精华内容
下载资源
问答
  • 配置访问控制列表ACL(一)
    2022-04-06 21:02:38

    ACL的基础概念

    访问控制列表Access Control List 是根据源地址、目标地址、源端口、目标端口对数据报进行过滤,达到路由器、三层交换机等设备上使用(某些二层交换机也支持ACL

    ACL由名字或者编号标识
    ACL包括两种动作permit/deny

    基本ACL:2000-2999, 只能根据报文源IP地址、分片信息、生效时间段来定义规则

    高级ACL:3000-3999, 源IP、目的IP、IP优先级、Tos、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口

    二层ACL:4000-4999 ,可根据报文的以太网帧头定义规则

    用户ACL:6000-6031,IPv4报文/源UCL、目的IP/目的UCL、TCP、UDP

    按照配置顺序的匹配:默认 ACL配置模式是config模式
    语句排列顺序很重要!! 一旦发现排在前面的语句匹配上了就不在处理其他语句,越靠前越优先处理

    按照自动排序规则:auto模式
    规则回按照精确度从高到低排序,使用深度优先算法
    华为 ACL 的隐含规则为允许所有!!!
    (思科的隐含规则是禁止所有

    ACL配置命令:

    acl 3001 match-order //配置高级acl,并将排序模式配置成auto模式
    
    acl name daytime basic match-order //配置该acl的名字为daytime,类型为基本类型(2000-2999),并将排序模式配置成auto模式
    
    rule 5 deny source 192.168.0.1 0.0.0.0 time-range weeks
    // 配置acl的规则,禁止源地址为192.168.0.1在名为'week'的时间范围内访问目的IP
    
    undo acl 3001
    undo acl daytime
    undo acl all
    //删除acl语句
    
    
    <huawei> display acl resource slot 
    // 确认acl资源分配
    
    reset acl counter 3001
    // 清除acl 3001 的统计信息
    

    ACL的通配符掩码:
    子网掩码按位取反的结果
    0.0.0.0:标识ACL语句中的32位地址要求全部匹配
    255.255.255.255 :表示匹配任何地址(可以用any表示

    更多相关内容
  • 本文将详细介绍访问控制列表ACL及配置,需要了解更多的朋有可以参考下
  • (3)、配置各种类型的访问控制列表,比如基本访问控制列表,高级访问控制列表,基于接口的访问控制列表,基于以太网MAC地址的访问控制列表……并完成删除控制列表的操作。 (4)、完成时间段的控制访问列表配置,访问...
  • 一 实验项目名称 访问控制列表 ACL配置实验 二 实验目的 对路由器的访问控制列表 ACL进行配置 三 实验设备 PC 3 台 Router-PT 3 台交叉线 DCE串口线 Server-PT 1 台 四 实验步骤 标准 IP 访问控制列表配置 新建 ...
  • ACL,是Access Control List的简称,中文名称叫“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件,可以是报文的源地址、目的地址、端口号等。HUAWEI的资料值得拥有
  • 访问控制列表ACL、NAT.ppt
  • 访问控制列表ACL读取第三层、第四层包头信息,根据预先定义好的规则进行过滤.。 抓取的流量包含源地址、目标地址、源端口、目标端口、协议 这五个元素。 ACL是按照顺序执行,匹配上一条即执行,不会再继续向下匹配...

    目录

    一、ACL概述

    1.1 访问控制列表在接口应用的方向

    1.2 ACL的应用

    二、拓展访问控制列表实例

    2.1 拓扑图

    2.2 AR1配置

    2.3 测试结果


    一、ACL概述

    访问控制列表ACL读取第三层、第四层包头信息,根据预先定义好的规则进行过滤.。

    抓取的流量包含源地址、目标地址、源端口、目标端口、协议 这五个元素。

    ACL是按照顺序执行,匹配上一条即执行,不会再继续向下匹配 (至少要放行一条流量),

    1.1 访问控制列表在接口应用的方向

    出:已经过路由器的处理,正离开路由器接口的数据包。

    入:已经到达路由器接口的数据包,将被路由器处理。

    入接口上调用ACL将会影响本地路由器,策略会在本地生效。

    出口上调用ACL将不会影响本地路由器,将会影响数据传输过程中的下一台路由器,策略不会在本地生效。

    1.2 ACL的应用

    需求一:只放行一些流量

    先写放行的流量再拒绝所有

    需求二:只拒绝一些流量

    先写拒绝的流量再放行所有

    需求三:抓取一些流量

    列表语句写允许这些流量通过即可,不用做策略

    标准访问控制列表:基于源IP地址过滤数据包,列表号是2000-2999,列表需要放在靠近目标的位置。

    扩展访问控制列表,基于源IP地址、目标IP地址、指定协议、源端口、目标端口和标志来过滤数据包,列表号是3000-3999,列表需要放在靠近源的位置。

    二、拓展访问控制列表实例

    案例需求:通过配置标准访问控制列表阻止Client1访问ftp

    2.1 拓扑图

    2.2 AR1配置

    <Huawei>undo ter mon        #关闭弹出信息
    <Huawei>sys                        #进入系统视图
    [Huawei]user-in con 0           #配置永不超时
    [Huawei-ui-console0]id 0 0   
    [Huawei-ui-console0]q         #退到上一级
    [Huawei]sysname AR1        #重命名
    [AR1]int g0/0/0                    #进入接口
    [AR1-GigabitEthernet0/0/0]ip add 192.168.10.1 24        #配置IP地址
    [AR1-GigabitEthernet0/0/0]undo sh                #开启接口
    [AR1-GigabitEthernet0/0/0]int g0/0/1                #进入接口
    [AR1-GigabitEthernet0/0/1]ip add 192.168.20.1 24        #配置IP地址
    [AR1-GigabitEthernet0/0/1]undo sh                 #开启接口
    [AR1-GigabitEthernet0/0/1]q                           #退到上一级
    [AR1]acl 3000                                                #创建ACL3000
    [AR1-acl-adv-3000]rule deny tcp source 192.168.10.10 0.0.0.0 destination any destination-port eq ftp                                #创建阻止Client1访问所有ftp的规则 
    [AR1-acl-adv-3000]rule permit ip source any destination any        #放行所有三层流量
    [AR1-acl-adv-3000]q        #退到上一级
    [AR1]int g0/0/0                  #进入接口
    [AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000        #将acl 3000应用在入口

    2.3 测试结果

     client1能够ping通服务器但无法访问ftp,client2能ping通服务器也能访问ftp

    展开全文
  • 计算机网络实验报告)访问控制列表ACL配置实验 作者 日期: ? 实验项目名称 访问控制列表ACL配置实验 实验目的 对路由器的访问控制列表ACL进行配置 实验设备 台;Roue-T 3台交叉线DCE串口线;Sever-PT 1台 实验步骤 标准...
  • 掌握路由器上编号的标准 IP 访问列表规则及配置。只允许网段 172.16.2.0 与 172.16.4.0 的主机进行通信,不允许 172.16.1.0 去访问172.16.4.0 网段的主机。
  • ACL可以提供网络访问的基本手段。可用于Qos,控制数据流量。控制通信量。 2.简述标准ACL和扩展ACL的不同点。 标准ACL是检查源地址,而扩展ACL不仅仅检查源地址,还检查目的地址。 标准ACL允许或拒绝整个协议簇,...

    一、理论

    1.简述ACL的作用。
    ACL可以提供网络访问的基本手段。可用于Qos,控制数据流量。控制通信量。

    2.简述标准ACL和扩展ACL的不同点。
    标准ACL是检查源地址,而扩展ACL不仅仅检查源地址,还检查目的地址。

    标准ACL允许或拒绝整个协议簇,而扩展ACL允许或拒绝特定协议或应用程序。扩展ACL比标准ACL更精细一些。

    标准ACL的编号为1-99,而扩展ACL的编号是100-199。

    将ACL置于网络中时,标准ACL过于靠近被过滤源的接口上应用ACL,以尽早阻止不必要的流量进入网络,应在不影响其他合法访问的前提下,尽可能使ACL靠近被过滤的源; 【图片以华三为例,基本ACL相当于思科Cisco的标准ACL,高级ACL相当于思科Cisco的扩展ACL】
    在这里插入图片描述

    扩展ACL应该靠近被过滤源的接口上应用ACL,以尽早阻止不必要的流量进入网络。
    在这里插入图片描述
    3. ACL访问控制列表入与出匹配顺序。
    ACL访问控制列表在入接口时,先检查策略,后检查路由表。在出接口时,先检查路由表后检查策略。

    数据到达入接口时,先检查接口是否引入acl,若引入,则先进行acl逐条匹配,有acl匹配成功后检查动作是允许还是拒绝,acl允许后再与路由表中路由条目进行匹配,存在目标网段时,路由器则进行转发,反之丢弃!

    数据到达出接口时,现在路由表中找到想对应的路由条目,存在目的网段时,与acl逐条匹配,匹配成功后检查动作,允许后路由器进行转发,反之丢弃!

    4. 为什么会出现NAT?
    因为合法的IP地址日益短缺,一个局域网内部有很多台主机,但不是每台主机都会有合法的IP地址,为了使所有的主机都可以连接因特网,需要使用地址转换。地址转换技术可以有效的隐藏局域网中的主机,具有一定的网络安全保护作用。

    5. NAT分为哪几类?并简单介绍。
    在书本上一般将NAT分为静态NAT、动态NAT和过载NAT。
    在实际生活中一般将NAT分为源NAT,目的NAT和双向NAT。
    静态NAT是一对一的映射,动态NAT是多对多的映射,过载NAT是多对一的映射。

    6. ACL插入策略方法。
    1)插入策略中间
    扩展ACL,也是高级ACL插入策略中间 :目前有10和20。想插入15。
    ① 在全局配置模式下: ip access-list extended 101 【extended 扩展】
    ②15 permit icmp host 192.168.10.100 host 76.12.32.1

    2)插入策略最后 :正常配策略就OK。

    二、实验

    实验:标准ACL

    实验目的:做标准ACL允许192.168.10.100访问WEB服务器,拒绝192.168.10.1访问WEB服务器。
    实验环境:packet tracert
    在这里插入图片描述
    实验思路:
    在这里插入图片描述
    1.配置主机PC1的地址为192.168.10.1,掩码为24位,网关为192.168.10.254。
    在这里插入图片描述
    2. 配置主机PC2地址为192.168.10.100,掩码为24位,网关为192.168.10.254。
    在这里插入图片描述
    3. 配置服务器server0的地址为76.12.20.1,掩码为24位,网关为76.12.20.254。
    在这里插入图片描述
    4. 配置路由器R1的地址。
    在这里插入图片描述
    5. 配置路由器R2的地址。
    在这里插入图片描述
    6. 配置静态路由。
    (1)配置R1的静态。
    在这里插入图片描述
    (2)配置R2的静态。
    在这里插入图片描述
    7. 第一步检测:配置完静态后是全网互通的。
    (1)PC1的检测。
    在这里插入图片描述
    (2)PC2的检测。第一个是检测网关的连通性。第二个是检测到服务器的连通性。
    在这里插入图片描述
    8.因为做的是标准ACL,所以在配置的时候最好在R2上【在知识点部分有解释】。

    在R2的全局模式下,配置ACL策略,禁止主机PC2访问服务器76.12.20.1。
    在这里插入图片描述
    配置ACL策略,允许主机PC1访问服务器76.12.20.1.
    在这里插入图片描述
    应用ACL策略到R2的出接口g0/0
    在这里插入图片描述
    查看已经配置的ACL策略。因为不是在特权模式下查看,所以需要加一个do。
    在这里插入图片描述
    8. 最后一步检测。
    (1)PC1能够成功访问服务器。
    在这里插入图片描述
    (2)PC2不能访问服务器。第一个ping是在第一次测试中成功进行访问。第二个是最后测试,找不到目的主机,说明ACL的策略已经配置生效了。
    在这里插入图片描述

    展开全文
  • 基于时间的访问控制列表ACL

    千次阅读 2020-05-28 19:46:10
    实验名称 基于时间的访问控制列表ACL 一、 实验目的 1、掌握时间范围的建立及修改设备的时间; 2、掌握基于时间的访问控制列表ACL命令的使用。 二、实验仪器设备或材料 Cisco PT Gns3 华为Ensp 三、实验原理 一些...

    实验名称 基于时间的访问控制列表ACL
    一、 实验目的
    1、掌握时间范围的建立及修改设备的时间;
    2、掌握基于时间的访问控制列表ACL命令的使用。
    二、实验仪器设备或材料
    Cisco PT
    Gns3
    华为Ensp
    三、实验原理
    一些公司要求员工在上班时间内不能使用迅雷、百度云等下载软件,也不能浏览某些特定网页如游戏、娱乐、视频等,而非上班时间则可以正常访问。像这种限制用户在某个时间内不能使用某种服务的需求,可以通过基于时间的访问控制列表来实现。
    基于时间的访问控制列表由两部分组成:第一部分是用time-range命令来指定时间范围的名称,然后用absolute命令,或者一个或多个periodic命令来具体定义时间范围;第二部分是用扩展访问控制列表定义规则。定义时间段的命令格式如下:
    time-range时间段名称
    absolute start [小时:分钟] [日 月 年] [end] [小时:分钟] [日 月 年]
    periodic days-of-the week 小时:分钟to[days-of-the week]小时:分钟
    days-of-the week指的是具体星期几/daily(每天)/weekdays(周一至周五)/weekend(周末)。
    在定义time-range时,常用的时间分为两种:第一种叫做绝对时间(absolute),即这个时间只生效一次,比如2018年10月9月17:30;另一种时间叫做周期时间(periodic),即这个时间是会多次重复的,比如每周一,或者每周一到周五。每个时间范围只能有一个absolute命令,但它可以有多个periodic命令。
    四、实验内容与步骤
    根据图2-1所示的网络拓扑图,完成基于时间ACL的配置。
    在这里插入图片描述
    图2-1 实验拓扑图
    要求PC在上班时间内(8:30~18:00)不能访问外网某视频网站,下班时间可以访问,内网服务器的访问无时间限制。
    路由器Router和PC机要添加NM-1FE-TX模块,并且连接两个设备的f1/0端口(保持端口类型统一性)。
    1、配置PC机的基本IP信息,服务器和外网云做类似配置。
    PC(config)#no ip routing
    PC(config)#int f1/0
    PC(config-if)#ip address 192.168.28.2 255.255.255.0
    PC(config-if)#no shutdown
    PC(config-if)#exit
    PC(config)#ip default-gateway 192.168.28.254
    PC(config)#exit

    Server(config)#no ip routing
    Server(config)#int f0/0
    Server(config-if)#ip address 10.1.28.8 255.255.0.0
    Server(config-if)#no shutdown
    Server(config-if)#exit
    Server(config)#ip default-gateway 10.1.28.254
    Server(config)#exit

    Internet(config)#no ip routing
    Internet(config)#int f0/0
    Internet(config-if)#ip address 213.10.28.10 255.255.255.252
    Internet(config-if)#no shutdown
    Internet(config-if)#exit
    Internet(config)#ip default-gateway 213.10.28.9
    Internet(config)#exit
    2、配置路由器的基本IP信息。
    Router(config)#int f0/0
    Router(config-if)#ip address 10.1.28.254 255.255.0.0
    Router(config-if)#no shutdown
    Router(config-if)#exit
    Router(config)#no shutdown
    Router(config)#int f0/1
    Router(config-if)#ip address 213.10.28.9 255.255.255.252
    Router(config-if)#no shutdown
    Router(config-if)#exit
    Router(config)#int f1/0
    Router(config-if)#ip address 192.168.28.254 255.255.255.0
    Router(config-if)#no shutdown
    Router(config-if)#exit
    3、配置基于时间的访问控制列表,并应用到端口上。
    Router(config)#time-range zttime1 //创建并定义Time-range接口
    Router(config-time-range)#absolute start 8:30 1 jan 2015 end 18:00 30 dec 2020
    Router(config-time-range)#periodic daily 8:30 to 18:00
    //有效时间为2015年1月1日8:30至2020年12月30日18:00内每天的8:30到18:00
    Router(config-time-range)#exit
    Router(config)#ip access-list extend zt_net_list1 //定义基于时间的ACL
    Router(config-ext-nacl)#deny ip any host 213.10.28.10 time-range time1
    Router(config-ext-nacl)#permit ip any any
    Router(config-ext-nacl)#exit
    Router(config)#int f1/0
    Router(config-if)#ip access-group zt_net_list1 in //应用ACL规则到端口上
    Router(config-if)#exit
    五、实验结果与分析
    1、用show clock命令查看路由器现在的设备时间,然后修改设备时间,这里修改为2020年4月2日17:03:00(上班时间)
    在这里插入图片描述
    在这里插入图片描述
    图2-2修改路由器设备时间
    2、用PC机ping内网服务器和外网某视频网站,发现前者可ping通而后者则ping不通,但是可以ping通路由器的端口。且外网可以访问内部服务器但无法ping通PC机。如图2-3,图2-4所示。
    在这里插入图片描述
    图2-3上班时间内的PC机ping通测试
    在这里插入图片描述
    图2-4上班时间内的外网ping通测试
    3、修改设备时间为2020年4月2日19:00(下班时间),用PC机ping内网服务器和外网某视频网站,发现都可ping通,外网也可以ping通PC机。如图2-5,图2-6所示。
    在这里插入图片描述
    图2-5下班时间内PC机的ping通测试
    在这里插入图片描述
    图2-6下班时间内外网的ping通测试
    4、通过show time-range和show access-list命令可以看到已配置的时间范围和控制列表状态。
    在这里插入图片描述
    图2-7 查看时间范围和控制列表状态
    六、结论与体会
    本次实验让我学到了路由器中有两种常用访问控制列表(Access-List),一种是标准访问列表,另一种是扩展访问列表。前者主要用于基于源和目标地址的数据包过滤,而后者用于基于目标地址、源地址和网络协议及其端口号等的数据包过滤。通过访问控制列表,可以根据一天中不同时间或者根据一周中的不同日期控制网络数据包的转发,给网管人员的日常维护带来很大便利

    展开全文
  • 访问控制列表ACL

    2012-10-29 14:04:05
    访问控制列表ACL
  • 访问控制列表 ACL

    千次阅读 2021-01-06 19:13:19
    文章目录一、访问控制列表ACL)二、ACL工作原理三、ACL的两种作用四、访问控制列表在接口应用的方向五、ACL1、仅允许PC1访问192.168.2.0/242、禁止192.168.1.0/24网络ping Web服务器3、仅允许Client1访问Web服务器...
  • 访问控制列表ACL简单实验 实验目的: 不允许10.1.1.3访问10.1.3.0网络 配置思路: 1. 接口配置IP地址: R1: interface Ethernet0/0/0 ip address 10.1.12.1 24 AR1: interface GigabitEthernet0/0/0 ip address...
  • 访问控制列表ACL(Access Control List)是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类...
  • 三层交换机访问控制列表ACL的配置.ppt
  • ACL语句实现IP地址过滤,access-list 1 permit XXXX.XXXX.XXXX.XXXX XXXX.XXXX.XXXX.XXXX
  • 20CCNA访问控制列表ACL[借鉴].pdf
  • 访问控制列表ACL(access control list)

    千次阅读 2018-11-12 15:34:00
    访问控制列表ACL(access control list) 作用 1.定义感兴趣的数据包(数据层面) 2. 定义感兴趣的路由(控制层面) 特点 1.定义permit(允许)deny(拒绝) 2.序列号由小到大 3.满足金字塔 4.一旦匹配,...
  • 访问控制列表ACL在校园网中的应用初探.doc
  • 计算机网络实验报告7访问控制列表ACL配置实验.doc
  • 访问控制列表ACL配置命令

    万次阅读 2019-05-19 19:21:21
    标准访问控制列表 配置标准ACL 实现拒绝pc2(IP地址为192.168.1.3)对Web Server pc3的访问 配置如下: 下面配置路由器端口的IP地址: R1>en R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168....
  • 访问控制列表ACL学习

    2018-01-03 14:56:37
    本文档主要介绍了ACL分类及ACL书写匹配规则及使用方法。
  • 计算机网络实验报告(7)访问控制列表ACL配置实验.doc
  • 二层ACL 4000-4999 使用报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、二层协议类型等 用户自定义ACL 5000-5999 使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则 用户ACL 6000-...
  • 访问控制列表ACL练习题

    千次阅读 2020-06-13 09:08:56
    1访问控制列表配置中,操作符“gt portnumber”表示控制的是_____________。 A、端口号小于此数字的服务 B、端口号大于此数字的服务 C、端口号等于此数字的服务 D、端口号不等于此数字的服务 正确答案: B 我的答案...
  • 访问控制列表ACL练习题(作业)

    千次阅读 2020-06-15 09:08:34
    访问控制列表ACL练习题 姓名: 班级:班级-1 成绩: 96.9分 作答记录 一.单选题(共32题,100.0分) 1 访问控制列表配置中,操作符“gt portnumber”表示控制的是_____________。 A、 端口号小于此数字的服务 B、 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 40,246
精华内容 16,098
关键字:

访问控制列表acl

友情链接: br_circle.rar