【ACL】访问控制列表

这篇具有很好参考价值的文章主要介绍了【ACL】访问控制列表。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1.访问控制列表

1.1 ACL概述

  • 访问控制列表ACL(Access Control List)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃

  • 【ACL】访问控制列表

  • 访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

1.2 ACL在接口的应用方向

:已经过路由器的处理,正离开路由器接口的数据包;

【ACL】访问控制列表

:已到达路由器接口的数据包,将被路由器处理

【ACL】访问控制列表

注意:访问控制列表利用源IP地址、目的IP地址、源端口、目的端口以及协议五个元素定义的规则。

2.ACL的工作原理

2.1 ACL的作用

  • 用来对数据包做访问控制(丢弃或者放行)

  • 结合其他协议,用来匹配范围

2.2 ACL种类

基本ACL(2000-2999) :只能匹配源IP地址

高级ACL (3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段和协议

二层ACL (4000-4999):根据数据包的源Mac地址、目的Mac地址、8O2.1Q优先级、二层协议类型等二层信息制定规则.

ACL(访问控制列表)的应用原则:

基本ACL,尽量用在靠近目的点.

高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)

2.3 ACL的应用规则

  • 一个接口同一个方向只能调用一个ACL

  • 一个ACL里面可以有多个RULE规则,按照规则ID从小到大排序,从上往下依次执行

  • 数据包一旦被某RULE匹配,就不再继续向下匹配

  • 用来做数据包访问控制时,默认隐含放过所有(华为设备)

2.4 ACL工作原理

当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理

【ACL】访问控制列表

入方向:ACL应用在设备接口入方向,当接口收到数据包时,先根据应用在接口上的ACL条件进行匹配,如果允许则根据路由表=进行转发,如果拒绝==则直接丢弃。

总结:先匹配后路由。

【ACL】访问控制列表

出方向:ACL应用在设备接口出方向,报文先经过路由表路由后转至出接口,根据接口上应用的出方向ACL条件进行匹配,是允许permit还是拒绝deny,如果是允许,就根据路由表转发数据,如果是拒绝就直接将数据包丢弃了。

总结:先路由后匹配。

注意:

白名单:允许个别,拒绝所有;

黑名单:允许所有,拒绝个别(只设置禁止网段即可);

3.ACL命令配置

创建ACL,并将ACL规则应用在相应接口的指定方向上;

[Huawei]acl number 2000 		###创建acl 2000
[Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0	#拒绝源地址为192.168.1.1的流量,0代表仅此一台,5是这条规则的序号(可不加)
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 		###接口出方向调用acl 2000,outbound代表出方向,inbound代表进入方向
[Huawei-GigabitEthernet0/0/1]undo sh

基本ACL的命令配置;

[Huawei]acl number 2001                ###进入acl 2001 列表
[Huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255      ###permit代表允许,source代表来源,掩码部分为反掩码
[Huawei-acl-basic-2001]rule deny source any             ###拒绝所有访问,any代表所有 0.0.0.0 255.255.255.255
				或者   rule deny
[Huawei]interface GigabitEthernet 0/0/1	###进入出口接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2001            

高级ACL的命令配置;

[Huawei]acl nmuber 3000            ###拒绝tcp为高级控制,所以3000起
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0		###拒绝Ping
[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80		###destination代表目的地地址,destination-port代表目的端口号,80可用www代替
[Huawei-acl-adv-3000]rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80
[Huawei-acl-adv-3000]rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21	###拒绝源地址192.168.10.0网段访问FTP服务器12.0.0.2
[Huawei-acl-adv-3000]dis this		###查看当前ACL配置是否配置成功

将ACL规则应用在接口;

[Huawei]interface g0/0/0
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 	###在接口入方向应用acl

[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound 		###在接口上取消acl的应用


查看以及删除ACL的命令配置;

[Huawei] display acl 3000		###显示acl配置

[Huawei]acl nmuber 3000 
[Huawei-acl-adv-3000]dis this			###查看规则序号
[Huawei-acl-adv-3000]undo rule 5		###删除一条acl语句

[Huawei]undo acl number 3000		###删除整个ACL

4.实验:局域网内ACL的规则实现

实验拓扑图如下所示:
【ACL】访问控制列表

实验要求说明如下:

  • 仅允许PC1访问192.168.2.0/24网络;

  • 禁止192.168.1.0/24网络ping web服务器;

  • 仅允许client1访向web服务器的www服务;

实验环境说明如下所示:

实验步骤如下:

一、按照指定要求,分别配置PC主机、客户端Client和Server;

按照指定要求,配置主机PC;

【ACL】访问控制列表

按照指定要求,配置客户端Client和Server服务器;

【ACL】访问控制列表

二、配置路由器R1;

#
acl number 2000  
 rule 5 permit source 192.168.1.1 0 
 rule 10 deny 
#
interface GigabitEthernet0/0/0
 ip address 192.168.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 192.168.3.254 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 192.168.2.254 255.255.255.0 
 traffic-filter outbound acl 2000
#

【ACL】访问控制列表

在PC主机和服务器上验证结果的正确性;

【ACL】访问控制列表

三、(禁止192.168.1.0/24网络ping web服务器)配置路由器R1;

#
acl number 3000  
 rule 5 deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 
#

【ACL】访问控制列表

ACL禁止192.168.1.0/24网络ping web服务器的命令,还未设置在路由器出接口的G0/0/1上时,PC主机以及Client客户端能够与web服务器通信;

【ACL】访问控制列表

查看此时的路由器R1上的ACL配置;

#
acl number 3000     ###创建标识号为3000的ACL
 rule 5 deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 
####设置拒绝源IP网段为192.168.1.0 0.0.0.255,目标IP地址为192.168.3.1,协议为ICMP的数据报通过
interface GigabitEthernet0/0/2###将ACL3000应用在该接口上
 ip address 192.168.2.254 255.255.255.0 
 traffic-filter outbound acl 2000##将ACL作用在该接口的出口方向
#

此时PC主机和Client客户端都无法访问192.168.3.1的WEB服务器;

【ACL】访问控制列表

注意此时主机PC3(IP:192.168.2.1)也无法访问192.168.3.1的WEB服务器,原因是因为第一问中已经设置过,只允许192.168.1.0网段的主机ping通主机PC3,而拒绝其他网段的所有主机访问主机PC3;

解决办法:将仅允许PC1访问192.168.2.0/24网络的ACL 2000作用在路由器R1的入接口而不是出接口上,即可解决问题。

主机PC3(IP:192.168.2.1)此时可以访问192.168.3.1的WEB服务器;

【ACL】访问控制列表

四、(仅允许client1访向web服务器的www服务)配置路由器R1;

#
acl number 3000  
 rule 5 deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 
 rule 10 permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-p
ort eq www 
 rule 15 deny tcp destination 192.168.3.1 0 destination-port eq www 
#
#
interface GigabitEthernet0/0/1
 ip address 192.168.3.254 255.255.255.0 
 traffic-filter outbound acl 3000
#

【ACL】访问控制列表

在客户端Client上尝试访问服务器的WWW端口;

【ACL】访问控制列表

此时主机PC3依然能够访问服务器,192.168.1.0网段的所有主机都不能访问服务器;

【ACL】访问控制列表

至此,该实验到此已圆满结束!文章来源地址https://www.toymoban.com/news/detail-485135.html

到了这里,关于【ACL】访问控制列表的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 访问控制列表ACL及配置教程

    访问控制列表 : ACL: (accesscontrollist) 适用所有的路由协议:IP,IPX,AppleTalk 控制列表分为两种类型 : 1.标准访问控制列表:检查被路由数据包的源地址、1~99代表号 2.扩展访问控制列表:对数据包的源地址与目标地址进行检查。 访问控制列表最常见的用途是作为数据包的过滤器

    2024年02月05日
    浏览(42)
  • (7)华为ensp--访问控制列表ACL

    1.什么是访问控制列表? 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程

    2024年02月05日
    浏览(83)
  • 计算机网络-ACL访问控制列表

    上一篇介绍NAT时候就看到了ACL这个东西了,这个是什么意思?有什么作用呢? 访问控制列表 (ACL, Access Control List)是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。简单来讲就是一个过滤列表,一般配合其它技术实现功能。

    2024年01月19日
    浏览(41)
  • ACL(用访问控制列表实现包过滤)

    ACL概述: ACL(AccessControlList,访问控制列表)是用来实现数据包识别功能的 ACL可以应用于诸多方面 →包过滤防火墙功能 →NAT(NetworkAddressTranslation,网络地址转换) →QoS(QualityofService,服务质量)的数据分类 →路由策略和过滤 →按需拨号 基于ACL的包过滤技术: a.对进出的

    2024年02月09日
    浏览(44)
  • ACL访问控制列表——思科模拟器学习

    你是一个公司的网络管理员,公司的经理部、财务部门和销售部门分属不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门PC2不能对财务部门PC3进行访问,但经理部PC1可以对财务部门PC3进行访问. 访问控制列表(Access Control List ,简称A

    2024年02月09日
    浏览(39)
  • 访问控制列表之基本ACL、高级ACL 、 高级ACL之ICMP、高级ACL之telnet

    在学习ACL(访问控制列表)之前首先要理解一下三个问题: 一、ACL的作用,以及不同类型的ACL的区别是什么? ACL的作用是:匹配感兴趣的数据包。 ACL分为基本ACL和 高级ACL, 基本ACL,只能匹配数据包的源IP地址,匹配数据不精准; 高级ACL,可以同时匹配数据包的源IP、目标

    2024年02月05日
    浏览(49)
  • 华为ensp模拟器 配置ACL访问控制列表

    目录 实验环境:  实验步骤: 步骤一: 1、acl类型(这里说明基础acl和高级acl类型的区别): 2、创建acl:  3、在acl中写入规则(基于IP地址来拒绝)  步骤二:调用规则  1、进入数据必经的接口:  2、调用规则: 3、检查是否成功调用规则: 首先配置好三层交换机,在上

    2024年02月07日
    浏览(44)
  • 华为[ENSP]ACL配置实例(访问控制列表配置实例)

    一、配置PC1、PC2和Server    二、配置Router(运用高级ACL配置) 使用实例 反掩码其实就是用255.255.255.255减去掩码,剩下的就为反掩码。反掩码也必须由从右到左连续的“1”和“0”组成 。通配符掩码和反掩码很不同的一点是反掩码必须有连续的\\\"1\\\"和\\\"0\\\"组成,但是通配符的\\\"1\\\"可

    2023年04月25日
    浏览(37)
  • 网络系统集成综合实验(六)| 访问控制列表ACL配置

    目录 一、前言 二、实验目的 三、实验需求 四、实验步骤与现象 (一)基本ACL实验 Step1:构建拓扑图如下: Step2:PC的IP地址分别配置如下: Step3:路由器的IP地址配置如下 Step4:配置缺省路由使得各路由器可以通信 通信效果验证: Step5:ACL配置 效果验证: (二)高级ACL实

    2023年04月10日
    浏览(41)
  • 思科模拟器 | 访问控制列表ACL实现网段精准隔绝

    ACL (Access Control List)是一种网络安全技术,用于控制网络通信和访问权限。它使用规则列表以限制哪些计算机或网络服务可以与另一个计算机或网络服务进行通信,从而为网络提供了一个基本安全机制。 下面是一组有关TCP的会话,很好地体现了ACL的面对外来请求访问的严谨

    2024年02月04日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包