ACL(访问控制列表)介绍及相关配置

最新推荐文章于 2024-09-30 16:27:56 发布
最新推荐文章于 2024-09-30 16:27:56 发布
阅读量5.1k 收藏 28
点赞数 6
分类专栏: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whoim_i/article/details/103482916
版权

目录

介绍

访问控制列表简称ACL,它使用包过滤技术,在路由器上读取第三层和第四层包头中的信息如源地址、目的地址、源端口、目的端口等。根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
核心配置参数
在这里插入图片描述

相关配置

在这里插入图片描述

案例一:拒绝学生宿舍访问财务室网络。

判断是用标准ACL还是用扩展ACL?
根据要求意思是拒绝整个学生宿舍的网络,就应该用标准ACL。
搞清楚ACL应该做在哪个路由器上?
标准ACL应做在离目标最近的端口。

  第一步:设置ACL规则(名称方式命名)
         R2(config)#ip access-list standard ACL1    做一个标准ACL名字叫ACL1
         R2(config-std-nacl)#deny 192.168.10.0 0.0.0.255   拒绝学生宿舍网络,用反掩码精确匹配
         如何查看?R2#sh ip access-lists
  第二步:应用ACL规则(思考应用到哪个端口?)
         标准ACL应做在离目标最近的端口,方向为out。
         R2(config)#int f0/0
         R2(config-if)#ip access-group ACL1 out
         R2#sh running-config
  第三步:验证ACL是否正确?

  如果要修改ACL?
         R2(config)#ip access-list standard ACL1   进入到ACL规则集
         R2(config-std-nacl)#permit any     添加规则
         R2(config-std-nacl)#no 20      删除编号为20的规则
         R2(config)#no ip access-list standard ACL1   删除名为ACL1的规则集

  如果用编号方式做ACL规则?
         R2(config)#access-list 10 deny 192.168.10.0 0.0.0.255
         R2(config)#access-list 10 permit any
         删除规则:R2(config)#ip access-list standard 10
                  R2(config-std-nacl)#no 20
         删除整个规则集:R2(config)#no access-list 10

 R2(config)#int f0/0
 R2(config-if)#ip access-group 10 out

案例二:拒绝学生宿舍访问www服务。

什么是www服务?万维网服务,提供WEB页面访问,协议是:http 默认端口号:80

1.配置网http服务:开启服务–做网页
2.配置DNS服务:开启服务–做A记录
配置DNS地址
测试:在客户端计算机打开命令提示符:nslookup

3、根据要求,应该用什么类型的ACL?
使用扩展ACL,应用在离源最近的端口,方向为in

 第一步:配置ACL规则
          R1(config)#access-list 100 deny  tcp 192.168.10.0 0.0.0.255 host 192.168.100.1 eq www
          R1(config)#access-list 100 permit ip any any 

 第二步:应用到端口(应用在离源最近的端口,方向为in)
          R1(config-if)#ip access-group 100 in
 第三步:测试:
          假设测试失败,怎么检查?
           首先检查:sh ip acc
           其次检查:是否正确的应用到了端口  sh run

案例三:拒绝学生宿舍ping服务器,但可以访问网站。

ping服务器使用的是什么协议?ICMP
访问网站使用的是哪个协议?http tcp:80

根据要求需要使用什么类型的ACL?
扩展ACL(应用在离源最近的端口,方向为in)

第一步:配置ACL:使用编号方式
R1(config)#access-list 100 deny icmp 192.168.10.0 0.0.0.255 host 192.168.100.1 echo
R1(config)#access-list 100 permit ip any any 
第二步:将ACL应用到端口(应用在离源最近的端口,方向为in)
R1(config-if)#ip access-group 100 in
第三步:验证配置是否正确?
       假设测试失败,怎么检查?
           首先检查:sh ip acc
           其次检查:是否正确的应用到了端口  sh run

案例四:学生宿舍不可以ping服务器,不能用www.gxa.com访问网站,但可以用地址访问网站。

先no掉之前做的acl,然后做新的acl
R1(config-if)#no ip access-group 100 in
R1(config)#no ip access-list extended 100

 第一步:禁止学生宿舍ping服务器
               R1(config)#access-list 100 deny icmp 192.168.10.0 0.0.0.255 host 192.168.100.1 echo
 第二步:禁止学生宿舍用域名访问网站,即禁用udp53端口
   R1(config)#access-list 100 deny udp 192.168.10.0 0.0.0.255 host 192.168.100.1 eq domain 
 第三步:允许其他服务访问网站
               R1(config)#access-list 100 permit ip any any
 第四步:将acl应用到接口上
               R1(config)#interface fastEthernet 0/0
               R1(config-if)#ip access-group 100 in
 检查步骤:show  ip acc 看访问控制条目
          show run 看是否应用到接口上

案例五:服务器提供DNS/WEB/FTP(tcp/20、12端口)服务

学生宿舍:可以访问行政楼,不允许访问财务室,只允许访问服务器的www服务 行政楼:可以访问学生宿舍,不允许访问财务室,只允许访问服务器的www服务和ftp 财务室:不能访问学生宿舍和行政楼,访问服务器不受限制

 第一步:允许服务器访问财务室,其他自动默认拒绝。再应用到接口上。
      R2(config)#access-list 10 permit 192.168.100.0 0.0.0.255 
      R2(config)#in fastEthernet 0/0
      R2(config-if)#ip access-group 10 out 
 第二步:在R2上配置一条ACL集,并应用到0/1端口
      R2(config)#access-list 100 permit tcp 192.168.10.0 0.0.0.255 host  192.168.100.1 eq www
      R2(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 host  192.168.100.1 eq www
      R2(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 host  192.168.100.1 eq ftp
      R2(config)#access-list 100 permit udp 192.168.10.0 0.0.0.255 host  192.168.100.1 eq domain 
      R2(config)#access-list 100 permit udp 192.168.20.0 0.0.0.255 host  192.168.100.1 eq domain 
      R2(config)#access-list 100 permit 1p 192.168.30.0 0.0.0.255 any
      R2(config)#interface fastEthernet 0/1
      R2(config-if)#ip access-group 100 out

基于时间的ACL

基于时间的 ACL 功能类似于扩展 ACL,但它允许根据时间执行访问控制。要使用基于时间的 ACL,您需要创建一个时间范围,指定一周和一天内的时段。您可以为时间范围命名,然后对相应功能应用此范围。

相关配置步骤

首先需要设置路由器的时间

#clock set {hh:mm:ss}{data}{month}{year}

建立一个让列表生效的区间(即取个名字,后面好引用)

(config)#time-range {time-range-name}
     如: Time-range deny_http

建立一个时间的区间范围

(config-range)#absolute start {hh:mm data month year} end {hh:mm data month year}

建立一个周期的时间范围

(config-range)#periodic{星期范围}{时间}to {星期范围}{时间}

星期范围:Monday、Tuesday、Wendnesday、Thursday、Friday、Saturday、Sundday
daily(每天)、weekday(每周)、weekend(周末)
举例说明

定义一个每天早9点到下午5点 
   (config-range)#periodic daily 9:00 to 17:00
定义一个每周四早9点到周五下午5点
   (config-range)#periodic Thursday 9:00 to friday 17:00

最后将时间范围应用到访问控制列表中

(config-range)#access-list access-list-number{permit|deny}protocol source-eildcar destination destination-wildcat [operator port] [time-range time-range-name]

比如:

(config)#time-range deny_http
(config-range)#periodic daily 9:00 to 17:00
 
(config)#access-list 101 deny tcp any any eq www time-range deny_http
(config)#access_list 101 permit ip any any
whoim_i
关注
专栏目录
ACL相关理论和基本配置
weixin_51725822的博客
10-30 805
ACL相关理论和基本配置一、ACL的基本介绍1、ACL的工作内容和处理过程1.1 ACL的工作内容1.2 访问控制列表在接口的方向1.3 访问控制列表的处理过程2、ACL的作用、原理、种类和规则2.1 ACL两种作用:2.2 acl 工作原理:2.3acl种类:2.4 ACL(访问控制列表)的应用原则:2.5 应用规则三、ACL的基本配置命令3.1 基本acl配置命令3.2 高级ACL配置命令 一、ACL的基本介绍 1、ACL的工作内容和处理过程 1.1 ACL的工作内容 (1)读取第三层、第四层包头信息
访问控制列表ACL
oldyan
08-16 6635
ACL 简单介绍及使用实战
控制访问/防火墙
qq_44792743的博客
06-21 520
控制访问/防火墙 拓扑结构 主机ip设置 Server0 路由器 router0 router1 控制 1.拒绝172.16.1.0网段访问www access-list 100 deny tcp 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255 eq www //或 eq 80 2.拒绝172.16.1.100主机访问服务dns access-list 100 deny udp host 172.16.1.100 host 172.16.4.0 eq 53 /
ACL(Access Control List)访问控制列表
最新发布
YancyYue颜悦的专栏
09-30 1352
ACL的分类,基本ACL、高级ACL、基于时间的ACL已经对应的实验演示
ACL访问控制列表
Wan_JF的博客
07-22 484
目录 引言 一、访问控制列表概述 二、访问控制列表的工作原理 三、访问控制列表的类型 四、基本配置 总结 引言 随着网络的不安全因数越来越多,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 一、访问控制列表概述 1、读取第三层(针对IP协议或者ICMP协议)、第四层(针对TCP协议的某些端口或者针对UDP协议的某些端口)包头信息(禁用流量端口的策略) 根据预先定义好的规则对包进行过滤 2、访问控制列表利用4个元素定义的规则 ①IP报头:源地址、目的
访问控制列表ACL配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制。ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
H3C交换机典型(ACL访问控制列表配置实例
10-01
ACL(Access Control List,访问控制列表)是网络设备中用于定义数据包过滤规则的一种技术。在H3C交换机中配置ACL,可以实现对网络流量的精细控制,从而满足企业或组织对于网络访问权限的特定需求。 根据给出的文档...
ensp配置acl高级配置访问控制列表
03-27
在“ensp配置acl高级配置访问控制列表”这一主题中,我们将深入探讨如何在ENSIM中进行ACL的高级配置。 首先,理解ACL的基本原理是至关重要的。ACL是一系列规则,基于IP地址、端口号、协议类型等因素来决定数据包...
ACL访问控制列表.docx
10-13
下面是 ACL 访问控制列表相关知识点: 1. ACL 访问控制列表的定义:ACL 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了...
ACL——访问控制列表
weixin_58376680的博客
12-16 1594
编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从哪个IP地址过来的)编号3000-3999---高级ACL----依据数据包当中源、目的IP;NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)编号4000-4999---二层ACL,MAC、VLAN-id、802.1q。应用在路由协议-------匹配相应的路由条目( )
ACL访问控制列表
周作业的博客
03-11 299
ACL访问控制列表
qq_47175413的博客
06-03 5128
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
ACL访问控制列表,Access Control Lists)
Nove1205的博客
04-22 3628
ACL访问控制列表相关知识点
HCIA——ACL访问控制列表
cruonine的博客
07-14 737
ACL访问控制列表
ACL访问控制列表配置指南
"实验三、ACL访问控制列表配置旨在帮助学习者理解和掌握访问控制列表配置,以实现网络流量管理和安全防护。实验涉及标准IP ACL(1-99)和扩展IP ACL(100-199),并提供了一个包含两台交换机、两台路由器和两台PC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值