超详细如何配置高级ACL

最新推荐文章于 2024-07-25 10:16:44 发布
最新推荐文章于 2024-07-25 10:16:44 发布
阅读量8.5k 收藏 34
点赞数 5
分类专栏: 网络工程 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57636278/article/details/121517407
版权
本文档介绍了高级访问控制列表(ACL)的原理和应用场景,通过实验展示了如何配置高级ACL以实现更精确的网络访问控制。实验中,配置了OSPF使得全网互通,并利用高级ACL阻止特定源地址对目标地址的Telnet访问。实验结果验证了高级ACL在过滤数据包源、目的地址及端口等信息方面的强大功能。
摘要由CSDN通过智能技术生成

配置高级的访问控制列表

原理概述:

       基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的局限性而无法实现更多的功能,所以就需要使用高级的访问控制列表。

        高级的访问控制列表在匹配项上做了扩展,编号范围3000——3999,既可使用报文的源IP地址,也可使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口,UDP源端口/目的端口号等信息来定义规则。

         高级访问控制列表可以定义比基本访问控制列表更准确、更丰富、更灵活的规则,也因此得到更加广泛的应用。

实验目的;

理解高级访问控制列表的应用场景

掌握配置高级访问控制列表的方法

理解高级访问控制列表与基本访问控制列表的区别

开始实验:

 

首先我们进行接口配置和OSPF协议的配置使全网互通;

命令如下:

AR1:

#

interface GigabitEthernet0/0/0

 ip address 10.0.13.1 255.255.255.0

#

interface GigabitEthernet0/0/1

#

interface NULL0

#

interface LoopBack0

 ip address 1.1.1.1 255.255.255.255

#

ospf 1

 area 0.0.0.0

  network 1.1.1.1 0.0.0.0

  network 10.0.13.0 0.0.0.255

AR2:

#

interface GigabitEthernet0/0/0

 ip address 10.0.23.1 255.255.255.0

#

interface GigabitEthernet0/0/1

#

interface NULL0

#

ospf 1

 area 0.0.0.0

  network 10.0.23.0 0.0.0.255

AR3:

#

interface GigabitEthernet0/0/0

 ip address 10.0.13.254 255.255.255.0

#

interface GigabitEthernet0/0/1

 ip address 10.0.23.254 255.255.255.0

#

interface GigabitEthernet2/0/0

 ip address 10.0.34.1 255.255.255.0

#

interface NULL0

#

interface LoopBack0

 ip address 3.3.3.3 255.255.255.255

#

ospf 1

 area 0.0.0.0

  network 3.3.3.3 0.0.0.0

  network 10.0.13.0 0.0.0.255

  network 10.0.23.0 0.0.0.255

  network 10.0.34.0 0.0.0.255

AR4:

#

interface GigabitEthernet0/0/0

 ip address 10.0.34.254 255.255.255.0

#

interface GigabitEthernet0/0/1

#

interface NULL0

#

interface LoopBack0

 ip address 4.4.4.4 255.255.255.255

#

interface LoopBack1

 ip address 40.40.40.40 255.255.255.255

#

ospf 1

 area 0.0.0.0

  network 4.4.4.4 0.0.0.0

  network 10.0.34.0 0.0.0.255

  network 40.40.40.40 0.0.0.0

都配置完成后,我们查看是否实现全网互通以及查看路由表:

 

 可以观察到,实现了全网互通,AR1也学习到了相关网段的路由信息;

配置Telnet,在AR4上配置:

配置完成后,尝试Telnet连接R1连R4;

 我们可以发现,只要是路由可达的设备,并且拥有Telnet的密码,都可以成功正常登录;

配置高级访问控制列表:

根据设计要求,R1的环回接口之只能通过R4上的4.4.4.4进行Telnet访问,但是不能通过40.40.40.40访问;

     如果只能通过访问R4的环回口0地址登录设备,即同时匹配数据包的源地址和目的地址实现过滤,此时通过标准ACL是无法实现的,因为ACL只能通过匹配源地址实现过滤,所以需要使用到高级ACL。

在R4上使用ACL命令创建一个高级ACL 3000;

可以观察到,在不指定规则ID的情况下,默认步长为5,第一条规则ID即为5。

将ACL 3000调用在VTY下,使用inbound参数,即在R4的数据入方向上调用。

 配置完成后,在R1上使用环回口地址尝试访问40.40.40.40

可以观察到,此时过滤已经实现,R1不能使用环回口地址访问40.40.40.40

此时高级ACL还可以实现对源、目的端口,协议号等信息的匹配,功能非常强大。

实验结束;

备注:如有错误,请谅解!

此文章为本人学习笔记,仅供参考!如有重复!!!请联系本人!

晚风挽着浮云
关注
专栏目录
基本ACL高级ACL详细配置步骤
weixin_46063117的博客
03-16 6573
在R4上创建三条ACL 1.第一条R6不能访问R3的ftp服务 acl 高级 编号 acl advanced 3000 规则 拒绝 ftp基于tcp 源ip地址 掩码 目的ip地址 端口号 且 rule deny tcp ...
高级ACL配置
weixin_50339233的博客
05-21 5627
搭建top PC1配置IP PC2配置IP Server1配置IP Server2配置IP R1的配置 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1]ip add 10.1.1.254 24 初始情况下PC1和PC2都能够访问server1和server2 一.
华为ensp中高级acl (控制列表) 原理和配置命令 (详解)_ensp高级acl配置示例(1)
2401_84281748的博客
05-08 1115
在你提供的ACL配置中,ACL 3000中有两个规则,分别拒绝了源地址为192.168.1.2的ICMP流量和源地址为192.168.1.2,目标地址为192.168.2.2的ICMP流量。这个ACL 3000允许了源地址为192.168.1.0/24,目标地址为192.168.2.0/24的所有TCP流量,在指定的时间范围内(即工作时间)。它的作用是将所有目的地址为0.0.0.0/0(即所有未知目的地址)的流量都指向下一跳地址为6.6.6.6的路由器或者下一跳设备。其实可以访问的acl流量不需要设置。
基本ACL高级ACL配置教程
最新发布
小白的博客
07-25 725
以下是包含了基本ACL高级ACL配置,以及一个实验案例来限制用户在特定时间访问特定服务器。
高级ACL(访问控制列表)的配置
❤️遇见我 的博客
07-31 1569
高级ACL(访问控制列表)的配置 ,ensp华为web,ftp服务器配置
华为ensp中高级acl (控制列表) 原理和配置命令 (详解)
博客之路,前途漫漫
04-06 7039
高级acl(Access Control List)是一种访问控制列表,可以根据数据包的源IP地址、目标IP地址、源端口、目标端口、协议、ICMP类型等多种因素进行过滤。高级acl比基本acl更加灵活,可以提供更细粒度的控制。
配置扩展ACL
秦庚辰的博客
05-01 4665
配置扩展ACL 问题 在网络中很有可能要允许或拒绝的并不是某一个源IP地址,而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。 1)配置扩展ACL实现拒绝PC2(IP地址为192.168.0.20)访问Web Server的web服务,但可访问其他服务。 方案 为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。 扩展IP访问控制列表比标...
华为acl怎么生效_思科|华为:ACL基本命令配置
weixin_34898320的博客
12-30 2134
ACL(Access Control List):访问控制列表,它主要通过读取第三、四层的包头信息,再通过预定义好的规则进行匹配过滤,以达到访问控制的目的。大部分的路由交换系统中都集成了ACL功能。以下分别以思科和华为设备为例记录简单的ACL基础知识及命令配置。#思科ACL的分类:1.标准访问控制列表表号:1-99特点:基于源IP来进行匹配过滤2.扩展访问控制列表表号:100-199特点:基于源I...
详细配置华为交换机
12-02
详细配置华为交换机 华为交换机是一种高性能的网络交换机,它可以提供高速的数据传输和高效的网络管理。配置华为交换机需要了解其基本配置高级配置。 基本配置 华为交换机的基本配置包括端口配置、 VLAN 配置...
ACL和NAT
abjava1的博客
09-20 1491
目录 一、ACL 1.ACL概述 2.ACL应用 3.ACL工作原理 4.规则编号 5.通配符 6.ACL的分类与标识 7.ACL的匹配机制 8.ACL的应用原则 9.匹配规则 二、ACL访问控制列表实验 1、基本ACL访问控制列表实验​ (1)给Client1、Client2、Server1和Server2配置ip、网关等​ (2)配置路由 (3)此时全网互通 (4)配置路由拒绝访问命令 (5)验证实验​ 2、高级ACL访问控制列表实验 (1)配置Server1中的F
华为高级ACL配置.topo
08-27
实验名称:华为高级ACL配置 需求: 1)允许Client1访问Server1的Web服务 2)允许Client1访问网络192.168.2.0/24 3)禁止Client1访问其它网络
Squid传统模式、代理模式、反向代理、acl控制、sarg日志——详细的实验+理论
CSDN著名博主
11-02 527
这里写目录标题一、squid概述1.1、squid简介1.2、代理工作的机制和好处1.3、代理的基本类型二、搭建传统代理2.1、拓扑图2.2、传统代理搭建步骤2.2.1、搭建squid服务2.2.2、修改分配缓存空间的配置文件2.2.3、编写squid脚本2.2.4、配置WEB端2.2.5、WIN10虚拟机测试三、搭建透明代理3.1、虚拟机配置3.2、squid服务器配置测试验证四、ACI控制五、sarg日志六、搭建反向代理6.1、web1配置6.2、web2配置6.3、squid配置6.4、测试 一、sq
高级ACL配置案例
Dream的博客
08-12 1174
配置高级ACL
qq_36963043的博客
06-27 416
配置高级ACL 2.1 问题 如图配置IP地址 允许Client1访问Server1的Web服务 允许Client1 访问网络 192.168.2.0/24 禁止Client1 访问其他网络 2.2 方案 搭建实验环境,如图-2所示。 图-2 2.3 步骤 实现此案例需要按照如下步骤进行。 1)配置终端设备 - Client1 地址:192.168.1.1 掩码:255.255.255.0 网关:192.168.1.254 2)配置终端设备 - PC1 地址:192.168.2.1
高级ACL的基础配置命令
qq_23930765的博客
01-11 4806
它的基本原理是:配置ACL网络设备根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对匹配上的报文执行事先设定好的处理动作。处理动作的不同以及匹配规则的多样性,使得ACL可以发挥出各种各样的功效。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。主要介绍了ACL的相关技术知识,包括:ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置及应用。在基本ACL视图下,通过此命令配置基本ACL的规则。
配置高级ACL案例
WFlySky的博客
11-07 5444
前提条件 •如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。 背景信息 高级ACL根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。 高级ACL比基本ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。 操作步骤 1、执行命令system-view,进入系统视图。 2、创建高级ACL。可使用编号或者名称两种方
基本acl高级acl的简介及其配置
weixin_45473993的博客
06-01 2377
基本acl以及高级acl的简介
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晚风挽着浮云

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值