1. Toy模板网首页
  2. > Toy博客

ACL 限制访问

9月前 作者:竹流清水 分类:Toy博客 阅读(33) 违法举报

这篇具有很好参考价值的文章主要介绍了ACL 限制访问。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

ACL相关概念:

ACL 访问控制协议 :在路由器上配置的网络层协议

网络安全网络服务质量  通过对网络中报文流精确识别

访问控制 将一部分关键词去掉 防止网络攻击 提高网络带宽利用率 保证网络质量

Permit  deny 组成的有序列表

匹配工具 对报文进行匹配和区分(主要用IP地址区分)

一个机器上可以设置多个ACL

ACL: 匹配IP流量

在traffic-filter中调用

在路由策略中欧给调用

在防火墙的策略部署中被使用

在QoS 中被调用

路由器上配置 在接口上调用

Acl number 编号

2000-2999 基本ACL

3000-3999 高级ACL

Source 源

Rule 数字 (每条规则的编码)

实际配置中不添加5 默认为5 (默认)

可以配置多条规则 每条规则以编号五起步

一个接口配置多少规则看连接了多少终端 终端的网段决定

一条直连线上一个路由器接口上配置一个ACL接口就可以了 所以一般

5 10 15 就够了(留出空间)

在ACL为两千的访问控制协议下进行配置 每一条rule都是以5起步 越来越大

ACL 限制访问

通配符:一个三十二比特长度的数值,用于只是IP地址中,那些比特需要燕飞匹配,哪些比特无需匹配

通配符通常采用类似网络掩码的点分十进制形式标识,但含义却与子网掩码完全不同,结果为反子网掩码

全部相与 然后取反 即全1 为0(匹配中有零为原来的数字 有一则为零)不变为零 变为一

有0 为1

ACL 限制访问

ACL 限制访问

通配符 全零给他的三十二位匹配 不变 就是一个固定IP

0.0.0.255 最后八位为一 匹配后的最后八位全部为零  为一个网段

ACL 限制访问

0 是固定IP

255是网段

编号范围:

基本ACL 2000到2999 使用场景 一般的只涉及到IP时

高级ACL 3000到3999 包含源 使用场景涉及到目的 TCP 端口 协议

ACL 限制访问

ACL流量方向:

ACL 限制访问

端口上有没有调用该方法 命中是否放通

有则匹配 无则放行

ACL 限制访问

系统按照ACL编号从小到大顺序进行报文匹配匹配

一般应用于防火墙

有则匹配 无则放行

接口相应配置 要被调用(不被调用不生效)

INBOUND 方向入  源  ACL编号 3000以上(高级)使用的时deny还是permit

OUTBOUND 方向出  目的地  匹配条目 出口出有无ACL 是否允许

尽量: 基本ACL 目的点  高级ACL 源

ACL应用规则:

一个接口的同一个方向,只能调用一个ACL

一个ACL里面可以有多个rule规则,按照规则ID从小到大排序从上往下依次执行

数据包一旦被某rule匹配,就不再继续向下匹配

用来做数据包访问控制时,默认隐含放过所有

一旦配置了Inbound规则 只要不在范围内一样丢掉

实验:

ACL 限制访问

实验三个需求;分步实现(都是对路由器)

需求一:仅允许PC1访问PC3

先为路由器配置IP地址

254:这里给PC1 PC2 PC3 设置的网关就是192.168.1.254连接设备路由最近的接口 网关 与交换机没有关系

使用基本ACL (2000 2999)只能PC1 能过 就是permit 其他deny

路由器这边为直连网段 配置完网关和IP地址就可以直接通

两千都两千九百九十九尽量配置在出口方向 outbound

在g0/0/2接口上调用刚才设置的ACL2000的所有设置

Undo t m

Sys

Int g0/0/0

Ip add 192.168.1.254 24

Int g0/0/1

Ip add 192.168.3.254 24

Int g0/0/2

Ip add 192.168.2.254 24

Q

Acl number 2000

Rule permit source 192.168.1.10 0

Rule deny

Int g0/0/2

Traffic-filter outbound acl 2000

第二个需求

禁止1.0网段的PC访问Web服务器

涉及到网段 和目的地 使用高级ACL(3000 到3999)

高级ACl一般尽量靠近源

禁止1.0网段向服务器发送ICMP报文

Q

Acl 3000

Rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.30 0

Int g0/0/0

Traffic-filter inbound acl 3000

第三需求

仅允许clent访问web服务器WWW服务(ftp)

入口前面被deny掉了

删除掉规则300

和80端口通信

允许就是tcp 不允许使用icmp 

q

Undo acl 3000

Acl number 3001

Rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port eq 80

rule deny icmp source 192.168.1.10 0 destination 192.168.3.30 0

rule deny icmp source 192.168.1.20 0 destination 192.168.3.30  0

Q

Int g0/0/1

Traffic-filter outbound acl  3001

模拟客户端获取服务端文件:

客服端输入http服务器地址

ACL 限制访问

配置服务器信息

在基础配置中找到可以发送给客服端的信息文件 启动

ACL 限制访问

点击启动

ACL 限制访问

这样就可以在客服端获取到该文件了

ACL 限制访问

若打开不了 使用NODE++文章来源地址https://www.toymoban.com/news/detail-489760.html

到了这里,关于ACL 限制访问的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 思科CiscoPT路由器ACL配置实现单向访问

    思科CiscoPT路由器ACL配置实现单向访问

    路由器及连接PC配置如下: 接口 接口IP 连接设备 设备IP Fa0/0 192.168.0.2/24 PC0 192.168.0.1/24 Fa0/1 192.168.1.2/24 PC1 192.168.1.1/24 Fa1/0 192.168.2.2/24 PC2 192.168.2.1/24 此时PC1与PC2、PC3为连通状态: 问题:配置路由器ACL使PC0不能访问PC1,但可以访问PC2,同时PC1仍可正常访问PC0。 即实现PC1对PC0的单

    2024年02月09日
    浏览(37)

  • 怎样配置思科路由器自反ACL 实现网段之间单向访问?

    ACL可以限制网络流量、提高网络性能,为了保护内网的安全,可以只允许内网访问外网,不允许外网访问内网,这里利用cisco 路由器的自反ACL来实现。用户需要配置路由协议,以下配置的是RIP Version1的,也可以配置别的,如EIGRP或OSPF。 一、实验拓扑图 二、实验要求 要求内网

    2024年02月07日
    浏览(40)
  • CISSP概念详析-访问控制矩阵,能力表,ACL

    CISSP概念详析-访问控制矩阵,能力表,ACL

    访问控制矩阵是一个由主体和客体组成的表, 这个表指示了每个主体可以对每个客体执行的动作或功能。 所以,首先充分理解访问控制列表,下图为例。列头是主体,就是用户名。行头,是具体功能(也可以是客体名称),具体表格里面是权限,既可以是简单的允许/不允许

    2024年02月03日
    浏览(26)

  • 路由器流量控制软件、路由器限制别人网速、路由器分配带宽软件的选择

    随着无线路由器组建的Wifi无线网络变得普及流行,不少企业以及家庭都安装有无线路由器,以方便一大家群体的智能手机、笔记本、平板电脑、台式电脑等设备满足上网需求,不过很多时候大家会觉得上网很慢,主要是因为当有一个或者多个用户在看电影或者下载东西的时候

    2024年02月08日
    浏览(40)

  • 无线路由器怎么限制别人网速 用路由器控制别人网速图文教程

    无线路由器怎么限制别人网速,相信这是很多都想知道吧。用同一个路由器,难免就会出现有人看电影占网速的情况,对自己的网速造成很大的影响。今天yii666就教大家用路由器控制别人网速的方法,希望对大家有所帮助! 路由器限制别人网速方法: 当然,前提是你必须要

    2024年02月06日
    浏览(39)

  • 腾达(Tenda)FH451路由器通过设置URL过滤限制网页访问

    适用路由器型号:F450/F451/F453/Ff455/F456/FH450/FH451 通过设置URL过滤来限制连接到该路由器下打开的网页,通过进入到路由器管理界面中(在地址栏中输入默认IP地址:192.168.0.1),在安全设置-URL过滤,中进行设置。 登陆管理界面 你需要登录到路由器管理界面来进行设置,此时,

    2024年02月06日
    浏览(59)

  • 思科路由器的网络访问控制之静态路由配置介绍

    在我们平时使用路由器的过程中,若路由器找不到合适的路径,在该数据转发就会被终止,而我们网络管理员就可以根据这个特性来作好路由访问的控制。 一、什么是网络访问控制 一般路由器的路由表中,大致包含子网掩码、目的网络地址、网关、接口等等这些信息。目的

    2024年02月08日
    浏览(43)

  • 磊科路由器访问控制机制如何设置

    相信每一个网管在设置路由器时,都会涉及到访问控制的方面,今天我们就以磊科路由器来为大家介绍这方面的内容,这是重点介绍基于上下文的访问控制。 通常路由只能检查网络层或者传输层的数据包,而CBAC能够智能过滤基于应用层的TCP和UDP的sessi on,CBAC能够在firewall a

    2024年02月05日
    浏览(66)

  • 电脑入门:路由器访问控制列表基础知识

    路由器访问控制列表基础知识                             1、什么是访问控制列表?              访问控制列表在Cisco              IOS软件中是一个可选机制,可以配置成过滤器来控制数据包,以决定该数据包是继续向前传递到它的目的地还是丢弃。             

    2024年02月09日
    浏览(70)
  • ACL 限制访问

    ACL 限制访问

    ACL 访问控制协议 :在路由器上配置的网络层协议 网络安全网络服务质量  通过对网络中报文流精确识别 访问控制 将一部分去掉 防止网络攻击 提高网络带宽利用率 保证网络质量 Permit  deny 组成的有序列表 匹配工具 对报文进行匹配和区分(主要用IP地址区分) 一个机

    2024年02月09日
    浏览(33)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包