法介绍
10-01
控制列表分为两种类型:一是标准访问控制列表:检查被路由数据包的源地址、 1~99 代表号。二是扩展访问控制列表:对数据包的源地址与目标地址进行检查。访问控制列表最常见的用途是作为数据包的过滤器
Packet Tracer - 配置扩展 ACL - 场景 1
傻傻的心动的博客
05-06 3349
Packet Tracer - 配置扩展 ACL - 场景 1
标准ACL扩展ACL(使用思科模拟器Cisco Packet Tracer Student)
热门推荐
7Riven's blog
11-08 2万+
1.访问控制列表概述 访问控制列表(ACL): 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 2.访问控制列表的工作原理 ACL使用网络流量控制(过滤)技术,在路由器上读取网络层和传输层的报头信息。(源IP 目标IP 源端口 目标端口),通过执行ACL定义的访问规则,进行数据流量控制和过滤, 达到网络访问控制的目的。 访问控制列表...
TCP/IP安全 之 ACL访问控制列表
qianfeng_dashuju的博客
09-17 918
一、ACL概述 1.1 Access Control List (访问控制列表) 重要级别:高! 1.2 ACL的作用 ACL是一种包过滤技术! 1.3 ACL应用场景 路由器上、防火墙上 路由器上就叫ACL! 防火墙上一般称为策略!策略就是升级版的ACL,策略可以基于IP、端口、协议、应用层数据进行各种过滤 二、ACL怎么过滤? ACL是基于数据包中的IP地址、端口号来对数据包进行过滤! 三、ACL的分类 3.1 标准ACL 标准---Standard 表号:1-99
ACL介绍及其相关配置
m0_61665967的博客
07-25 4498
ACL称为访问控制列表在流量转发的接口限制流量的进或出为其他策略定义感兴趣流量;当数据包流量经过路由器接口进或出时,ACL可以匹配流量产生动作 --- 允许 拒绝匹配规则:自上而下逐一匹配,上条匹配按上条执行,不再查看下一条;cisco系在表格末尾隐含拒绝所有;华为系在表格末尾隐含允许所有;1. 意识到全意识的重要性:ACL实验涉及到对计算机资源访问权限的控制,这也在提醒我们要时刻保持警惕,意识到安全意识的重要性。
计算机网络基础 ---- ACL----访问控制列表----详解
Murphy_Biao的博客
10-25 2419
访问控制列表(Access Control List)是路由器和交换机接口的指令列表,用来控制端口进出的数据包;包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制;
ACL扩展配置实验
weixin_58088629的博客
09-02 735
一、实验配置图及要求在路由上建立ACL扩展配置要求如下: 1、允许PC1访问Linux的web服务 2、允许PC2访问Linux的ftp服务 3、禁止PC1与PC2访问Linux的其它服务 4、允许PC1访问PC2 二、实验环境部署1、pc1、pc2以及Linux系统均设置静态IP、子掩及网关,并且进行对应的网卡绑定。 2、完成Linux服务器相关服务的安装与启动 [root@localhost ~]# yum install vsftpd -y //安装ftp服务...
一个箱式交换机,由哪些部分组成ACL的应用场景(包过滤,数据挑选,路由挑选),标准acl扩展acl区别
07-10
一个箱式交换机通常由以下几个部分组成: 1. 管理模块:负责设备的整体管理和配置。 2. 交换引擎:处理数据包的转发和交换。 3. 端口模块:提供连接设备的物理接口。 4. 功能模块:包括ACL(访问控制列表)等功能。 ACL(访问控制列表)是箱式交换机中常用的功能之一,它可以用于包过滤、数据挑选和路由挑选。 ACL的应用场景包括: 1. 包过滤:可以通过ACL配置规则,限制特定类型的数据包进出交换机的特定端口。例如,可以通过ACL禁止某些IP地址或特定协议的数据包通过交换机。 2. 数据挑选:可以使用ACL根据数据包的源地址、目的地址、协议类型等进行挑选,以便对匹配的数据包进行特定处理。例如,可以通过ACL将特定类型的数据包转发到特定的端口或进行特定的处理操作。 3. 路由挑选:可以通过ACL配置路由策略,根据数据包的目的地址或其他条件,决定数据包的转发路径。例如,可以通过ACL将特定目的地址的数据包转发到特定的下一跳路由器。 标准ACL扩展ACL是两种不同类型的ACL,它们的区别如下: 1. 标准ACL:基于源IP地址进行过滤,只能匹配源地址,不能匹配其他条件,如目的地址、协议类型等。 2. 扩展ACL:可以基于源IP地址、目的IP地址、协议类型、端口号等多个条件进行过滤,具有更灵活的匹配规则。 总结:ACL是箱式交换机中的一项重要功能,它可以用于包过滤、数据挑选和路由挑选。标准ACL只能基于源IP地址进行过滤,而扩展ACL可以基于多个条件进行过滤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

w辣条小王子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值