ACL原理以及配置

已于 2023-06-21 11:11:17 修改
阅读量2.3w 收藏 588
点赞数 62
文章标签: 运维
于 2020-05-23 15:18:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy748539/article/details/106295743
版权

一.什么是ACL?

  访问控制列表(Access Control list,ACL)是应用在路由器接口的指令列表(即规则)。它读取的是TCP/IP五层模型的第三层、第四层的报文头信息,根据预先定义好的规则对报文进行过滤。
在这里插入图片描述

IP数据报报头结构

在这里插入图片描述

TCP报头结构

在这里插入图片描述

  ACL根据IP报头中的源地址、协议号、目标地址和TCP报头中的源端口、目标端口这5个元素来定义规则。
在这里插入图片描述

ACL的作用

  ACL的作用是用于控制设备之间的数据包的互通。

二.ACL的类型

基本ACL

  编号范围2000-2999
  参数:源IP地址(不管是谁发的任何流量,都抓取到,不能做筛选。不精细)

高级ACL

  编号范围3000-3999
  参数:源P地址、目的IP地址、源端口、目的端口、协议号(能对同一个源做不同流量的控制,更加精细)

三.ACL的规则

  每个ACL可以包含多个规则,路由器根据规则对数据流量进行过滤。
  ACL规则的查找顺序是从小到大,当查找到匹配的规则后,则不再往下查找。例如:有编号5、编号10、编号15这3条规则,会从编号5开始查找,如果编号5的规则不匹配,则继续查找编号10,如果编号10匹配了,则不再查找编号15。
在这里插入图片描述

四.ACL配置

配置基本ACL

在这里插入图片描述
配置server1:
在这里插入图片描述
配置PC1:
在这里插入图片描述
配置PC2:
在这里插入图片描述
配置路由器:
在这里插入图片描述
测试PC1和PC2的连通性:
在这里插入图片描述
测试PC1和Server1的连通性:
在这里插入图片描述
测试PC2和Server1的连通性:
在这里插入图片描述
通过测试可以看到,此时的配置是正确的,所有设备都能互通,接下来根据要求要配置ACL。
需求描述
  1.禁止PC1访问服务器 Server1
  2.允许其他所有的访问流量

在R1上配置基本ACL:
配置命令:

[R1]acl 2000
[R1-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.0
[R1-acl-basic-2000]int g0/0/1	
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000
[R1-GigabitEthernet0/0/1]q

在这里插入图片描述
配置了ACL之后再测试PC1和Server1的连通性:
在这里插入图片描述
不通,配置成功!但是PC2和Server1是通的。
在这里插入图片描述
到此,基本ACL的就配置完毕了。

配置高级ACL

在这里插入图片描述

配置PC1:
在这里插入图片描述
配置Client1:
在这里插入图片描述
配置Server1:
在这里插入图片描述
配置R1、R2、R3各个接口的IP地址:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
配置R1、R2、R3的静态路由,这里也可以配置OSPF,我就配置静态路由了,方便大家理解:

在这里插入图片描述
在这里插入图片描述在这里插入图片描述
分别测试PC1与Client1、Server1的连通性:
在这里插入图片描述
在这里插入图片描述
通过测试可以看到,此时的配置是正确的,所有设备都能互通,接下来根据要求要配置高级ACL。
需求描述
  1.允许Clien1访问 Server1的Web服务
  2.允许Client1访问网络192.168.2.0/24
  3.禁止Client1访问其它网络

先启动Server1的web服务:
在这里插入图片描述

1.允许Clien1访问 Server1的Web服务
  分析:题意得知允许Client1访问Server1的web服务,没有说还可以访问其他服务,所以这条规则是,允许的操作,并且只能访问web服务,其他服务不能访问,我们只允许web服务就好。

配置命令:

rule 5 permit tcp source 192.168.1.1 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port eq 80

在这里插入图片描述
解析:
rule:是规则的意思,表示要配置规则
5:规则号 取值范围是:0-4294967294
permit:允许
tcp:协议。题意说的是web服务,web服务的端口是tcp80,所以这里写tcp
source:源IP地址
0.0.0.0 :通配符。也可以写成一个0
destination:目标IP地址
destination-port:目标端口
eq:等于

测试Client1是否能访问Server1的web服务:
在这里插入图片描述
如上图所示,能成功访问web服务。配置成功!

2.允许Client1访问网络192.168.2.0/24
  分析:根据题意得知这是一条允许的规则。没有说明具体的服务,则允许访问2.0网段的所有服务,那么使用ip协议。

配置命令:

rule 10 permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.0 0.0.0.255

在这里插入图片描述

3.禁止Client1访问其它网络
  分析:根据题意得知这是一条拒绝的规则。结合前2条要求,得出最后的效果是:基于Server1来说,Client1只能访问web服务,其他服务包括ping都不能访问;允许Client1访问192.168.2.0网段,其他网段不能访问。
配置命令:

rule 15 deny ip source 192.168.1.1 0.0.0.0 destination  any

在这里插入图片描述
解析:
deny:拒绝

当所有的规则都配置完毕后,需要进入到接口中,绑定acl:
在这里插入图片描述

测试Client1访问Server1的web服务,是成功的:
在这里插入图片描述
但是却ping不通:
在这里插入图片描述
能访问192.168.2.0网段:
在这里插入图片描述
不能访问其他网段:
在这里插入图片描述
在这里插入图片描述
到此为止,高级ACL就配置完毕了。

Erioty
关注
  • 62
    点赞
  • 588
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
实验名称:华为基本ACL 2000配置
宛白#永康技术实战型博客
03-01 4985
拓扑图如下: =================================== 实验名称:配置华为基本ACL =================================== 条件: 一台服务器 server 1: 192.168.100.1/24 一台路由器 ============================ 两台pc机 pc1 IP地址 192.168.1.1/24 P...
配置ACL
weixin_64444995的博客
04-13 4448
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。 应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝。
ACL配置方法
最新发布
扮瘦人的博客
05-14 537
ACL概述,ACL配置
acl3000和acl2000
Richardlygo的博客
07-24 6345
acl3000和acl2000
HCL实验:三种ACL配置
计算机
04-06 7792
ACL(访问控制列表)可以设置规则来过滤路由。有三种acl,分别为:基本acl2000 - 2999)、高级acl(3000 - 3999)和二层acl(4000 - 4999)。
ACL—访问控制列表
qq_47175413的博客
06-03 4202
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表,列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
ACL(访问控制列表)
qq_58881947的博客
05-10 1152
目录1、ACL概述2、实验一:基本ACL2000~2999)用法3、实验二:高级ACL(3000~3999)用法(单项访问)4、实验四:ACL时间设定ACL技术作用:通过定义一些列规则来允许或拒绝流量通,提高网络性能、防止网络攻击。保障数据传输的安全可靠性和网络稳定,可定义一些列的规则对数据包进行分类并针对不同类型的报文进行不同的处理以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击可以限制网络访问。ACL技术用法: 设置在路由器或交换机接口上,两个接口协议设置不一样时效果不一样。
ACL入门指南:如何使用它轻松保护网络安全
weixin_43263566的博客
12-07 5305
ACL包过滤技术
探索华为、思科和瞻博网络的基本ACL和高级ACL配置方法
Tina666_的博客
07-14 2206
本文将深入探索这三个厂商在基本ACL和高级ACL配置方面的方法,帮助大家更好地理解和应用ACL技术,从而加强网络的安全性和管理能力。以上是限制外部访问内网的HTTP流量和允许特定源地址访问特定目的地址的SSH流量两种场景的基本ACL和高级ACL配置示例。规则5允许源地址为192.168.1.0/24、目的地址为10.0.0.0/8、源端口为80的TCP流量通过;通过本文的探索,我们详细了解了华为、思科和瞻博网络这三个厂商在基本ACL和高级ACL配置方面的方法。高级ACL提供更精细的流量控制和策略实施。
12 ACL原理配置.pptx
01-25
12 ACL原理配置
ACL原理配置实例
11-05
ACL原理配置实例
ACL原理配置ACL原理
10-17
ACL原理配置ACL原理)中兴售后工程师认证培训资料
网络工程实验 配置扩展ACL
12-15
配置扩展 ACL 之前,需要了解扩展 ACL原理配置方法。扩展 ACL 可以根据配置的规则对网络中的数据进行过滤,对数据包的源 IP 地址、目的 IP 地址、协议、源端口、目的端口进行检查。这使得扩展 ACL 能够提供...
ACL和NAT(附配置实例)超详细
这是博客的简介的简介
07-12 2919
每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。使用列表匹配私网的ip地址,将所有的私网地址映射成路由器当前接口的公网地址。1)静态NAT: 一个私网地址对应一个公网地址 (两个私网就对应两个公网地址) (一 一对应)。source 1.1.1.0 表示匹配项(用于在ACL中匹配对应规则,此处表示源IP地址)ACL(访问控制表),用于过滤数据包(源目IP地址),决定是否能通过。NAT将内部(私有)地址转换成外部(公有)地址。
ACL——命令访问控制列表
Yplayer001的博客
10-16 3087
命名ACL 第一步:创建一个ACL命名,要求名字字符串要唯一 命令格式:ip access-list{ standard | extended } name 第二步:定义访问控制列表 标准ACL命令格式: { permit | deny } source source-wildcard 扩展ACL命令格式: { permit | deny } protocol source source...
ACL原理和基本配置
a664566的博客
02-22 4769
ACL: access control list , 访问控制列表, -作用: 在设备上进行流量的过滤; -类型: @基本ACL *表示: 2000 ~ 2999 *特点:只能匹配数据包的源IP地址 (匹配数据包不精确) @高级ACL *表示: 3000 ~ 3999 *特点: 可以同时匹配数据包的源、目标、协议号、源端口、目标端口信息; (匹配数据包精确) -原理: *ACL通常是调用在“数据...
ACL配置
云计算运维工程师的成长之路
07-19 7073
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换技术,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。......
ACL常用的匹配项
qq_32044265的博客
05-29 4511
交换机支持的ACL匹配项种类非常丰富,其中以下的几个匹配项比较常用 生效时间段 ACL的生效时间段可以规定ACL规则在何时生效,从而实现在不同的时间段设置不同的策略。 在ACL规则中引用的生效时间段存在两种模式: 周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。 绝对时间段:从某年某月某日的某一时间开始,到某年某月某日的某一时间结束,表示规则在这段时间范围内生效。 同一名称(time-name)配置多条时间段时,通过以下规则选出最终生效
计算机网络——ACL
qq_46635171的博客
12-30 561
ACL ----访问控制列表 ACL的作用: 1,访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作。 ----permit 允许, deny 拒绝 2,抓取感兴趣流:ACL可以和其他服务结合使用。ACL只负责匹配流量,其他服务则对匹配上的流量执行对应的动作。 ACL的匹配规则: 自上而下,逐一匹配,如果匹配上,则按照对应的动作执行,不再向下匹配。 (思科体系的设备:在ACL列表末尾隐含一条拒绝所有的规则 华为体系的设备:在ACL列表末尾隐含一条允许所有的规...
华为交换机路由器acl原理+最常用操作配置手册
09-06
华为交换机和路由器中采用的ACL(访问控制列表)是一种用于筛选网络流量的功能。它通过在设备上设置规则来限制数据包的流动,以保护网络安全。 ACL原理主要包括三个方面:匹配条件、规则动作和规则优先级。匹配条件用于指定要过滤或允许通过的数据包,包括源IP地址、目的IP地址、传输层协议(如TCP或UDP)等。规则动作用于定义匹配条件满足时要采取的操作,如允许通过或丢弃数据包。规则优先级用于确定应用规则的顺序,以便正确处理数据包。 最常用的操作配置手册通常包括以下内容: 1. 创建ACL:通过命令行界面或网络管理界面,用户可以创建ACL实例。ACL实例是一组规则的容器,用于实现ACL功能。 2. 添加规则:通过命令行界面或网络管理界面,用户可以为ACL实例添加规则。每个规则由匹配条件和规则动作组成。 3. 配置规则优先级:用户可以为每个规则指定优先级,以确保正确的规则顺序。 4. 应用ACL配置ACL实例应用于特定的接口或协议。 5. 修改ACL:用户可以随时修改ACL规则,添加或删除规则,以满足网络需求的变化。 6. 验证ACL配置:用户可以使用命令行界面的show命令来验证ACL配置是否成功,以及ACL是否按预期工作。 通过以上操作配置手册,用户可以根据自己的网络需求创建和配置ACL,实现对网络流量的控制和保护。华为交换机和路由器的ACL功能可以保护网络安全,限制非授权访问和防止网络攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值