第七章:ACL技术及其实验

最新推荐文章于 2024-05-30 16:08:30 发布
最新推荐文章于 2024-05-30 16:08:30 发布
阅读量164 收藏 1
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74344274/article/details/131568269
版权
一、ACL功能
ACL--访问控制列表,用于数据流的匹配和筛选
功能:
访问控制:ACL+Packet-filter(包过滤)
路由控制:ACL+Route-policy(路由策略)
流量控制:ACL+QOS(服务质量)
二、ACL组成
组成:由若干条permit或deny语句组成,每条语句就是一条规则
语句形式:rule permit source 192.168.1.0 0.0.0.255
rule deny source 172.16.0.0 0.0.255.255
手动指定:0、1、2、3、4、5……
自动生成:5、10、15…… 5的倍数
通配符:哪些位需要严格匹配,哪些位可以随意,0表示严格匹配,1表示随意匹配
三、ACL分类
基本ACL:只关心报文的源地址,2000-2999
高级ACL:对数据包的五元组(源IP、目的IP、源端口、目的端口、协议类型)进行检查,编号3000-
3999
二层ACL:检查二层帧的头部信息,源MAC\目的MAC\二层协议类型等等,编号4000-4999
用户自定义ACL:使用报文头部、字符串掩码和用户自定义字符串来定义规则。编号5000-5999
四、匹配机制
包过滤方向:
出方向:数据流出的方向
入方向:数据流入的方向
注:包过滤必须配置在接口某个方向上才能生效,一个接口的一个方向只能配置一个包过滤策略
建议:在不影响实际效果的前提下,包过滤尽量配置在离源地址最近的接口的入方向
匹配机制:
1.数据包到达接口先检查是否应用ACL
2.按照ACL编号顺序(从小到大)匹配第一条规则,匹配进一步检查该条规则的动作,
否则与下一条规则进行匹配……
3.所有规则都不匹配,检查默认动作,默认动作允许则放行,默认动作拒绝则放弃
练习1:
rule permit source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
练习2:
rule deny source 192.168.1.5 0.0.0.0 destination 192.168.2.10 0.0.0.0
练习3:
rule permit source 100.1.1.1 0.0.0.0 destination 192.168.10.1 0.0.0.0
rule deny source 100.1.1.0 0.0.0.255 destination 192.168.10.1 0.0.0.0
练习4:
rule deny source 100.1.1.0 0.0.0.255 destination 192.168.10.1 0.0.0.0
rule permit source 100.1.1.1 0.0.0.0 destination 192.168.10.1 0.0.0.0
练习5:
rule permit source 0.0.0.0 255.255.255.255 destination 192.168.10.1 0.0.0.0
练习6:
rule permit source 100.2.2.0 0.0.0.255 destination any
五、ACL实验:

一、实验拓扑

  • 实验需求
  1. 全网互通;
  2. PC1可以访问Telnet R1,不能ping R1
  3. PC1不能访问Telnet R2,但可以ping R2
  4. PC2和PC1相反

三、实验步骤

1、配置IP地址,实现全网可达

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 192.168.2.1 24

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]ip add 192.168.2.2 24

[R2]ip route-static 192.168.1.0 24 192.168.2.1

[PC1]int g0/0/0

[PC1-GigabitEthernet0/0/0]ip add 192.168.1.10 24

[PC1]ip route-static 0.0.0.0 0 192.168.1.254-------模拟网关

[PC2]int g0/0/0

[PC2-GigabitEthernet0/0/0]ip add 192.168.1.11 24

[PC2]ip route-static 0.0.0.0 0 192.168.1.254-------模拟网关

2、配置Telnet

[R1]aaa

[R1-aaa]local-user wangdaye privilege level 15 password cipher wdy12345

[R1-aaa]local-user wangdaye service-type telnet

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-mode aaa

[R2]aaa

[R2-aaa]local-user zhangdaye privilege level 15 password cipher zdy12345

[R2-aaa]local-user zhangdaye service-type telnet

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

  1. 配置ACL

[R1]acl 3000

[R1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.2.1 0.0.0.0

[R1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0

[R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

[R1-acl-adv-3000]rule deny tcp source 192.168.1.11 0.0.0.0 destination 192.168.2.1 0.0.0.0 destination-port eq 23

[R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destinatiorule deny tcp source 192.168.1.11 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23

[R1-acl-adv-3000]rule deny icmp source 192.168.1.11 0.0.0.0 destination 192.168.2.2 0.0.0.0

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

  1. 测试

 

 

 

憨豆先生.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
【教案-数据通信技术】第七章-01:ACL技术的应用.pdf
10-14
【教案-数据通信技术】第七章-01:ACL技术的应用.pdf
Cisco:标准ACL实验配置实验
05-13
访问控制列表,实现网络流量限制,提供流量控制,为网络提供基本的安全层
ACL实验案例
weixin_64447699的博客
03-05 276
【代码】ACL实验案例。
IPv6技术课件:ACL概述.pdf
02-01
IPv6技术课件:ACL概述.pdf
ACL--访问控制列表
dingshun129的博客
08-28 1408
目录 一、ACL 1、作用 2、访问控制列表的调用方向 3、策略做好后,在入接口调用和出接口调用的区别 4、访问控制列表的处理原则 5、访问控制列表的类型 二、标准访问控制列表拓扑实验 三、扩展访问控制列表拓扑实验 四:总结 一、ACL ACL--访问控制列表 1、作用 读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤 三层头部信息:源、目IP 四层头部信息:TCP/UDP协议,源、目端号 2、访问控制列表的调用方向 入:流量将要进入本地路由器,将被..
ACL管理与配置(ACL规则编号、通配符、ACL的分类)】(上)-20211214
AZK707的博客
01-29 4585
目录 一、ACL(访问控制列表)技术背景 ACL可以对报文进行精确的匹配识别,仅仅匹配IP流量 二、ACL(访问控制列表) 1.ACL概述 2.ACL的组成 ACL默认隐含的规则:匹配不上的规则,就拒绝 3. 规则编号 ACL逐条匹配,匹配之后,不会继续看下面的规则 所以为了方便以后的添加,ACL的编号缺省步长为5 4.通配符 与0相对应的比特位要一致才能匹配上 5.ACL的分类与标识 1)基于ACL规则定义 2)基于ACL标识 课后习题(通配符) 1)10.1....
测试acl
heart_2011的专栏
03-01 485
环境:存储ip为172.19.61.178,linux客户端ip为172.19.61.105 存储端 在/share/nas中建立文件 123.txt,  echo "test" >123.txt 查看属性getfacl 123.txt root:/share/nas# getfacl  123.txt # file: 123.txt # owner: root # group: r
HCIA —— ACL 实验
weixin_51562484的博客
10-26 68
1.PC1可以telnet R1 , 但不能ping R1;由于 PC1 和PC2 两台电脑 没有2.0网段 ,R2没有1.0的网段 所以要各写一条的静态路由。根据实验要求,ping 跟telnet 多层设卡,必须运用高级ACL,则选择序号3000-3999。PC1 要求不能ping R1 能登录R1 ,能ping R2 不能登录 R2。PC2 要求 能ping R1 不能登录R1,不能ping R2 能登录 R2。今天的重点跟难点就是ACL的配置,要求熟练掌握。,此处不涉及子网划分 难度低,优先配。
ACL访问控制实验
m0_46681256的博客
03-02 142
1.PC1可以telnet R1,但不能ping R1: PC1不能ping R1。2.PC2可以ping R1,但不能telnet R1: PC2不能telnetR1。3.PC1可以ping R2,但是不能telnetR2: PC1不能telnetR2。4.PC2可以telnet R2,但不能ping R2: PC2不能ping R2。pc2 不可以访问telnet R1,可以ping R1。pc1可以访问telnet R1 ,不能 ping R1。[r1]acl 3000 创建ACL列表。
ACL测试(2)
weixin_42141525的博客
09-16 697
一、不同网段主机间通过vpp通信 1.连接 2.acl配置命令 [1]添加acl命令 set acl-plugin acl <permit|deny> src dst proto X sport X-Y dport X-Y [tag FOO] {use comma separated list for multiple rules} <permit|deny> :通过/丢弃 PREFIX :源或目的ip/mask X :proto字段 X-Y:源端口/目的端口 可以是一个值也
一起来看ACL实测
Stephencurr的博客
08-28 596
目录 一、ACL 1.1ACL–访问控制列表 作用:读三层、四层头部信息,根据预先定义好的规划对流量进行筛选、过滤。 1.2三层头部信息:源、目端口号 1.3访问控制列表的调用的方向: 入:流量将要进入本地路由器,将被本地路由器处理 出:已经被本地路由器处理过了,流量将离开本地路由器 1.4策略做好后,再入接口调用和出接口调用的区别:入接口调用的花,是对本地路由器生效;出接口调用的花,对本地路由器不生效,流量将再数据转发过程中的下一台路由器生效。 1.5访问控制列表的处理原则: 1.路由条目只会被匹配一次
acl2015:ACL2015短论文的实验代码
05-19
ACL2015短论文的实验代码 环境设定 克隆存储库,然后打开“ scripts / config.sh”文件,为您的环境编辑环境路径。 (GIZA到您的giza安装目录,TRAVATAR代表Travatar等)。 语料库准备 从以下位置下载Europarl语料...
Linux应用技术ACL访问控制.pptx
05-25
ACL简介;ACL详解(演示);ACL详解(演示);设置ACL;设置ACL练习1;设置ACL练习结果分析;查看ACL控制列表;删除ACL权限;练习2;删除ACL权限;*ACL的mask权限;ACL的mask权限演示;*mask权限验证;思考;课堂活动验证&结论;*...
计算机网络实验-ACL配置
visualstu的博客
01-22 929
实验使用软件:Cisco Packet Tracer 6.0实验得分:19/20。
锐捷睿易:acl的制定和应用
qq_59718828的博客
02-19 4530
在网关路由器上配置ACL访问控制功能,多用于以下场景: ◆实现内网不同网段之间不能互访 ◆配置单向通信,例如:1网段无法访问2网段,但2网段可以访问1网段 ◆禁止内网部分用户上互联网,但是允许内网互访
Linux防火墙之iptables(二)
lxplxplike的博客
05-26 945
在Internet中发布位于局域网内的服务器。
I2C SPI UART TCP/UDP AD/DA PWM大总结
芯心智库
05-26 784
那么当处理器输出的是全0则外部测量的电压是0V,输出全1则外部测量电压是5V,如果0/1各一半则是输出2.5V,如此只要控制0/1的比例就可以控制电压的输出了。V1是待测的电压,V0是比较器的输出电压,两者会进入比较器,直到结果V0大于V1(注意是大于,不是等于,这里会引入精度的概念),此时的计数值是D0~D7,可以表示此时的电压数值的水平。UART就比较特殊点了,它是异步通信(无CLK进行同步,有CLK的就是USART),全双工,有两根数据线,一根是RX一根是TX。
冶炼钢铁厂热风炉发酵池煤矸石进回水无线远程温度监测
最新发布
weixin_46970383的博客
05-30 269
Modbus RTU 标准Modbus-RTU通信协议。Modbus RTU使用二进制格式传输数据,并使用串行通信协议(如RS-232或RS-485)进行数据传输。它通常用于连接不同厂家的可编程逻辑控制器(PLC)、传感器、执行器和其他自动化设备。
【TC8】如何测试IOP中PHY芯片的Llink-up time
jasonj333
05-28 110
在TC8一致性测试用例中,物理层的测试用例分为两个部分:IOP和PMA。其中IOP中对PHY芯片的Link-up时间的测试,又包含三个测试用例。这三条case从名称就能够判断出它们的不同。OABR_LINKUP_01是给DUT的对手件上电唤醒,OABR_LINKUP_02是DUT上电唤醒,OABR_LINKUP_03是DUT报文唤醒。
网络安全实验acl应用实验实验
03-05
网络安全实验中的ACL(Access Control List)应用实验是一种常见的实验,旨在帮助学生理解和应用ACL来控制网络流量和保护网络安全。下面是一个ACL应用实验实验图示例: 实验图示: ``` +--+ | | | Web Server ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

憨豆先生.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值