访问控制列表(acl)

于 2024-09-13 20:08:51 发布
阅读量593 收藏 8
点赞数 19
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74436091/article/details/142218267
版权

1、标准访问控制列表概述

      当我们想要阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。

      标准访问控制列表检查数据包的地址,从而允许或者拒绝基于网络子网或者主机的IP地址的所有通信流量通过路由器接口。

2、访问控制列表的使用准则

(1)每个端口的每个方向上只能对应于一条访问列表

(2)具有严格限制条件的语句应放在访问列表的所有语句的最上面

(3)在访问列表的最后有一条隐含的声明:deny any(拒绝所有)

(4)入口方向acl优先路由 出口路由优先acl

3、标准访问列表的配置 

标准访问列表使用的位置应尽量靠近目标。在端口上应用访问列表,指明进出方向

access-list-number:访问列表号,标准访问列表号范文:1-99 华为(2000-2999)

通配符:决定数据包中的源地址 (0位对应的必须相同1对应的任意)

仿真实验:

R1(config)#access 10 deny 10.1.1.0 0.0.0.255 //配置ACL10,拒绝ip包中源地址范围是10.1.1.0-255的数据包 //permit为允许

R1(config)#access 10 permit any //允许所有数据包,any表示所有

R1(config)#int g0/1

R1(config-if)#ip access-group 10 out //out方向上应用ACL10 //in代表进入

验证:应用acl后无法ping通

huawei:

[Huawei]acl 2001  //2001-2999

[Huawei-acl-basic-2001]rule permit source  10.1.1.0 0.0.0.2 //deny禁止

[Huawei-if]acl 2001 inbound  //outbound出去方向

4、扩展访问控制列表概述

(1)扩展访问列表允许用户根据如下内容过滤报文

  • 源和目标的地址
  • 协议
  • 源和目标的端口
  • 特定报文字段中允许进行特殊位比较的各种选项

(2)列表号范围:100-199

如果源地址所在网段是10.1.1.0/24,目标地址所在网段是10.1.2.0/24,上面的配置可按如下方式书写:

sike:access-list 101 permit tcp 10.1.1.0 0.0.0.255 10.1.1.2.0 0.0.0.255 eq 25

huawei:rule 10 permit tcp  source any destination 10.1.12.2 0  destination-port eq 21

//tcp代表协议 ,eq后数字代表接口(不同协议不同接口对应不同功能具体百度)

如果不允许源网段10.1.1.0/24中的主机10.1.1.100,访问目标网段10.1.2.0/24中的主机10.1.2.100提供的WWW服务,可按如下方式配置:

sike:access-list 120 deny host 10.1.1.100 host 10.1.2.100 eq 80 //host代表具体到某个ip而不是网段

huawei: rule deny icmp source 192.168.1.20 0 destination 192.168.2.10 0

仿真实验:

R1(config)#access-list 110 deny icmp any any echo //禁止ping

R1(config)#access-list 110 permit tcp 10.1.1.0 0.0.0.255 host 10.1.2.2 eq 80 //允许HTTP

R1(config)#access-list 110 permit tcp 10.1.1.0 0.0.0.255 host 10.1.2.2 eq 443 //允许HTTPS

R1(config)#int g0/0

R1(config-if)#ip access-group 110 in

验证:无法向服务器发送ping包但可以访问服务器开启的https (eq443)服务

[Huawei]acl 3001                                                         

[Huawei-acl-adv-3001]rule 10 deny icmp source any destination any icmp-type echo   //禁止ping

[Huawei-acl-adv-3001]rule 10 permit tcp  source any destination 10.1.12.2 0 

[Huawei-acl-adv-3001]rule 10 permit tcp  source any destination 10.1.12.2 0  destination-port eq 443

后边的 0 表示本机

[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3001  //acl加入端口

晓源よ
关注
mysql访问控制列表acl_访问控制列表ACL使用说明
weixin_33602725的博客
02-08 1224
一、什么是ACLACL(Access Control List)可灵活地,更细粒度地定义访问文件或目录的权限。二、为什么使用ACLLinux上文件系统的文件系统权限管理的对象分为三类:owner,group,other。这种分类非常简单,如果我希望有一个用户拥有不同于这三类对象的权限,或者再定义一个用户组的权限,传统的权限管理就不能实现,而ACL可以很好的解决这个问题。三、ACL条目一系列ACL条...
访问控制列表 ACL
A1323563583的博客
10-09 1142
访问控制列表 ( Access Control List , ACL ) 是应用在路由器接口的指令列表(即规则) 工作原理: 读取第三层,第四层报文头信息 根据预先定义好的规则对报文进行过滤 ACL的主要类型: ACL规则: 每个ACL可以包含多个规则,路由器根据规则对数据流量进行过滤 基本ACL概述: 华为基本ACL 基于源IP地址过滤数据包 列表号是...
实验七 访问控制列表ACL
weixin_67183034的博客
02-21 829
访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表从概念上来讲并不复杂,复杂的是对它的配置和使用,许多初学者往往在使用访问控制列表时出现错误。标准访问控制列表是其中最主要的一种。一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。标准访问控
访问控制列表ACL
lovelhg的博客
03-06 273
访问控制列表ACL
访问控制列表ACL及配置
ssslq的博客
01-10 1534
访问控制列表ACL以及
访问控制列表ACL及配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制。ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
三层交换机访问控制列表ACL的配置.ppt
02-22
三层交换机访问控制列表ACL的配置 三层交换机访问控制列表ACL是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,可以对网络访问进行控制,有效保证网络的安全运行。ACL是一个有序的语句集,...
计算机网络实验报告(7)访问控制列表ACL配置实验.doc
07-07
"计算机网络实验报告(7)访问控制列表ACL配置实验" 计算机网络实验报告(7)访问控制列表ACL配置实验是计算机网络实验报告中的一个重要实验项目,旨在让学生了解访问控制列表ACL的配置和应用。下面是实验报告的详细...
访问控制列表ACL》PPT课件.ppt
12-07
在《访问控制列表ACL》PPT课件中,主要介绍了ACL的基本概念、类型、工作原理以及配置方法。 ACL的核心在于定义和应用规则来筛选数据包,这些规则基于源地址、目的地址、上层协议等属性。ACL有两种基本类型:标准...
​数据链路层——流量控制&可靠传输机制 ​
qq_25467441的博客
09-09 737
例题:一个信道的数据传输率为4kb/s ,单向传播时延为30ms ,如果使停止-等待协议的信道最大利用率达到80%,要求的数据帧长度至少为。设数据帧的长度为L比特,则发送方发送全部的数据需要时间:L/4。“停止-等待”就是每发送完一个分组就停止发送,等待对方确认,在收到确认后再发送下一个分组。因为是在讨论可靠传输的原理,所以并不考虑数据是在哪一个层次上传送的。发送方在一个发送周期内,有效地发送数据所需要的时间占整个发送周期的比率。数据链路层的流量控制是点对点的,而传输层的流量控制是端到端的。
200 Gb/s和400 Gb/s网络
dncsk的专栏
09-07 1429
116.200 Gb/s和400 Gb/s网络简介写在前面 :1.需要英文原文请自行官网下载2.本人无授权故亦不接受相关付费服务 如有商业性需求建议寻找有资质的书籍供应商购买3.翻译纯粹为爱发电,因为机器翻译所以错乱较多 建议参照英文原文对比使用 4.欢迎评论区提出建议或意见 原则上不删除评论 原则上不回复私信 和解呈现200GBASE-RPCSPMDIEEEStd802.3-2022,IEEE以太网标准第八节116.200Gb/s和400Gb/s网络116.1概述116.1范围本条款描述了200千兆位和4
[网络]HTTP协议 Cookie与Session
m0_74910646的博客
09-07 787
HTTP Cookie(也称为 Web Cookie、浏览器 Cookie 或简称 Cookie)是服务器发送到 用户浏览器并保存在浏览器上的一小块数据,它会在浏览器之后向同一服务器再次发 起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态、记录用户偏好等。HTTP Session 是服务器用来跟踪用户与服务器交互期间用户状态的机制。由于 HTTP 协议是无状态的(每个请求都是独立的),因此服务器需要通过 Session 来记住用户的信息。
145-Linux权限维持&Rootkit后门&Strace监控&Alias别名&Cron定时任务
DamnVanish的博客
09-07 861
Linux中最强权限维持rootkit
亚信安全出席第五届国际反病毒大会 探究AI现代网络勒索治理
亚信安全官方账号的博客
09-09 482
亚信安全出席活动并发表题为《AI时代下现代网络勒索治理》的演讲
网络分析仪仪器校准要怎么进行检测?容易出现哪些误差?
最新发布
2401_83476848的博客
09-12 265
误差修正是对已知校准标准的测量,这些测量值存储在分析仪的存储器之中,数据用于计算误差模型。系统误差是由矢量网络分析仪和测试设置之中的缺陷引起的,是重复性误差,并假设它不随时间变化。校准件的使用可以达到减少误差的目的。2.开关重复性误差:分析仪中用于切换源衰减器设置的机械式RF开关,有时当机械式RF开关被启动时,触点的闭合方式与上次启动时不同。通过仪器校准措施增强,消除反射测量之中的三个系统误差:指向性、源匹配、频率响应。:是由于仪器或测试系统仪器校准之后性能发生变化引起的,主要是温度变化引起的。
综合DHCP、ACL、NAT、Telnet和PPPoE进行网络设计练习
m0_62909438的博客
09-07 1155
通过学习到的DHCP、NAT、ACL、Telnet和PPPoE技术,进行综合实验配置,掌握这些技术的配置,了解其用法,加深命令印象。
OpenWRT有三个地方设置DNS,究竟设置哪个地方会更好?
小白电脑技术的博客
09-10 654
一般来说咱们使用默认的DNS就好了,没必要手动去设置DNS啦!
WireShark抓包软件介绍和安装
m0_49476241的博客
09-08 948
Wireshark 是一个广泛使用的网络协议分析工具,它提供了强大的功能用于捕获、分析和调试网络流量。
【软考中级攻略站】-软件设计师(4)-计算机网络基础
X_StarX的博客
09-08 1311
局域网:小范围内的网络,比如教室或家庭。城域网:城市范围内的网络,连接多个局域网。广域网:覆盖很大范围的网络,如互联网。个人区域网:个人身边的设备组成的小网络。星型拓扑:所有设备连接到一个中心节点。总线型拓扑:所有设备连接到一条主干线上。环型拓扑:设备形成一个闭合的环。树型拓扑:层次结构,从中心节点向下分支。网状拓扑:设备之间有多重连接。混合拓扑:结合多种拓扑结构。IPv4:32位地址,格式为四个点分十进制数字,如。IPv6:128位地址,格式为八个冒号十六进制数字,如。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值