精华内容
下载资源
问答
  • ACL访问控制列表详解
    千次阅读
    2020-10-31 17:15:42

    ACL讲解目录

    一、ACL知识
       (1)接口应用方向
       (2)访问控制列表的处理过程
    二、ACL 工作原理:
       (1)ACL 种类:
       (2)ACL的应用原则:
    三、应用规则
    四、华为路由配置

    一、ACL知识

    读取第三层、第四层包头信息

    根据预先定义号的规则对包进行过滤

    (1)接口应用方向(与数据方向有关)
    • 出:已经过路由器的处理,正离开路由器接口的数据包
    • 入:已到达路由器接口的数据包,将被路由器处理
    (2)访问控制列表的处理过程
    • ACL: access list 访问控制列表
    • ACL两种作用:
    • 0用来对数据包做访问控制(丢弃或者放行)
    • 结合其他协议,用来匹配范围

    二、ACL 工作原理:

    在这里插入图片描述

          当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。

    (1)ACL 种类:
    • 基本ACL ( 2000-2999) :只能匹配源ip地址。
    • 高级ACL ( 3000-3999) :可以匹配源ip、目标ip、 源端口、目标端口等三层和四层的字段。
    • 二层ACL (4000-4999) :根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二二层信息制定规则。
      (仅作了解即可)
    (2)ACL(访问控制列表)的应用原则:
    • 基本ACL,尽量用在靠近目的点
    • 高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)

    三、应用规则

    1、一个接口的同一个方向,只能调用一-个acl

    2、一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行

    3、数据包一.旦被某rule匹配,就不再继续向下匹配

    4、用来做数据包访问控制时,默认隐含放行所有(华为设备)

    四、华为路由配置

    [Huawei]acl number 2000  ###创建acl 2000
    [Huawei-acl-basic-2000]rule(拒绝) 5 deny source 192.168.1.1 0  ###拒绝源地址为192.168.10.1的流量,0代表仅此一一台,5是这条规则的序号(可不加)
    [Huaweilinterface GigabitEthernet 0/0/1  ###进入接口
    [Huawei -GigabitEthernet0/0/1]ip address 192.168.2.254 24  ###为此接口添加IP
    [Huawe i -GigabitEthernet0/0/1] traffic- filter outbound acl 2000  ###接口出方向调用acl2000,outbound代表 出方向,inbound代表进 入方向
    [Huawei -GigabitEthernet0/0/1]undo sh
    [Huawei]acl number 2001  ###进入acl 2000列表
    [Huawei-acl -basic- 2001]rule permit source 192.168.1.0 0.0.0.255  ###permit代表允许,source代表 来源,掩码部分为反掩码
    [Huawei-acl-basic-2001] rule deny source any(所有)  ###拒绝所有访问,any代表所有0.0.0.0 255.255. 255.255或者rule deny
    [Huawei] interface GigabitEthernet 0/0/1  ###进入出口接口
    [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
    [Huawei -GigabitEthernet0/0/1] traffic- filter outbound acl 2001
    [Huawei]acl nmuber 3000
    ##拒绝tcp为高级控制,所以3000[Huawei -acl-adv-3000] rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0  ### 拒绝Ping
    [Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq(所有) 80(HTTP协议)  ###destination代表目的地地址,destination-port代表目的端口号,80可用www代替
    [Huawei -acl-adv-3000] rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80
    [Huawei-acl-adv-3000]rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21  ###拒绝源地址192.168.10.0网段访问FTP服务器12.0.0.2
    [Huawei-acl-adv-3000]dis this  ###查看当前ACL配置是否配置成功
    [Huawei] interface g0/0/0
    [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
    [Huawei-Gigabi tEthernet0/0/0]traffic-filter inbound acl 3000  #在接口入方向应用acl
    [Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound  #在接口.上取消acl的应用
    [Huawei] display acl 3000  ###显示ac1配置
    [Huawei]acl nmuber 3000
    [Huawei-acl-adv-3000]dis this  ##查看规则序号
    [Huawei-acl-adv-3000]undo rule 5  ###删除一条acl语句
    [Huawei]undo acl number 3000  ###删除整个ACL3000
    
    更多相关内容
  • ACL访问控制列表

    2018-03-14 20:25:03
    ACL访问控制列表实验,有详细的拓扑图和命令。实验有扩展ACL和标准ACL
  • acl访问控制列表

    千次阅读 2021-08-28 09:13:25
    设置简单的acl命令标准访问控制列表三.总结 一.acl技术        ACL——访问控制列表 作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。 三层头部...

    一.acl技术

           ACL——访问控制列表
    作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。

    三层头部信息四层头部信息
    源、目IP源、目端口号TCP/UDP协议

    访问控制列表的调用的方向:

    流量将要进入本地路由器,将被本地路由器处理已经被本地路由器处理过了,流量将离开本地路由器

    策略做好后,在入接口调用和出接口调用的区别:

    入接口调用出接口调用
    对本地路由器生效对本地路由器不生效,流量将在数据转发过程中的下一台设备生效。

    访问控制列表的处理原则:
    1.路由条目只会被匹配一次
    2.路由条目在ACL访问控制列表中匹配的顺序是从上往下四配
    3.ACL访问控制列表隐含个拒绝所有
    4.ACL访问控制列表至少要放行一条路由条目

    访问控制列表类型:

    标准访问控制列表扩展访问控制列表
    只能基于源IP地址进行过滤可以根据源、目IP地址,TCP/UDP协议,源、目端口号进行过滤相比较标准,访问控制列表,流量控制的更加精准
    标准访问控制列表的列表号是2000- 2999扩展访问控制列表的列表号是3000- 3999
    调用原则:靠近目标调用原则:靠近源

    二.设置简单的acl命令

    标准访问控制列表

           如图所示拓扑结构:要让vlan10的客户机不能访问vlan20的客户机:
    设置
    C1:192.168.10.10 255.255.255.0 192.168.10.1 ,划分为vlan10
    C2:192.168.20.10 255.255.255.0 192.168.20.1 ,划分为vlan20
    C3:192.168.10.20 255.255.255.0 192.168.10.1 ,划分为vlan10
    C4:192.168.20.20 255.255.255.0 192.168.20.1 ,划分为vlan20
    在这里插入图片描述
    二层交换机SW1:

    [ ]vlan batch 10 20                                            //创建多个vlan
    [ ]int e0/0/1                                                  //进入e0/0/1接口
    [ ]port link-type access                                       //设置接口类型
    [ ]port default vlan 10                                        //将接口划分到VLAN10
    [ ]int e0/0/2                                                  //进入e0/0/2接口
    [ ]port link-type access                                       //设置接口类型
    [ ]port default vlan 20                                        //将接口划分到VLAN20
    [ ]int e0/0/3                                                  //进入e0/0/3接口
    [ ]port link-type access                                       //设置接口类型
    [ ]port default vlan 10                                        //将接口划分到VLAN10
    [ ]int e0/0/4                                                  //进入e0/0/4接口
    [ ]port link-type access                                       //设置接口类型
    [ ]port default vlan 20                                        //将接口划分到VLAN20
    [ ]int g0/0/1                                                  //进入g0/0/1端口
    [ ]port link-type trunk                                        //设置端口类型为trunk
    [ ]port trunk allow-pass vlan all                              //设置白名单
    

    路由器R1上的单臂路由命令:

    [ ]int g0/0/0                                                  //进入接口g0/0/0
    [ ]undo shut                                                   //开启接口
    [ ]int g0/0/0.1                                                //进入子接口g0/0/0.1
    [ ]dot1q termination vid 10                                    //封装方式为802.1q,g0/0/0.1划分进vlan10
    [ ]ip add 192.168.10.1 24                                      //设置IP和掩码长度
    [ ]arp broadcast enable                                        //开启ARP广播功能
    [ ]int g0/0/0.2                                                //进入子接口g0/0/0.2
    [ ]dot1q termination vid 20                                    //封装方式为802.1q,g0/0/0.2划分进vlan20
    [ ]ip add 192. 168. 20.1 24                                    //设置IP和掩码长度
    [ ]arp broadcast enable                                        //开启ARP广播功能
    

    路由器R1标准访问控制列表:

    [ ]acl 2000                                                    //创建标准访问控制列表,列表号为2000
    [ ]rule deny source 192.168.10.0  0.0.0.255                    //拒绝192.168.10.0网段(子网掩码为反掩码)
    [ ]rule permit source any                                      //放行其他路由条目
    [ ]int g0/0/0.2                                                //进入子接口g0/0/0.2
    [ ]traffic-filter outbound acl 2000                            //选择在出接口上调用
    

    此时vlan10的客户机不能访问vlan20的客户机,其余都可以进行通信。

    扩展访问控制列表

           如图所示拓扑结构:要让客户机C1不能访问服务器S1
    设置
    C1:192.168.10.10 255.255.255.0 192.168.10.1 ,划分为vlan10
    C2:192.168.20.10 255.255.255.0 192.168.20.1 ,划分为vlan20
    C3:192.168.10.20 255.255.255.0 192.168.10.1 ,划分为vlan10
    C4:192.168.20.20 255.255.255.0 192.168.20.1 ,划分为vlan20
    在这里插入图片描述
    二层交换机SW1:

    [ ]vlan batch 10 20                                            //创建多个vlan
    [ ]int e0/0/1                                                  //进入e0/0/1接口
    [ ]port link-type access                                       //设置接口类型
    [ ]port default vlan 10                                        //将接口划分到VLAN10
    [ ]int e0/0/2                                                  //进入e0/0/2接口
    [ ]port link-type access                                       //设置接口类型
    [ ]port default vlan 20                                        //将接口划分到VLAN20
    [ ]int e0/0/3                                                  //进入e0/0/3接口
    [ ]port link-type access                                       //设置接口类型
    [ ]port default vlan 10                                        //将接口划分到VLAN10
    [ ]int e0/0/4                                                  //进入e0/0/4接口
    [ ]port link-type access                                       //设置接口类型
    [ ]port default vlan 20                                        //将接口划分到VLAN20
    [ ]int g0/0/1                                                  //进入g0/0/1端口
    [ ]port link-type trunk                                        //设置端口类型为trunk
    [ ]port trunk allow-pass vlan all                              //设置白名单
    

    路由器R1:

    [ ]int g0/0/0                                                  //进入接口g0/0/0
    [ ]undo shut                                                   //开启接口
    [ ]int g0/0/0.1                                                //进入子接口g0/0/0.1
    [ ]dot1q termination vid 10                                    //封装方式为802.1q,g0/0/0.1划分进vlan10
    [ ]ip add 192.168.10.1 24                                      //设置IP和掩码长度
    [ ]arp broadcast enable                                        //开启ARP广播功能
    [ ]int g0/0/0.2                                                //进入子接口g0/0/0.2
    [ ]dot1q termination vid 20                                    //封装方式为802.1q,g0/0/0.2划分进vlan20
    [ ]ip add 192. 168. 20.1 24                                    //设置IP和掩码长度
    [ ]arp broadcast enable                                        //开启ARP广播功能
    [ ]int g0/0/1                                                  //进入接口g0/0/1
    [ ]undo shut                                                   //开启接口
    [ ]ip add 12.1.1.1 24                                          //设置IP和掩码长度
    [ ]ip route-static 0.0.0.0 0 12.1.1.2                          //添加默认路由目的网段0.0.0.0 ,子网掩码长度0,下一跳入接口ip12.1.1.2
    

    路由器R2:

    [ ]int g0/0/0                                                  //进入接口g0/0/0
    [ ]undo shut                                                   //开启接口
    [ ]ip add 12.1.1.2 24                                          //设置IP和掩码长度
    [ ]int g0/0/1                                                  //进入接口g0/0/1
    [ ]undo shut                                                   //开启接口
    [ ]ip add 202.10.100.2 24                                      //设置IP和掩码长度
    [ ]ip route-static 0.0.0.0 0 12.1.1.1                          //添加默认路由目的网段0.0.0.0 ,子网掩码长度0,下一跳入接口ip12.1.1.1
    

    服务器S1:
    本机地址:202.10.100.100 子网掩码:255.255.255.0 网关:202.10.100.2

    此时四台客户机都可以访问服务器,因此继续设置:

    路由器R1:

    [ ]acl 3000                                                    //创建扩展访问控制列表,列表号为3000
    [ ]rule deny tcp source 192.168.10.10 0 destination 202.10.100.100 0 destination-port eq 21      //禁止客户机C1访问FTP服务
    [ ]rule permit tcp any destination any destination-port eq 21  //放行其他客户机访问FTP服务
    [ ]rule permit ip source any destination any    //放行其他客户机的网络流量
    [ ]dis this                                                    //执行
    [ ]int g0/0/0.1                                                //进入子接口g0/0/0.1
    [ ]traffic-filter inbound acl 3000                             //选择入接口上调用
    

    此时客户机C1不能访问服务器,其他客户机可以访问服务器。

    三.总结

           outbound ——出接口;inbound ——入接口
           默认ACL的每条语句的行号间隔5,所以可以插入语句:

    [ ]rule 数字 deny source IP地址  反掩码                        //拒绝某网段(子网掩码为反掩码)
    
    展开全文
  • 1.ACL访问控制列表作用 2.ACL访问控制列表工作原理 3.ACL访问控制列表处理过程原则 二、ACL访问控制列表类型 1.标准访问控制列表 2.扩展访问控制列表 三、配置实例 1.要求:用标准访问控制列表,vlan10客户机...

    目录

    一、ACL概述

    1.ACL访问控制列表作用

    2.ACL访问控制列表工作原理

    3.ACL访问控制列表处理过程原则

    二、ACL访问控制列表类型

    1.标准访问控制列表

    2.扩展访问控制列表

    三、配置实例

    1.要求:用标准访问控制列表,vlan10客户机不能访问vlan20客户机

    2.要求:用扩展访问控制列表,禁止client1客户机访问ftp服务器

    四、总结


    一、ACL概述

    1.ACL访问控制列表作用

    读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选和过滤。

    三层头部信息:源、目IP

    四层头部信息:TCP/UDP协议、源、目端口号

    2.ACL访问控制列表工作原理

    入方向:流量将要进入本地路由器,将要被本地路由器处理

    出方向:已经被本地路由器处理过,流量将离开本地路由器

     策略做好后,在入接口和出接口调用的区别:

    入接口调用的话是对本地路由器生效,出接口调用的话,对本地路由器不生效,流量将在数据发过程中的下一台路由器生效。

    3.ACL访问控制列表处理过程原则

    1. 路由条目只会被匹配一次
    2. 路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配的
    3. 路由条目在ACL访问控制列表隐含一个拒绝所有
    4. ACL访问控制列表至少要放行一条路由条目

     

    二、ACL访问控制列表类型

    1.标准访问控制列表

    • 只能基于源地址进行过滤
    • 标准访问控制列表号是2000-2999
    • 调用原则:靠近目标

    2.扩展访问控制列表

    • 可以根据源、目IP,TCP/UDP协议,源、目端口号进行过滤
    • 相比较标准访问控制列表,流量控制的更精准
    • 调用原则:靠近源

    三、配置实例

    1.要求:用标准访问控制列表,vlan10客户机不能访问vlan20客户机

    1)拓扑

    2、L2-SW1配置:

    [L2-SW1]vlan bat 10 20 //创建多个vlan
    [L2-SW1]int e0/0/1 //进入接口e0/0/1 
    [L2-SW1-Ethernet0/0/1]port link-type access //设置接口链路类型为access	
    [L2-SW1-Ethernet0/0/1]port default vlan 10 //将接口e0/0/1 划分进vlan10
    [L2-SW1-Ethernet0/0/1]int e0/0/2 //进入接口e0/0/2
    [L2-SW1-Ethernet0/0/2]port link-type access //设置接口链路类型为access	
    [L2-SW1-Ethernet0/0/2]port default vlan 20 //将接口e0/0/2 划分进vlan20
    [L2-SW1-Ethernet0/0/2]int e0/0/3 //进入接口e0/0/3
    [L2-SW1-Ethernet0/0/3]port link-type access//设置接口链路类型为access	
    [L2-SW1-Ethernet0/0/3]port default vlan 10//将接口e0/0/3 划分进vlan10
    [L2-SW1-Ethernet0/0/3]int e0/0/4 //进入接口e0/0/4
    [L2-SW1-Ethernet0/0/4]port link-type access //设置接口链路类型为access	
    [L2-SW1-Ethernet0/0/4]port default vlan 20  //将接口e0/0/4 划分进vlan20
    [L2-SW1-Ethernet0/0/4]int g0/0/1 //进入接口g0/0/1	
    [L2-SW1-GigabitEthernet0/0/1]port link-type trunk //设置接口链路类型为trunk		
    [L2-SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //设置白名单,通行所有vlan

     3、R1配置

    [R1]int g0/0/0 //进入接口g0/0/0
    [R1-GigabitEthernet0/0/0]undo shutdown //开启物理接口
    [R1-GigabitEthernet0/0/0]int g0/0/0.1 //进入子接口g0/0/0.1
    [R1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //封装方式为802.1q,接口g0/0/0.1划分进vlan10
    [R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 //设置IP地址及子网掩码长度	
    [R1-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播功能
    [R1-GigabitEthernet0/0/0.1]int g0/0/0.2//进入子接口g0/0/0.2	
    [R1-GigabitEthernet0/0/0.2]dot1q termination vid 20 //封装方式为802.1q,接口g0/0/0.2划分进vlan20
    [R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24 //设置IP地址及子网掩码长度
    [R1-GigabitEthernet0/0/0.2]arp broadcast enable //开启ARP广播功能

    4)客户机配置IP地址及子网掩码长度

    5)此时client客户机之间相互都可以ping通测试一下,到这一步单臂路由实现了不同vlan间通信

    client1:ping 192.168.20.10

    client1:ping 192.168.10.20

    client1:ping 192.168.20.20

    client2:ping 192.168.10.20

    client2:ping 192.168.20.20

    client3:ping 192.168.20.20

    6)再继续再R1上用ACL标准访问控制列表实现vlan10客户机不能访问vlan20客户机

    [R1]acl 2000 //创建标准访问控制列表,列表号为2000
    [R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255 //拒绝192.168.10.0网段的路由条目(子网掩码为反掩码)	 
    [R1-acl-basic-2000]rule permit source any //放行其他路由条目
    [R1]int g0/0/0.2 //进入子接口g0/0/0.2	
    [R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000 //选择在子接口g0/0/0.2出接口上调用列表2000

    7)测试是否成功,如果不同,则成功

     client1:ping 192.168.20.10

    client1:ping 192.168.20.20

    client3:ping 192.168.20.20

    2.要求:用扩展访问控制列表,禁止client1客户机访问ftp服务器

    1.拓扑图

    2.L2-SW2

    [L2-SW1]vlan bat 10 20 //创建多个vlan
    [L2-SW1]int e0/0/1 //进入接口e0/0/1 
    [L2-SW1-Ethernet0/0/1]port link-type access //设置接口链路类型为access	
    [L2-SW1-Ethernet0/0/1]port default vlan 10 //将接口e0/0/1 划分进vlan10
    [L2-SW1-Ethernet0/0/1]int e0/0/2 //进入接口e0/0/2
    [L2-SW1-Ethernet0/0/2]port link-type access //设置接口链路类型为access	
    [L2-SW1-Ethernet0/0/2]port default vlan 20 //将接口e0/0/2 划分进vlan20
    [L2-SW1-Ethernet0/0/2]int e0/0/3 //进入接口e0/0/3
    [L2-SW1-Ethernet0/0/3]port link-type access//设置接口链路类型为access	
    [L2-SW1-Ethernet0/0/3]port default vlan 10//将接口e0/0/3 划分进vlan10
    [L2-SW1-Ethernet0/0/3]int e0/0/4 //进入接口e0/0/4
    [L2-SW1-Ethernet0/0/4]port link-type access //设置接口链路类型为access	
    [L2-SW1-Ethernet0/0/4]port default vlan 20  //将接口e0/0/4 划分进vlan20
    [L2-SW1-Ethernet0/0/4]int g0/0/1 //进入接口g0/0/1	
    [L2-SW1-GigabitEthernet0/0/1]port link-type trunk //设置接口链路类型为trunk		
    [L2-SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //设置白名单,通行所有vlan

     3.R1配置:

    [R1]int g0/0/0 //进入接口g0/0/0
    [R1-GigabitEthernet0/0/0]undo shutdown //开启物理接口
    [R1-GigabitEthernet0/0/0]int g0/0/0.1 //进入子接口g0/0/0.1
    [R1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //封装方式为802.1q,接口g0/0/0.1划分进vlan10
    [R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 //设置IP地址及子网掩码长度	
    [R1-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播功能
    [R1-GigabitEthernet0/0/0.1]int g0/0/0.2//进入子接口g0/0/0.2	
    [R1-GigabitEthernet0/0/0.2]dot1q termination vid 20 //封装方式为802.1q,接口g0/0/0.2划分进vlan20
    [R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24 //设置IP地址及子网掩码长度
    [R1-GigabitEthernet0/0/0.2]arp broadcast enable //开启ARP广播功能
    [R1]ip route-static 202.10.10.0 24 12.1.1.2 //配置静态路由,添加目的网段 202.10.10.0,子网掩码长度,下一跳入接口12.1.1.2

    4.R2配置:

    [R2]int g0/0/0 //进入接口 g0/0/0 
    [R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24 //设置IP地址及子网掩码长度
    [R2-GigabitEthernet0/0/0]int g0/0/1 //进入接口 g0/0/1 
    [R2-GigabitEthernet0/0/1]ip add 202.10.10.2 24 //设置IP地址及子网掩码长度 	
    [R2]ip route-static 0.0.0.0 0 12.1.1.1 //设置静态路由,默认路由,下一跳入接口12.1.1.1

     5.PC配置与标准访问控制列表一样

    6.ftp服务器配置:

    端口号21,选择一个文件用于上传下载,设置后点击启动

     7.测试客户机和服务器是否能连通,能联通后继续下一步做策略

    client1:ping 202.10.10.100

    client2:ping 202.10.10.100

    client3:ping 202.10.10.100

    client4:ping 202.10.10.100

    8.R1配置:

    [R1]acl 3000//创建扩展访问列表,列表号3000
    [R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0.0.0.0 destination 202.10.10.100 0.0.0.0 destination-port eq 21
    //禁止client访问ftp服务器	
    [R1-acl-adv-3000]rule permit tcp source any destination any destination-port eq 21
    //放行其他客户机访问ftp服务器
    [R1-acl-adv-3000]rule permit ip source any destination any //放行其他客户机网络流量
    [R1]int g0/0/0.1 //进入接口g0/0/0.1	
    [R1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000 //选择在入接口上调用列表3000

    9.此时在让client1去ping服务器,是ping不通的,也不可以上传和下载文件

    client1:ping   202.10.10.100

    四、总结

    • 路由条目在ACL访问控制列表隐含一个拒绝所有
    • 标准访问控制列表调用原则靠近目标,扩展访问列表调用原则靠近源
    展开全文
  • ACL访问控制列表实验报告

    千次阅读 2021-12-25 17:28:25
    ACL,是Access Control ... ACL访问控制列表分为两种:标准列表(只关注源ip地址。),扩展列表(关注源及目标ip地址,同时关注端口号,协议号。)以下为实验需求: 首先搭建网络,利用静态路由协议搭建起...

             ACL,是Access Control List的简写,中文名称叫做“访问控制列表”。它是由一系列条件规则(即描述报文匹配条件的判断语句)组成, 这些条件规则可以是报文的源地址、目的地址、端口号等,是一种应用在网络设备各种软硬接口上的的指令列表。其主要功能为过滤及分类。 

     

             ACL访问控制列表分为两种:标准列表(只关注源ip地址。),扩展列表(关注源及目标ip地址,同时关注端口号,协议号。)以下为实验需求:

           首先搭建网络,利用静态路由协议搭建起此网络。(注:由于eNSP的pc模拟器不支持telnet远程控制访问,所以我们选择使用路由器(PC1,PC2)代替pc完成实验。只需给PC1,PC2配置一条缺省路由去R1即可。)ip地址规划如下图所示。

           在使用ACL之前,我们需要首先配置telnet,按照实验需求在R1密令行上输入以下指令:

    [R1]aaa   进入aaa服务

    [R1-aaa]local-user wangcai privilege level 15 password cipher 12345  告知用户名及密码

    [R1-aaa]local-user wangcai service-type telnet

    [R1]user-interface vty 0 

    [R1-ui-vty0]authentication-mode aaa

           同理,以以上密令配置R2。

           现在分析需求(1)PC2不能telnetR1(2)PC1不能pingR1(3)PC2不能pingR2,(4)PC1不能telnetR2

           有上述信息可以看出,我们要有目标性的干掉流量,所以选择使用扩展列表。Ping测试命令属于ICMP协议(internet控制管理协议)拒绝该协议即拒绝ping。Telnet 基于TCP目标端口号23工作,拒绝该端口即拒绝telnet。

           扩展列表需要选择离源流量较近的接口,因此我们选择R1的g0/0/0,我们在路由器输入以下密令:

    [R1]acl 3000  创建acl访问控制列表,编号2000-2999为标准列表;3000-3999为扩展列表。

    R1-acl-adv-3000]rule deny icmp source 192.168.2.1 0 destination 192.168.1.1 0

    [R1-acl-adv-3000]rule deny icmp source 192.168.2.1 0 destination 192.168.2.3 0 创建规则,PC1不可以对R1进行icmp协议,即不可以进行ping

    [R1-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.1.1 0 destination-port eq 23

    [R1-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.2.3 0 destination-port eq 23 创建规则,PC2不可以通过23号端口进行远程控制访问R1。

    [R1-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination 192.168.1.2 0 destination-port eq 23    同上,配置R2的进入规则

    [R1-acl-adv-3000]rule deny icmp source 192.168.2.2 0 destination 192.168.1.2 0

    [R1-acl-adv-3000]q

    [R1]int g0/0/0

    [R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000  进入使用接口,启用acl3000协议

            我们打开PC1尝试ping R1并不会通,结果如下。同理PC2 Ping R2 也不会通。

           接着我们尝试使用PC2对 R1进行远程访问,结果如下图,显示尝试失败,PC1对R2也是如此。

           现在我们尝试一次正确的telnet访问,使用PC1 telnet R1,密令行显示如下:

    <PC1>telnet 192.168.2.3
      Press CTRL_] to quit telnet mode
      Trying 192.168.2.3 ...
      Connected to 192.168.2.3 ...

    Login authentication

    Username:wangcai

    Password:                       密码为盲打,不会显示

    <R1>

            当出现<R1>字样时,说明PC1已经成功连接R1,并且可以远程配置R1。telnet成功,使用PC2 telnet R2时也是如此。此时使用PC1,PC2分别ping R2,R1也会成功。此时实验需求全部达成,ACL访问控制列表生效,实验完成。

    展开全文
  • ACL 访问控制列表综合实验

    千次阅读 2020-10-15 14:44:30
    文章目录实验拓扑实验要求:实验步骤配置VLAN配置...3. 设置单臂路由,使得PC1,PC2能够访问外网 4. 设置ACL规则,实现如下要求 a. PC1可以ping通PC3,但是不能ping通server 1 b. PC2可以ping通server1,但是不能pin
  • ACL访问控制列表·ppt

    2022-04-30 16:16:41
    ACL访问控制列表·ppt
  • 本文将介绍如何配置H3C交换机典型(ACL访问控制列表,需要的朋友可以参考下
  • 路由与交换技术实验指导实验三、ACL访问控制列表配置
  • ACL访问控制列表及命令配置

    千次阅读 2021-01-15 11:14:35
    ACL访问控制列表及命令配置一、访问控制列表(一)概述(二)ACL的作用(三)acl种类(四)acl的应用原则(五)acl应用规则二、配置命令路由器配置 一、访问控制列表 (一)概述 1.读取第三层、第四层包头信息 根据...
  • ACL访问控制列表的原理及过程一. ACL访问控制列表1. ACL的工作原理2.ACL两种作用3. ACL的的类型4.ACL(访问控制列表)的应用原则二. ACL的配置 一. ACL访问控制列表 读取第三层,第四层包头信息 根据预先定义好的规则...
  • ACL访问控制列表基本> 实验工具:ENSP 第一步:如下图拓扑 第二步:配置PC的IP地址 第三步:配置路由器接口IP地址 /* 配置路由器0/0/0、0/0/1接口 */ 第四步:测试网络连通性 <全部可达> 使用-t...
  • ensp配置ACL访问控制列表

    千次阅读 2022-05-04 16:15:03
    通过实验掌握基于ensp配置ACL访问控制列表 实验要求 要求仅允许财务部client1访问财务系统服务器(Server)前端网站; 财务系统服务器(Server)仅在内网使用,不允许访问外部网络; 测试计算机、路由器的IP和...
  • 网络ACL访问控制列表

    2020-07-29 17:07:34
    目录一、ACL概述1、acl的作用二、ACL工作原理1、原理2、处理过程三、ACL分类1、标准访问控制列表2、扩展访问控制列表3、命名访问控制列表四、ensp中ACL的配置试验以下实验帮助理解ACL实验拓扑图实验需求实验分析实验...
  • ACL 访问控制列表

    2021-03-17 11:26:20
    访问控制列表2.ACL 的匹配和不匹配2.ACL 的分类三、ACL 的实现方式1.确定部署位置2.匹配对应流量通配符掩码3.决定调用方向4.查看及测试5.匹配规则四、高级ACL1.基本访问控制列表2.高级访问控制列表3.高级ACL配置 一...
  • ACL--访问控制列表 作用: 三层头部信息: 四层头部信息: 访问控制列表的调用的方向: 访问控制列表的处理原则: 访问控制列表的处理过程 访问控制列表类型: 1.标准访问控制列表 2.扩展访问控制列表 AR路由器...
  • 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。 不知道你们有没有发现,在网络互通性越来越强的情况下,一个局域网内的每一处地方都是可以...
  • ACL访问控制列表理论+实验

    千次阅读 2020-07-29 11:11:20
    访问控制列表(Access Control List,简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能,在现实中应用广泛。ACL根据功能的不同分为标准...
  • 访问控制列表 ACL:Access Control List 实现灵活的权限管理 除了文件的所有者,所属组和其他人,可以对更多的用户设置权限 CentOS7默认创建的xfs和ext4文件系统具有ACL功能 CentOS7之前版本,默认手工创建的ext4...
  • ACL、NATACL(访问控制列表)ACL作用ACL工作原理ACL种类ACL应用原则ACL应用规则NAT(网络地址转换)NAT的工作原理NAT功能优点缺点静态NAT动态NATPAT端口多路复用PAT作用PAT类型 ACL(访问控制列表) 读取第三层、第四层...
  • 访问控制列表ACL) 读取第三层,第四层包头信息(IP包头、TCP包头) IP包头:源地址,目的地址 TCP包头:源端口,目的端口 根据预先定义好的规则对包进行过滤 接口应用的方向 出:已经过路由器的处理,正离开...
  • 华为ENSP——ACL访问控制列表

    千次阅读 2020-08-01 11:24:33
    3、配置扩展访问控制列表,使AR1不能访问ftp服务器,但其他流量不受影响 实验分析: 1、实现全网互通: 要实现全网互通就应该对SW1、AR1、AR3进行正确配置,第一步要在SW1中创建VLAN10与20,并分别将E0/0/1至0/0/4...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 40,219
精华内容 16,087
关键字:

acl访问控制列表