配置ACL

已于 2023-04-16 19:20:54 修改
阅读量4.8k 收藏 30
点赞数 4
文章标签: 网络 智能路由器
于 2023-04-13 01:34:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64444995/article/details/130050739
版权
  1. ACL(访问控制值列表)

通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝。

permit(允许):数据包过滤,允许那些流量通过
deny (拒绝):数据包过滤,拒绝那些流量通过

ACL分类:

编号标准acl  命名标准acl

编号高级acl  命名高级acl

下文中的  R2(config)#access-list 1 deny host 192.168.1.1

不写host 默认为 R2(config)#access-list 1 deny 192.168.1.1 0.0.0.0(通配符)

通配符特点:wildcard bits【只有ACL中才会用】
-关注的是0对应的某些位
-不关注1对应的某些位
-0和1的位置,是随意的
 可以长的像掩码一样,比如 255.255.0.0  
 可以长的像反掩码一样,比如 0.0.255.255 
 可以既不像掩码也不像反掩码,比如 0.255.0.255

例如:access-list 1 permit  192.168.12.0  0.0.0.255   此语句表示允许12.0这个网段的流量通过

目录

1.配置路由器接口地址

 2.配置ospf

 3.配置标准ACL(使用编号)

4.测试通信

 5.删除ACL和接口的ACL配置

6.编号标准ACL有许多缺点bug

7.改进:用命令标准ACL实现

准备工作:

路由器之间通过V.35电缆串口连接,DCE端连接在R1上,配置其时间频率为64000;主机与路由器通过交叉线连接;

两个路由器R1,R2都如下配置

之后再连接两个路由器

 

 设置时间钟

实验目标:部署合适的编号标准ACL,实现PC0不能访问s0,其他均可以正常访问

 实验拓扑图:

1.配置路由器接口地址

R1(config)#in fa0/0
R1(config-if)#ip add 192.168.1.254 255.255.255.0
R1(config-if)#no sh

R1(config-if)#in fa0/1
R1(config-if)#ip add 192.168.2.254 255.255.255.0
R1(config-if)#no sh

R1(config-if)#in se0/3/0
R1(config-if)#ip add 192.168.12.1 255.255.255.0
R1(config-if)#no sh

R2(config)#in fa0/0
R2(config-if)#ip add 172.16.1.254 255.255.255.0
R2(config-if)#no sh

R2(config-if)#in se0/3/0
R2(config-if)#ip add 192.168.12.2 255.255.255.0
R2(config-if)#no sh

 2.配置ospf

R1(config)#router ospf 1
R1(config-router)#network 192.168.1.0 0.0.0.255 area 0   //0.0.0.255为反掩码
R1(config-router)#network 192.168.2.0 0.0.0.255 area 0
R1(config-router)#network 192.168.12.0 0.0.0.255 area 0

R2(config)#router ospf 1
R2(config-router)#network 192.168.12.0 0.0.0.255 area 0
R2(config-router)#network 172.16.1.0 0.0.0.255 area 0

 3.配置标准ACL(使用编号)

由于标准ACL不能填写目标地址,故写ACL时应该离目标(s0)越近越好

此实验在R2的fa0/0的出口out处配置(路由器每个接口in/out方向只能配置一个ACL,in还是out随具体情况

编号1-99表示为标准ACL

(语句要从小写到大,先写具体IP的语句,再写网段的语句,最后写any)

R2(config)#access-list 1 deny host 192.168.1.1
R2(config)#access-list 1 permit any
R2(config)#inter fa0/0
R2(config-if)#ip access-group 1 out

4.测试通信

展示R2的ACL         show access-lists 1

查看接口的ACL配置情况        show ip inter fa0/0

展示pc0的通讯情况: 

 5.删除ACL和接口的ACL配置

 

6.编号标准ACL有许多缺点bug

删除(no)ACL中的一个语句,会导致整个ACL全删除;

配置的ACL语句是死板地从上往下执行的,也就是说,配置完了ACL,之后再添加语句,可能会失效。例如,首先配置的允许permit IP192.168.1.0   0.0.0.255,之后再配置拒绝deny IP192.168.1.1,但是实际中此IP192.168.1.1仍然是允许的。

7.改进:用命令标准ACL实现

standard 标准

extended   拓展(高级)

用命名标准ACL就实现了层次化的ACL语句的部署,默认情况下,每条ACL语句都有序号,第一条序号为10,第二条序号为20......在之后的插入,可以通过序号实现再插入语句的插入位置

R2(config)#ip access-list standard ccna        //ccna为可自定义名字
R2(config-std-nacl)#deny host 192.168.1.1        //默认序号为10
R2(config-std-nacl)#permit any                //默认序号为20


R2(config-std-nacl)#exit
R2(config)#inter fa0/0
R2(config-if)#ip access-group ccna out

删除ACL中的语句

爱踩泥坑的小猪
关注
  • 4
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
高级ACL配置
weixin_50339233的博客
05-21 5543
搭建top PC1配置IP PC2配置IP Server1配置IP Server2配置IP R1的配置 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1]ip add 10.1.1.254 24 初始情况下PC1和PC2都能够访问server1和server2 一.
访问控制列表ACL配置命令
热门推荐
patiencezzz的博客
05-19 2万+
标准访问控制列表 配置标准ACL 实现拒绝pc2(IP地址为192.168.1.3)对Web Server pc3的访问 配置如下: 下面配置路由器端口的IP地址: R1>en R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no sh R1(conf...
ACL和NAT(附配置实例)超详细
这是博客的简介的简介
07-12 3206
每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。使用列表匹配私网的ip地址,将所有的私网地址映射成路由器当前接口的公网地址。1)静态NAT: 一个私网地址对应一个公网地址 (两个私网就对应两个公网地址) (一 一对应)。source 1.1.1.0 表示匹配项(用于在ACL中匹配对应规则,此处表示源IP地址)ACL(访问控制表),用于过滤数据包(源目IP地址),决定是否能通过。NAT将内部(私有)地址转换成外部(公有)地址。
ACL-基础ACL命令及配置练习
little_startoo的博客
04-08 1204
ACL-基础ACL命令及配置练习
ACL配置
最新发布
Ljw3187136228的博客
06-14 795
一、引言随着网络技术的不断发展,网络安全问题日益突出。在网络通信中,访问控制列表(Access Control List,简称ACL)作为一种重要的安全机制,被广泛应用于路由器、交换机、防火墙等网络设备中,用于控制数据包的访问权限,确保网络通信的安全性和可靠性。本文将对ACL配置进行详细介绍,包括ACL的基本原理、分类、配置方法、应用原则及注意事项等方面,旨在为读者提供一份全面、深入的ACL配置指南。二、ACL概述ACL是一种网络安全技术,用于控制数据包的访问权限。
ACL配置方法
扮瘦人的博客
05-14 687
ACL概述,ACL配置
ACL配置
云计算运维工程师的成长之路
07-19 7121
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换技术,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。......
ACL配置与管理——3
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
09-28 4645
ACL配置示例 基本ACL、高级ACL、二层ACL和用户自定义ACL配置方法。 一、基本ACL配置示例 如上图拓扑,Switch作为FTP服务器(172.16.104.110/24),已知Switch与各个子网之间路由可达。现在要通过基本ACL过滤用户访问FTP服务器时报文中源IP地址,限制用户访问交换机上FTP服务器的权限,具体要求如下: (1)子网1(172.16.105
ACL配置大全及命令
01-16
ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。
EMQ配置ACL权限控制规则图文教程.pdf
06-23
EMQ的ACL规则配置是以插件方式进行实现,以实现对信息发布 (PUBLISH)/订阅(SUBSCRIBE)操作的权限控制。例个例子:拒绝用户名为Test的客户端向$sys/abc/主题发布信息。在EMQ X 中提供了多种ACL插件的支持,如内置ACL...
ensp配置acl高级配置访问控制列表
03-27
在“ensp配置acl高级配置访问控制列表”这一主题中,我们将深入探讨如何在ENSIM中进行ACL的高级配置。 首先,理解ACL的基本原理是至关重要的。ACL是一系列规则,基于IP地址、端口号、协议类型等因素来决定数据包...
访问控制列表ACL配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制。...正确理解和配置ACL对于维护网络环境的稳定性和安全性至关重要。
为zookeeper配置相应的acl权限
08-29
Zookeeper 权限配置 ACL Zookeeper 是一个高可用的分布式协调服务,可以为分布式应用程序提供配置维护、命名、提供分布式同步和GROUP服务。为了确保 Zookeeper 的安全性和可靠性,需要配置相应的 ACL 权限。本文将...
配置标准访问控制列表ACL
生活不易,喵喵叹气
11-11 3997
熟练使用访问控制列表ACL,使路由器可以自主过滤某一网络或某一主机的数据包流量,使用基本命令 Access-list 标准访问控制列表号 deny/permit 源网络地址 通配符掩码 配置ACL,此篇文章帮助你设置网络拓扑结构下的ACL配置
ACL原理以及配置
zy748539的博客
05-23 2万+
一.什么是ACL?   访问控制列表(Access Control list,ACL)是应用在路由器接口的指令列表(即规则)。它读取的是TCP/IP五层模型的第三层、第四层的报文头信息,根据预先定义好的规则对报文进行过滤。 IP数据报报头结构 TCP报头结构   ACL根据IP报头中的源地址、协议号、目标地址和TCP报头中的源端口、目标端口这5个元素来定义规则。 ACL的作用   ACL的作用是用于控制设备之间的数据包的互通。 二.ACL的类型 基本ACL   编号范围2000-2999   参数:
【系统集成】作业——访问控制列表ACL配置
weixin_51338719的博客
04-03 1924
基本ACL实验,建立拓扑(pc1+pc2)SW1>>R1>>R2>>SW2(pc3),配置缺省路由,使pc1、pc2与pc3能相互通信。设置ACL,使pc1不能访问pc3(pc2可正常访问pc3)。 高级ACL实验,对前期实验公司网络设置的各部门,不允许生产部的电脑ping 公司web服务器,但可以访问网页。 对前期实验公司网络设置的各部门vlan,设置企业财务服务器,只允许财务部门VLAN的电脑访问
探索华为、思科和瞻博网络的基本ACL和高级ACL配置方法
Tina666_的博客
07-14 2303
本文将深入探索这三个厂商在基本ACL和高级ACL配置方面的方法,帮助大家更好地理解和应用ACL技术,从而加强网络的安全性和管理能力。以上是限制外部访问内网的HTTP流量和允许特定源地址访问特定目的地址的SSH流量两种场景的基本ACL和高级ACL配置示例。规则5允许源地址为192.168.1.0/24、目的地址为10.0.0.0/8、源端口为80的TCP流量通过;通过本文的探索,我们详细了解了华为、思科和瞻博网络这三个厂商在基本ACL和高级ACL配置方面的方法。高级ACL提供更精细的流量控制和策略实施。
思科网络中如何配置标准ACL协议
2201_75693008的博客
03-09 4177
根据每台PC机所处的位置配置地址,这里可以统一给他们的地址为.1 / .2(每个IP网段共有254个地址是可以分配给PC机的,分别是第1~254,IP地址中的第一个地址.0是网络地址(保留地址),IP网段的最后一个地址.255是广播地址(保留地址)这样做是为了确保只有主机位为奇数的IP地址(即最后一位为1的IP地址)被允许通过ACL,而主机位为偶数的IP地址(即最后一位为0的IP地址)被拒绝。(创建一个标准ACLACL编号为1),表示只允许主机位为192.168.2.1的主机通过ACL
华为交换机配置ACL
09-03
您好!感谢您的提问。以下是配置华为交换机 ACL(访问控制列表)的基本步骤: 1. 进入交换机的命令行界面,通过 SSH、Telnet 或者本地访问等方式进行登录。 2. 进入全局配置模式: ``` <Switch> system-view [Switch] acl number 2000 // 创建一个编号为2000的ACL [Switch-acl-basic-2000] rule 5 permit source 10.0.0.1 0.0.0.255 // 设置允许源IP为10.0.0.1的流量通过 [Switch-acl-basic-2000] rule 10 deny // 设置默认拒绝所有其他流量 ``` 3. 在 ACL 中添加更多规则: ``` [Switch-acl-basic-2000] rule 10 permit tcp source 192.168.0.0 0.0.255.255 destination eq 80 // 允许源IP为192.168.x.x且目标端口为80的TCP流量通过 [Switch-acl-basic-2000] rule 20 deny icmp source any // 拒绝所有 ICMP 流量 ``` 4. 将 ACL 应用到接口: ``` [Switch] interface GigabitEthernet 0/0/1 // 进入需要应用 ACL 的接口 [Switch-GigabitEthernet0/0/1] port link-type access // 设置接口链路类型为访问链路 [Switch-GigabitEthernet0/0/1] port default vlan 10 // 设置接口默认 VLAN [Switch-GigabitEthernet0/0/1] traffic-filter inbound acl number 2000 // 将 ACL 应用到入方向流量 ``` 5. 保存配置并退出: ``` [Switch-GigabitEthernet0/0/1] quit [Switch] save // 保存配置 [Switch] quit // 退出交换机配置模式 ``` 请注意,以上是一个简化的示例配置。您可以根据自己的需求和网络环境进行相应的调整。在实际操作中,请务必谨慎配置 ACL,并确保测试和验证配置的正确性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值