访问控制列表(ACL)

最新推荐文章于 2024-05-04 21:46:38 发布
最新推荐文章于 2024-05-04 21:46:38 发布
阅读量2.4k 收藏 15
点赞数
分类专栏: 笔记 文章标签: 网络 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58669530/article/details/123278142
版权

文章目录

一、ACL

1、ACL的作用:

  • 匹配数据包,实现数据包的控制(过滤或放行)

2、组成:

  • 规则:即匹配数据包的各种条件;
  • 动作:permit 和 deny ;

3、基本ACL

  • 表示方式:ID,取值控制为:2000~2999
  • 仅仅能匹配数据包的源IP地址,匹配数据包不精确
  • 建议:
    在调用时,尽量调用在距离目标设备近的地方;

4、高级ACL

  • 表示方式:ID,取值控制为:3000~3999
  • 可以同时匹配数据包的源IP地址、目标IP地址、协议、源端口、目标端口;匹配数据更加的精确
  • 建议:
    在调用时,尽量调用在距离源设备近的地方;

5、ACL的工作原理:

  • 一个ACL可以同时包含多个条目(rule)
  • 进行ACL的检查的时候,按照 rule 号码的大小,从小到大依次检查;
  • 如果一个 rule 能匹配住,就不会检查后续的其他 rule 。
  • 建议:
    在配置 ACL 的过程中,不同的规则条目之间的 rule 号码尽量隔开一个段空间,这样的话,便于后期 ACL 的管理,比如添加 或者 删除一个 rule ,非常方便。

6、ACL的特点:

  • ACL对设备本身发起的流量是不起作用的;
  • ACL 与 traffic-filter 结合使用时,最后有一个隐含的“允许所有”。
  • 其他情况下的ACL,最后包含的都是“拒绝所有”。

二、基本ACL实验配置

在这里插入图片描述

1.配置需求:

  • pc2(袁强)不能访问server1(草榴社区),其他设备可用访问server1

2.配置步骤:

  1. 创建ACL
    acl 2000
    rule 10 deny sourece 10.1.10.1 0.0.0.0
  2. 调用ACL
    interface g0/0/0
    traffic-filter inbound acl 2000
  3. 验证与测试
    [R1]display acl 2000 查看设备ACL2000
    用PC-1:ping 10.1.30.1 ,应该是不通的

3.配置命令


<Huawei>undo terminal monitor 
<Huawei>system-view 
[Huawei]sysname R1
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip a 10.1.10.254 24
[R1-GigabitEthernet0/0/0]q
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip a 10.1.20.254 24
[R1-GigabitEthernet0/0/1]q
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip a 10.1.30.254 24
[R1-GigabitEthernet0/0/2]q
[R1]acl 2000
[R1-acl-basic-2000]rule 10 deny source 10.1.10.1 0.0.0.0          //设置规则10 拒绝源 10.1.10.1 
[R1-acl-basic-2000]q
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000         //在接口0/0/2的入方向上做流量过滤调用ACL 2000

配置完后会发现一个问题:
配置完acl,并且在在g0/0/0口调用acl规则后,PC-1和PC-2也不通了,所以由实验得出一个结论:应该在g0/0/2上进行配置;

方案修改如下:

[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]undo traffic-filter inbound 
[R1-GigabitEthernet0/0/0]q
[R1]interface g0/0/2
[R1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000

总结:基本acl应在离目标近的地方调用;

三、高级ACL案例

条件:

  1. 允许client1(小明)可用访问server1的web服务,但是不能ping通server1
  2. 允许client1(小明)可用访问pc1及(10.1.2.0/24整个网段)
  3. 拒绝client1(小明)访问其他任何网络)
    实验拓扑:
    在这里插入图片描述
    R1配置:
<Huawei>system-view
[Huawei]sysname R1
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip a 192.168.1.1 24
[R1-GigabitEthernet0/0/0]q
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip a 10.1.1.254 24
[R1-GigabitEthernet0/0/1]q
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.2

R2配置:

<Huawei>system-view
[Huawei]sysname R2 
[R2]interface  g0/0/0
[R2-GigabitEthernet0/0/0] ip a 192.168.2.1 24
[R2-GigabitEthernet0/0/0]q
[R2]interface g0/0/1
[R2-GigabitEthernet0/0/1]ip a 192.168.1.2 24
[R2-GigabitEthernet0/0/1]q
[R2]interface g0/0/2
[R2-GigabitEthernet0/0/2]ip a 10.1.2.254 24
[R2-GigabitEthernet0/0/2]q
[R2]ip route-static 10.1.1.0 255.255.255.0 192.168.1.1
[R2]ip route-static 10.1.3.0 255.255.255.0 192.168.2.2

R3配置:

<Huawei>system-view
[Huawei]sysname R3
[R3]interface g0/0/0
[R3-GigabitEthernet0/0/0]ip a 10.1.3.254 24 
[R3-GigabitEthernet0/0/0]q
[R3]interface g0/0/1
[R3-GigabitEthernet0/0/1]ip a 192.168.2.2 24
[R3-GigabitEthernet0/0/1]q
[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.2.1

高级ACL配置:

[R1]acl 3000
[R1-acl-adv-3000]rule 10 permit tcp source 10.1.1.1 0.0.0.0 destination 10.1.3.1
 0.0.0.0 destination-port eq 80
 [R1-acl-adv-3000]rule 20 permit ip source 10.1.1.1 0.0.0.0 destination 10.1.2.1 
0.0.0.255
[R1-acl-adv-3000]rule 30 deny ip source 10.1.1.1 0.0.0.0 destination any
[R1-acl-adv-3000]q
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

案例2:
在这里插入图片描述需求:

  1. 仅能SW1远程R3;
  2. 其他设备都不可以远程,
  3. 同时,要保证SW1 可以ping 通 R3
  4. 其他类型的流量都可以互通(10.1.1.1->telnet->R3 tcp:23);
    原来的基础上把client替换成SW1,删除AR1原来的acl配置,进行新的配置;
    SW1配置:
<Huawei>sys
[Huawei]sys SW1
[SW1]int Vlanif 1
[SW1-Vlanif1]ip a 10.1.1.1 24
[SW1-Vlanif1]q
[SW1]ip route-static 0.0.0.0 0 10.1.1.254

R1配置:

[R1]acl name telnet-R3
[R1-acl-adv-telnet-R3] rule 10 permit tcp source 10.1.1.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23 
[R1-acl-adv-telnet-R3] rule 20 permit tcp source 10.1.1.1 0.0.0.0 destination 10.1.3.254 0.0.0.0 destination-port eq 23
[R1-acl-adv-telnet-R3] rule 30 deny tcp destination 192.168.2.2 0.0.0.0 destination-port eq 23 
[R1-acl-adv-telnet-R3] rule 40 deny tcp destination 10.1.3.254 0.0.0.0 destination-port eq 23 
[R1-acl-adv-telnet-R3]q
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl name telnet-R3

方式二:
如果接口比较多的情况可用以下方式:

  1. 首先关闭R1的acl:
[R1]undo acl 3998
  1. 在R3上配置telnet
[R2]user-interface vty 0 4
[R2-ui-vty0-4]q
[R2]acl 2000 
[R2-acl-basic-2000]rule 10 permit source 10.1.1.1 0.0.0.0
[R2-acl-basic-2000]q
[R2]user-interface vty 0 4	
[R2-ui-vty0-4]authentication-mode password ***
[R2-ui-vty0-4]return

总结:

ACL的配置思路

  • 确定配置设备
  • 确定配置接口
  • 确定数据方向
  • 创建ACL
  • 调用ACL
  • 验证与测试
尘-土
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
策略路由(PBR)配置命令详解
weixin_49782381的博客
01-13 4978
PBR作用对象:数据。(不看路由表) 基于本地: 只对本设备发送的流量生效,经过本设备的流量不生效。 配置命令: acl 3000 (默认通过所有) rule 10permit ip source 100.1.1.1 0 destination 200.1.1.1 0 //规则10,源地址100..1.1.1 ,目的地址200.1.1.1 ,(0表示精确匹配) policy-based-route ...
新华三路由器常见命令
我本善良编程专栏
09-30 3075
新华三路由器命令通用命令VLAN路由ACL 控制 通用命令 兼职网管一二三 VLAN 设置策略 路由 1)policy策略 policy-based-route route-wifi permit node 1 if-match acl 3030 apply next-hop 110.149.222.1 --固定IP方式,填写固定IP的网管 apply output-interface dialer10 --固定PPP拨号接口名 ACL 控制 1)创建 ...
访问控制列表ACL-如何禁止员工工作期间玩网络游戏却不影响正常网络应用?_禁止员工下载游戏怎么通过acl限制(1)
最新发布
2401_84297265的博客
05-04 760
2.2配置遵循的条件ACL 指令需要应用于入站数据流或者应用于出站数据流。入站 ACL 是指对到来的分组进行处理后在路由到主站接口,效率高。出站 ACL 是指将分组路由到出站接口,然后根据 ACL 对其进行处理。一般配置不会这样,会增加路由器的工作量。特殊情况下需要计算机进行内网访问服务器。ACL 的运行顺序一般是从上到下,每次一条语句。当外来的信息进入路由器接口时,在 ACL 中会对于相应的条件进行指令设置, 指令满足进行立即执行,指令不满足自动跳转到下一行指令。
ACL常用的匹配项
qq_32044265的博客
05-29 4544
交换机支持的ACL匹配项种类非常丰富,其中以下的几个匹配项比较常用 生效时间段 ACL的生效时间段可以规定ACL规则在何时生效,从而实现在不同的时间段设置不同的策略。 在ACL规则中引用的生效时间段存在两种模式: 周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。 绝对时间段:从某年某月某日的某一时间开始,到某年某月某日的某一时间结束,表示规则在这段时间范围内生效。 同一名称(time-name)配置多条时间段时,通过以下规则选出最终生效
学习日记Day27:ACL原理与配置
qq_40909772的博客
08-13 3041
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
访问控制列表ACL配置命令
patiencezzz的博客
05-19 2万+
标准访问控制列表 配置标准ACL 实现拒绝pc2(IP地址为192.168.1.3)对Web Server pc3的访问 配置如下: 下面配置路由器端口的IP地址: R1>en R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no sh R1(conf...
访问控制列表ACL及配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
访问控制列表ACL
10-29
访问控制列表ACL
访问控制列表ACL、NAT.ppt
05-16
访问控制列表ACL、NAT.ppt
访问控制列表ACL学习
01-03
本文档主要介绍了ACL分类及ACL书写匹配规则及使用方法。
访问控制列表(ACL)
04-11
访问控制列表(ACL)
配置基本的访问控制列表ACL【eNSP实现】
Infinity_and_beyond的博客
04-30 3719
访问控制列表ACL(Access Control List)是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据报的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝 基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为2000~2999 一个ACL可以由多条"deny/permit"语句组成,每一条语句描述一条规则,每条规则则有一个Rule-ID。Rule-ID
ACL技术配置
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
10-31 1万+
ACL华为命令 1.基本ACL配置 [Huawei]acl number 2000 ###创建acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加) [Huawei] interface GigabitEthernet 0/0/1 [ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254
ACL访问控制列表基本概念
一个人的旅行的博客
10-08 1万+
1. ACL概述   (1)、ACL全称访问控制列表(Access Control List)。   (2)、基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息(如源地址、目的地址、协议口、端口号等),根据预先定义好的规则对包进行过滤,从而达到控制的目的。   (3)ACL目的:限制网络流量、提高网络性能;提供对通信流量的控制手段;提供网络访问的基本安全手段。
配置用户单项访问
weixin_46041124的博客
05-31 184
因为交换机实现不了单通。所以只能限制源地址和目的地址的tcp 三次握手建立 这样A 去访问B,tcp可以建立。 B去访问A,tcp建立不了。通过这种方式实现单通 配置ACL # 创建高级ACL 3001并配置ACL规则。 [SwitchC] acl 3001 rule permit ip source 192.168.200.150 0 destination 172.168.10.0 0.0.0.255 如果要求这个网段的特定IP访问加上。 [SwitchC-acl-adv-3001] ru...
ACL技术---访问控制列表
2302_77790151的博客
10-26 54
r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000---在0/0/1接口的出方向调用acl2000列表—个接口的一个方向只能调用一张ACL列表。[r2-acl-basic-2000]rule-permit source 192.168.1.253 0.0.0.0 ---创建规则。-----所以动作均为允许。通配符-----32位二进制,0代表不可变,1代表可变。[r2]acl 2000 ----创建基本ACL列表。基本ACL配置规则----
ACL访问控制列表
qq_47175413的博客
06-03 4419
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
华为交换机ACL的配置规则及实例
热门推荐
ChaseAug的博客
11-12 3万+
ACL(访问控制列表)的应用原则: 标准ACL,尽量用在靠近目的点 扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源) 方向:在应用时,一定要注意方向 ACL分类 基本ACL #范围为2000~2999 可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则 高级ACL #范围为3000~3999 既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则 二层ACL #
华为HCNA教程(笔记)
安藤青司的博客
10-04 3843
第一章 VRP操作基础1VRP基础 MiniUsb串口连接交换机的方法 2eNSP入门 3命令行基础(1) eNSP中路由开启后(记住端口)---第三方软件连接该路由方法:telnet 127.0.0.1 端口 用户视图(文件)—–系统视图(系统sys)——接口视图(接口 interface GigabitEthernet 0/0/0)——协议视图(路由) display hotkey ...
访问控制列表ACL详解
04-22
ACL(Access Control List)指访问控制列表,是一种权限控制方法。ACL用于控制文件和文件夹的访问权限,规定了哪些用户可以访问这些文件和文件夹,以及哪些用户可以读、写、执行这些文件和文件夹。ACL的实现方式一般分为两种:基于对象(如文件、文件夹等)的ACL和基于主体(如用户、用户组等)的ACL。基于对象的ACL允许在被控制对象上定义一个访问控制模板,这个模板可以标识哪些用户能够对对象所具有的各种访问权限进行修改。基于主体的ACL允许在主体上定义一套ACL信息,以此来规定与这个主体相关的文件或文件夹的访问权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值