-
2020-10-31 17:15:42
ACL讲解目录
一、ACL知识
(1)接口应用方向
(2)访问控制列表的处理过程
二、ACL 工作原理:
(1)ACL 种类:
(2)ACL的应用原则:
三、应用规则
四、华为路由配置一、ACL知识
读取第三层、第四层包头信息
根据预先定义号的规则对包进行过滤
(1)接口应用方向(与数据方向有关)
- 出:已经过路由器的处理,正离开路由器接口的数据包
- 入:已到达路由器接口的数据包,将被路由器处理
(2)访问控制列表的处理过程
- ACL: access list 访问控制列表
- ACL两种作用:
- 0用来对数据包做访问控制(丢弃或者放行)
- 结合其他协议,用来匹配范围
二、ACL 工作原理:
当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
(1)ACL 种类:
- 基本ACL ( 2000-2999) :只能匹配源ip地址。
- 高级ACL ( 3000-3999) :可以匹配源ip、目标ip、 源端口、目标端口等三层和四层的字段。
- 二层ACL (4000-4999) :根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二二层信息制定规则。
(仅作了解即可)
(2)ACL(访问控制列表)的应用原则:
- 基本ACL,尽量用在靠近目的点
- 高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
三、应用规则
1、一个接口的同一个方向,只能调用一-个acl
2、一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一.旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放行所有(华为设备)
四、华为路由配置
[Huawei]acl number 2000 ###创建acl 2000 [Huawei-acl-basic-2000]rule(拒绝) 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一一台,5是这条规则的序号(可不加) [Huaweilinterface GigabitEthernet 0/0/1 ###进入接口 [Huawei -GigabitEthernet0/0/1]ip address 192.168.2.254 24 ###为此接口添加IP [Huawe i -GigabitEthernet0/0/1] traffic- filter outbound acl 2000 ###接口出方向调用acl2000,outbound代表 出方向,inbound代表进 入方向 [Huawei -GigabitEthernet0/0/1]undo sh [Huawei]acl number 2001 ###进入acl 2000列表 [Huawei-acl -basic- 2001]rule permit source 192.168.1.0 0.0.0.255 ###permit代表允许,source代表 来源,掩码部分为反掩码 [Huawei-acl-basic-2001] rule deny source any(所有) ###拒绝所有访问,any代表所有0.0.0.0 255.255. 255.255或者rule deny [Huawei] interface GigabitEthernet 0/0/1 ###进入出口接口 [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 [Huawei -GigabitEthernet0/0/1] traffic- filter outbound acl 2001 [Huawei]acl nmuber 3000 ##拒绝tcp为高级控制,所以3000起 [Huawei -acl-adv-3000] rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 ### 拒绝Ping [Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq(所有) 80(HTTP协议) ###destination代表目的地地址,destination-port代表目的端口号,80可用www代替 [Huawei -acl-adv-3000] rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80 [Huawei-acl-adv-3000]rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21 ###拒绝源地址192.168.10.0网段访问FTP服务器12.0.0.2 [Huawei-acl-adv-3000]dis this ###查看当前ACL配置是否配置成功 [Huawei] interface g0/0/0 [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 [Huawei-Gigabi tEthernet0/0/0]traffic-filter inbound acl 3000 #在接口入方向应用acl [Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound #在接口.上取消acl的应用 [Huawei] display acl 3000 ###显示ac1配置 [Huawei]acl nmuber 3000 [Huawei-acl-adv-3000]dis this ##查看规则序号 [Huawei-acl-adv-3000]undo rule 5 ###删除一条acl语句 [Huawei]undo acl number 3000 ###删除整个ACL3000更多相关内容 -
ACL访问控制列表
2018-03-14 20:25:03ACL访问控制列表实验,有详细的拓扑图和命令。实验有扩展ACL和标准ACL -
acl访问控制列表
2021-08-28 09:13:25设置简单的acl命令标准访问控制列表三.总结 一.acl技术 ACL——访问控制列表 作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。 三层头部...展开全文一.acl技术
ACL——访问控制列表
作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。三层头部信息 四层头部信息 源、目IP 源、目端口号TCP/UDP协议 访问控制列表的调用的方向:
入 出 流量将要进入本地路由器,将被本地路由器处理 已经被本地路由器处理过了,流量将离开本地路由器 策略做好后,在入接口调用和出接口调用的区别:
入接口调用 出接口调用 对本地路由器生效 对本地路由器不生效,流量将在数据转发过程中的下一台设备生效。 访问控制列表的处理原则:
1.路由条目只会被匹配一次
2.路由条目在ACL访问控制列表中匹配的顺序是从上往下四配
3.ACL访问控制列表隐含个拒绝所有
4.ACL访问控制列表至少要放行一条路由条目访问控制列表类型:
标准访问控制列表 扩展访问控制列表 只能基于源IP地址进行过滤 可以根据源、目IP地址,TCP/UDP协议,源、目端口号进行过滤相比较标准,访问控制列表,流量控制的更加精准 标准访问控制列表的列表号是2000- 2999 扩展访问控制列表的列表号是3000- 3999 调用原则:靠近目标 调用原则:靠近源 二.设置简单的acl命令
标准访问控制列表
如图所示拓扑结构:要让vlan10的客户机不能访问vlan20的客户机:
设置
C1:192.168.10.10 255.255.255.0 192.168.10.1 ,划分为vlan10
C2:192.168.20.10 255.255.255.0 192.168.20.1 ,划分为vlan20
C3:192.168.10.20 255.255.255.0 192.168.10.1 ,划分为vlan10
C4:192.168.20.20 255.255.255.0 192.168.20.1 ,划分为vlan20
二层交换机SW1:[ ]vlan batch 10 20 //创建多个vlan [ ]int e0/0/1 //进入e0/0/1接口 [ ]port link-type access //设置接口类型 [ ]port default vlan 10 //将接口划分到VLAN10 [ ]int e0/0/2 //进入e0/0/2接口 [ ]port link-type access //设置接口类型 [ ]port default vlan 20 //将接口划分到VLAN20 [ ]int e0/0/3 //进入e0/0/3接口 [ ]port link-type access //设置接口类型 [ ]port default vlan 10 //将接口划分到VLAN10 [ ]int e0/0/4 //进入e0/0/4接口 [ ]port link-type access //设置接口类型 [ ]port default vlan 20 //将接口划分到VLAN20 [ ]int g0/0/1 //进入g0/0/1端口 [ ]port link-type trunk //设置端口类型为trunk [ ]port trunk allow-pass vlan all //设置白名单路由器R1上的单臂路由命令:
[ ]int g0/0/0 //进入接口g0/0/0 [ ]undo shut //开启接口 [ ]int g0/0/0.1 //进入子接口g0/0/0.1 [ ]dot1q termination vid 10 //封装方式为802.1q,g0/0/0.1划分进vlan10 [ ]ip add 192.168.10.1 24 //设置IP和掩码长度 [ ]arp broadcast enable //开启ARP广播功能 [ ]int g0/0/0.2 //进入子接口g0/0/0.2 [ ]dot1q termination vid 20 //封装方式为802.1q,g0/0/0.2划分进vlan20 [ ]ip add 192. 168. 20.1 24 //设置IP和掩码长度 [ ]arp broadcast enable //开启ARP广播功能路由器R1标准访问控制列表:
[ ]acl 2000 //创建标准访问控制列表,列表号为2000 [ ]rule deny source 192.168.10.0 0.0.0.255 //拒绝192.168.10.0网段(子网掩码为反掩码) [ ]rule permit source any //放行其他路由条目 [ ]int g0/0/0.2 //进入子接口g0/0/0.2 [ ]traffic-filter outbound acl 2000 //选择在出接口上调用此时vlan10的客户机不能访问vlan20的客户机,其余都可以进行通信。
扩展访问控制列表
如图所示拓扑结构:要让客户机C1不能访问服务器S1
设置
C1:192.168.10.10 255.255.255.0 192.168.10.1 ,划分为vlan10
C2:192.168.20.10 255.255.255.0 192.168.20.1 ,划分为vlan20
C3:192.168.10.20 255.255.255.0 192.168.10.1 ,划分为vlan10
C4:192.168.20.20 255.255.255.0 192.168.20.1 ,划分为vlan20
二层交换机SW1:[ ]vlan batch 10 20 //创建多个vlan [ ]int e0/0/1 //进入e0/0/1接口 [ ]port link-type access //设置接口类型 [ ]port default vlan 10 //将接口划分到VLAN10 [ ]int e0/0/2 //进入e0/0/2接口 [ ]port link-type access //设置接口类型 [ ]port default vlan 20 //将接口划分到VLAN20 [ ]int e0/0/3 //进入e0/0/3接口 [ ]port link-type access //设置接口类型 [ ]port default vlan 10 //将接口划分到VLAN10 [ ]int e0/0/4 //进入e0/0/4接口 [ ]port link-type access //设置接口类型 [ ]port default vlan 20 //将接口划分到VLAN20 [ ]int g0/0/1 //进入g0/0/1端口 [ ]port link-type trunk //设置端口类型为trunk [ ]port trunk allow-pass vlan all //设置白名单路由器R1:
[ ]int g0/0/0 //进入接口g0/0/0 [ ]undo shut //开启接口 [ ]int g0/0/0.1 //进入子接口g0/0/0.1 [ ]dot1q termination vid 10 //封装方式为802.1q,g0/0/0.1划分进vlan10 [ ]ip add 192.168.10.1 24 //设置IP和掩码长度 [ ]arp broadcast enable //开启ARP广播功能 [ ]int g0/0/0.2 //进入子接口g0/0/0.2 [ ]dot1q termination vid 20 //封装方式为802.1q,g0/0/0.2划分进vlan20 [ ]ip add 192. 168. 20.1 24 //设置IP和掩码长度 [ ]arp broadcast enable //开启ARP广播功能 [ ]int g0/0/1 //进入接口g0/0/1 [ ]undo shut //开启接口 [ ]ip add 12.1.1.1 24 //设置IP和掩码长度 [ ]ip route-static 0.0.0.0 0 12.1.1.2 //添加默认路由目的网段0.0.0.0 ,子网掩码长度0,下一跳入接口ip12.1.1.2路由器R2:
[ ]int g0/0/0 //进入接口g0/0/0 [ ]undo shut //开启接口 [ ]ip add 12.1.1.2 24 //设置IP和掩码长度 [ ]int g0/0/1 //进入接口g0/0/1 [ ]undo shut //开启接口 [ ]ip add 202.10.100.2 24 //设置IP和掩码长度 [ ]ip route-static 0.0.0.0 0 12.1.1.1 //添加默认路由目的网段0.0.0.0 ,子网掩码长度0,下一跳入接口ip12.1.1.1服务器S1:
本机地址:202.10.100.100 子网掩码:255.255.255.0 网关:202.10.100.2此时四台客户机都可以访问服务器,因此继续设置:
路由器R1:
[ ]acl 3000 //创建扩展访问控制列表,列表号为3000 [ ]rule deny tcp source 192.168.10.10 0 destination 202.10.100.100 0 destination-port eq 21 //禁止客户机C1访问FTP服务 [ ]rule permit tcp any destination any destination-port eq 21 //放行其他客户机访问FTP服务 [ ]rule permit ip source any destination any //放行其他客户机的网络流量 [ ]dis this //执行 [ ]int g0/0/0.1 //进入子接口g0/0/0.1 [ ]traffic-filter inbound acl 3000 //选择入接口上调用此时客户机C1不能访问服务器,其他客户机可以访问服务器。
三.总结
outbound ——出接口;inbound ——入接口
默认ACL的每条语句的行号间隔5,所以可以插入语句:[ ]rule 数字 deny source IP地址 反掩码 //拒绝某网段(子网掩码为反掩码)
-
ACL访问控制列表原理及实例
2021-08-27 20:14:341.ACL访问控制列表作用 2.ACL访问控制列表工作原理 3.ACL访问控制列表处理过程原则 二、ACL访问控制列表类型 1.标准访问控制列表 2.扩展访问控制列表 三、配置实例 1.要求:用标准访问控制列表,vlan10客户机...展开全文目录
1.要求:用标准访问控制列表,vlan10客户机不能访问vlan20客户机
2.要求:用扩展访问控制列表,禁止client1客户机访问ftp服务器
一、ACL概述
1.ACL访问控制列表作用
读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选和过滤。
三层头部信息:源、目IP
四层头部信息:TCP/UDP协议、源、目端口号
2.ACL访问控制列表工作原理
入方向:流量将要进入本地路由器,将要被本地路由器处理
出方向:已经被本地路由器处理过,流量将离开本地路由器
策略做好后,在入接口和出接口调用的区别:
入接口调用的话是对本地路由器生效,出接口调用的话,对本地路由器不生效,流量将在数据发过程中的下一台路由器生效。
3.ACL访问控制列表处理过程原则
- 路由条目只会被匹配一次
- 路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配的
- 路由条目在ACL访问控制列表隐含一个拒绝所有
- ACL访问控制列表至少要放行一条路由条目
二、ACL访问控制列表类型
1.标准访问控制列表
- 只能基于源地址进行过滤
- 标准访问控制列表号是2000-2999
- 调用原则:靠近目标
2.扩展访问控制列表
- 可以根据源、目IP,TCP/UDP协议,源、目端口号进行过滤
- 相比较标准访问控制列表,流量控制的更精准
- 调用原则:靠近源
三、配置实例
1.要求:用标准访问控制列表,vlan10客户机不能访问vlan20客户机
1)拓扑
2、L2-SW1配置:
[L2-SW1]vlan bat 10 20 //创建多个vlan [L2-SW1]int e0/0/1 //进入接口e0/0/1 [L2-SW1-Ethernet0/0/1]port link-type access //设置接口链路类型为access [L2-SW1-Ethernet0/0/1]port default vlan 10 //将接口e0/0/1 划分进vlan10 [L2-SW1-Ethernet0/0/1]int e0/0/2 //进入接口e0/0/2 [L2-SW1-Ethernet0/0/2]port link-type access //设置接口链路类型为access [L2-SW1-Ethernet0/0/2]port default vlan 20 //将接口e0/0/2 划分进vlan20 [L2-SW1-Ethernet0/0/2]int e0/0/3 //进入接口e0/0/3 [L2-SW1-Ethernet0/0/3]port link-type access//设置接口链路类型为access [L2-SW1-Ethernet0/0/3]port default vlan 10//将接口e0/0/3 划分进vlan10 [L2-SW1-Ethernet0/0/3]int e0/0/4 //进入接口e0/0/4 [L2-SW1-Ethernet0/0/4]port link-type access //设置接口链路类型为access [L2-SW1-Ethernet0/0/4]port default vlan 20 //将接口e0/0/4 划分进vlan20 [L2-SW1-Ethernet0/0/4]int g0/0/1 //进入接口g0/0/1 [L2-SW1-GigabitEthernet0/0/1]port link-type trunk //设置接口链路类型为trunk [L2-SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //设置白名单,通行所有vlan3、R1配置
[R1]int g0/0/0 //进入接口g0/0/0 [R1-GigabitEthernet0/0/0]undo shutdown //开启物理接口 [R1-GigabitEthernet0/0/0]int g0/0/0.1 //进入子接口g0/0/0.1 [R1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //封装方式为802.1q,接口g0/0/0.1划分进vlan10 [R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 //设置IP地址及子网掩码长度 [R1-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播功能 [R1-GigabitEthernet0/0/0.1]int g0/0/0.2//进入子接口g0/0/0.2 [R1-GigabitEthernet0/0/0.2]dot1q termination vid 20 //封装方式为802.1q,接口g0/0/0.2划分进vlan20 [R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24 //设置IP地址及子网掩码长度 [R1-GigabitEthernet0/0/0.2]arp broadcast enable //开启ARP广播功能4)客户机配置IP地址及子网掩码长度
5)此时client客户机之间相互都可以ping通测试一下,到这一步单臂路由实现了不同vlan间通信
client1:ping 192.168.20.10
client1:ping 192.168.10.20
client1:ping 192.168.20.20
client2:ping 192.168.10.20
client2:ping 192.168.20.20
client3:ping 192.168.20.20
6)再继续再R1上用ACL标准访问控制列表实现vlan10客户机不能访问vlan20客户机
[R1]acl 2000 //创建标准访问控制列表,列表号为2000 [R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255 //拒绝192.168.10.0网段的路由条目(子网掩码为反掩码) [R1-acl-basic-2000]rule permit source any //放行其他路由条目 [R1]int g0/0/0.2 //进入子接口g0/0/0.2 [R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000 //选择在子接口g0/0/0.2出接口上调用列表20007)测试是否成功,如果不同,则成功
client1:ping 192.168.20.10
client1:ping 192.168.20.20
client3:ping 192.168.20.20
2.要求:用扩展访问控制列表,禁止client1客户机访问ftp服务器
1.拓扑图
2.L2-SW2
[L2-SW1]vlan bat 10 20 //创建多个vlan [L2-SW1]int e0/0/1 //进入接口e0/0/1 [L2-SW1-Ethernet0/0/1]port link-type access //设置接口链路类型为access [L2-SW1-Ethernet0/0/1]port default vlan 10 //将接口e0/0/1 划分进vlan10 [L2-SW1-Ethernet0/0/1]int e0/0/2 //进入接口e0/0/2 [L2-SW1-Ethernet0/0/2]port link-type access //设置接口链路类型为access [L2-SW1-Ethernet0/0/2]port default vlan 20 //将接口e0/0/2 划分进vlan20 [L2-SW1-Ethernet0/0/2]int e0/0/3 //进入接口e0/0/3 [L2-SW1-Ethernet0/0/3]port link-type access//设置接口链路类型为access [L2-SW1-Ethernet0/0/3]port default vlan 10//将接口e0/0/3 划分进vlan10 [L2-SW1-Ethernet0/0/3]int e0/0/4 //进入接口e0/0/4 [L2-SW1-Ethernet0/0/4]port link-type access //设置接口链路类型为access [L2-SW1-Ethernet0/0/4]port default vlan 20 //将接口e0/0/4 划分进vlan20 [L2-SW1-Ethernet0/0/4]int g0/0/1 //进入接口g0/0/1 [L2-SW1-GigabitEthernet0/0/1]port link-type trunk //设置接口链路类型为trunk [L2-SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //设置白名单,通行所有vlan3.R1配置:
[R1]int g0/0/0 //进入接口g0/0/0 [R1-GigabitEthernet0/0/0]undo shutdown //开启物理接口 [R1-GigabitEthernet0/0/0]int g0/0/0.1 //进入子接口g0/0/0.1 [R1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //封装方式为802.1q,接口g0/0/0.1划分进vlan10 [R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 //设置IP地址及子网掩码长度 [R1-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播功能 [R1-GigabitEthernet0/0/0.1]int g0/0/0.2//进入子接口g0/0/0.2 [R1-GigabitEthernet0/0/0.2]dot1q termination vid 20 //封装方式为802.1q,接口g0/0/0.2划分进vlan20 [R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24 //设置IP地址及子网掩码长度 [R1-GigabitEthernet0/0/0.2]arp broadcast enable //开启ARP广播功能 [R1]ip route-static 202.10.10.0 24 12.1.1.2 //配置静态路由,添加目的网段 202.10.10.0,子网掩码长度,下一跳入接口12.1.1.24.R2配置:
[R2]int g0/0/0 //进入接口 g0/0/0 [R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24 //设置IP地址及子网掩码长度 [R2-GigabitEthernet0/0/0]int g0/0/1 //进入接口 g0/0/1 [R2-GigabitEthernet0/0/1]ip add 202.10.10.2 24 //设置IP地址及子网掩码长度 [R2]ip route-static 0.0.0.0 0 12.1.1.1 //设置静态路由,默认路由,下一跳入接口12.1.1.15.PC配置与标准访问控制列表一样
6.ftp服务器配置:
端口号21,选择一个文件用于上传下载,设置后点击启动
7.测试客户机和服务器是否能连通,能联通后继续下一步做策略client1:ping 202.10.10.100
client2:ping 202.10.10.100
client3:ping 202.10.10.100
client4:ping 202.10.10.100
8.R1配置:
[R1]acl 3000//创建扩展访问列表,列表号3000 [R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0.0.0.0 destination 202.10.10.100 0.0.0.0 destination-port eq 21 //禁止client访问ftp服务器 [R1-acl-adv-3000]rule permit tcp source any destination any destination-port eq 21 //放行其他客户机访问ftp服务器 [R1-acl-adv-3000]rule permit ip source any destination any //放行其他客户机网络流量 [R1]int g0/0/0.1 //进入接口g0/0/0.1 [R1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000 //选择在入接口上调用列表30009.此时在让client1去ping服务器,是ping不通的,也不可以上传和下载文件
client1:ping 202.10.10.100
四、总结
- 路由条目在ACL访问控制列表隐含一个拒绝所有
- 标准访问控制列表调用原则靠近目标,扩展访问列表调用原则靠近源
-
ACL访问控制列表实验报告
2021-12-25 17:28:25ACL,是Access Control ... ACL访问控制列表分为两种:标准列表(只关注源ip地址。),扩展列表(关注源及目标ip地址,同时关注端口号,协议号。)以下为实验需求: 首先搭建网络,利用静态路由协议搭建起...展开全文ACL,是Access Control List的简写,中文名称叫做“访问控制列表”。它是由一系列条件规则(即描述报文匹配条件的判断语句)组成, 这些条件规则可以是报文的源地址、目的地址、端口号等,是一种应用在网络设备各种软硬接口上的的指令列表。其主要功能为过滤及分类。
ACL访问控制列表分为两种:标准列表(只关注源ip地址。),扩展列表(关注源及目标ip地址,同时关注端口号,协议号。)以下为实验需求:
首先搭建网络,利用静态路由协议搭建起此网络。(注:由于eNSP的pc模拟器不支持telnet远程控制访问,所以我们选择使用路由器(PC1,PC2)代替pc完成实验。只需给PC1,PC2配置一条缺省路由去R1即可。)ip地址规划如下图所示。
在使用ACL之前,我们需要首先配置telnet,按照实验需求在R1密令行上输入以下指令:
[R1]aaa 进入aaa服务
[R1-aaa]local-user wangcai privilege level 15 password cipher 12345 告知用户名及密码
[R1-aaa]local-user wangcai service-type telnet
[R1]user-interface vty 0
[R1-ui-vty0]authentication-mode aaa
同理,以以上密令配置R2。
现在分析需求(1)PC2不能telnetR1(2)PC1不能pingR1(3)PC2不能pingR2,(4)PC1不能telnetR2
有上述信息可以看出,我们要有目标性的干掉流量,所以选择使用扩展列表。Ping测试命令属于ICMP协议(internet控制管理协议)拒绝该协议即拒绝ping。Telnet 基于TCP目标端口号23工作,拒绝该端口即拒绝telnet。
扩展列表需要选择离源流量较近的接口,因此我们选择R1的g0/0/0,我们在路由器输入以下密令:
[R1]acl 3000 创建acl访问控制列表,编号2000-2999为标准列表;3000-3999为扩展列表。
R1-acl-adv-3000]rule deny icmp source 192.168.2.1 0 destination 192.168.1.1 0
[R1-acl-adv-3000]rule deny icmp source 192.168.2.1 0 destination 192.168.2.3 0 创建规则,PC1不可以对R1进行icmp协议,即不可以进行ping
[R1-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.1.1 0 destination-port eq 23
[R1-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.2.3 0 destination-port eq 23 创建规则,PC2不可以通过23号端口进行远程控制访问R1。
[R1-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination 192.168.1.2 0 destination-port eq 23 同上,配置R2的进入规则
[R1-acl-adv-3000]rule deny icmp source 192.168.2.2 0 destination 192.168.1.2 0
[R1-acl-adv-3000]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 进入使用接口,启用acl3000协议
我们打开PC1尝试ping R1并不会通,结果如下。同理PC2 Ping R2 也不会通。
接着我们尝试使用PC2对 R1进行远程访问,结果如下图,显示尝试失败,PC1对R2也是如此。
现在我们尝试一次正确的telnet访问,使用PC1 telnet R1,密令行显示如下:
<PC1>telnet 192.168.2.3
Press CTRL_] to quit telnet mode
Trying 192.168.2.3 ...
Connected to 192.168.2.3 ...Login authentication
Username:wangcai
Password: 密码为盲打,不会显示
<R1>
当出现<R1>字样时,说明PC1已经成功连接R1,并且可以远程配置R1。telnet成功,使用PC2 telnet R2时也是如此。此时使用PC1,PC2分别ping R2,R1也会成功。此时实验需求全部达成,ACL访问控制列表生效,实验完成。
-
ACL 访问控制列表综合实验
2020-10-15 14:44:30文章目录实验拓扑实验要求:实验步骤配置VLAN配置...3. 设置单臂路由,使得PC1,PC2能够访问外网 4. 设置ACL规则,实现如下要求 a. PC1可以ping通PC3,但是不能ping通server 1 b. PC2可以ping通server1,但是不能pin -
ACL访问控制列表·ppt
2022-04-30 16:16:41ACL访问控制列表·ppt -
H3C交换机典型(ACL)访问控制列表配置实例
2020-10-01 13:49:35本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,需要的朋友可以参考下 -
实验三、ACL访问控制列表配置.doc
2020-02-25 22:52:09路由与交换技术实验指导实验三、ACL访问控制列表配置 -
ACL访问控制列表及命令配置
2021-01-15 11:14:35ACL访问控制列表及命令配置一、访问控制列表(一)概述(二)ACL的作用(三)acl种类(四)acl的应用原则(五)acl应用规则二、配置命令路由器配置 一、访问控制列表 (一)概述 1.读取第三层、第四层包头信息 根据... -
ACL访问控制列表的原理及过程及访问命令配置
2021-03-18 14:23:25ACL访问控制列表的原理及过程一. ACL访问控制列表1. ACL的工作原理2.ACL两种作用3. ACL的的类型4.ACL(访问控制列表)的应用原则二. ACL的配置 一. ACL访问控制列表 读取第三层,第四层包头信息 根据预先定义好的规则... -
ACL访问控制列表(华为eNSP)
2021-04-02 22:44:06ACL访问控制列表基本> 实验工具:ENSP 第一步:如下图拓扑 第二步:配置PC的IP地址 第三步:配置路由器接口IP地址 /* 配置路由器0/0/0、0/0/1接口 */ 第四步:测试网络连通性 <全部可达> 使用-t... -
ensp配置ACL访问控制列表
2022-05-04 16:15:03通过实验掌握基于ensp配置ACL访问控制列表 实验要求 要求仅允许财务部client1访问财务系统服务器(Server)前端网站; 财务系统服务器(Server)仅在内网使用,不允许访问外部网络; 测试计算机、路由器的IP和... -
网络ACL访问控制列表
2020-07-29 17:07:34目录一、ACL概述1、acl的作用二、ACL工作原理1、原理2、处理过程三、ACL分类1、标准访问控制列表2、扩展访问控制列表3、命名访问控制列表四、ensp中ACL的配置试验以下实验帮助理解ACL实验拓扑图实验需求实验分析实验... -
ACL 访问控制列表
2021-03-17 11:26:20访问控制列表2.ACL 的匹配和不匹配2.ACL 的分类三、ACL 的实现方式1.确定部署位置2.匹配对应流量通配符掩码3.决定调用方向4.查看及测试5.匹配规则四、高级ACL1.基本访问控制列表2.高级访问控制列表3.高级ACL配置 一... -
学习ACL访问控制列表与项目实例
2021-08-28 09:35:48ACL--访问控制列表 作用: 三层头部信息: 四层头部信息: 访问控制列表的调用的方向: 访问控制列表的处理原则: 访问控制列表的处理过程 访问控制列表类型: 1.标准访问控制列表 2.扩展访问控制列表 AR路由器... -
什么是ACL访问控制列表?它们的匹配机制是什么?
2021-12-23 11:54:27访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。 不知道你们有没有发现,在网络互通性越来越强的情况下,一个局域网内的每一处地方都是可以... -
ACL访问控制列表理论+实验
2020-07-29 11:11:20访问控制列表(Access Control List,简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能,在现实中应用广泛。ACL根据功能的不同分为标准... -
ACL(访问控制列表)权限管理.txt
2020-06-15 00:18:59访问控制列表 ACL:Access Control List 实现灵活的权限管理 除了文件的所有者,所属组和其他人,可以对更多的用户设置权限 CentOS7默认创建的xfs和ext4文件系统具有ACL功能 CentOS7之前版本,默认手工创建的ext4... -
ACL访问控制列表及配置
2021-03-21 12:59:38ACL、NATACL(访问控制列表)ACL作用ACL工作原理ACL种类ACL应用原则ACL应用规则NAT(网络地址转换)NAT的工作原理NAT功能优点缺点静态NAT动态NATPAT端口多路复用PAT作用PAT类型 ACL(访问控制列表) 读取第三层、第四层... -
ACL访问控制列表以及配置
2021-01-05 19:03:45访问控制列表(ACL) 读取第三层,第四层包头信息(IP包头、TCP包头) IP包头:源地址,目的地址 TCP包头:源端口,目的端口 根据预先定义好的规则对包进行过滤 接口应用的方向 出:已经过路由器的处理,正离开... -
华为ENSP——ACL访问控制列表
2020-08-01 11:24:333、配置扩展访问控制列表,使AR1不能访问ftp服务器,但其他流量不受影响 实验分析: 1、实现全网互通: 要实现全网互通就应该对SW1、AR1、AR3进行正确配置,第一步要在SW1中创建VLAN10与20,并分别将E0/0/1至0/0/4...
