精华内容
下载资源
问答
  • ACL

    2021-04-19 21:49:28
    ACL 访问控制列表 一、产生背景 二、ACL概念 以及如何实现 1. 根据不同的规则 对数据包进行分类 对不同类型报文进行处理 实现对网络行为的控制,限制...*高级 3000-3999 源目IP地址,源目端口号 *二层 4000-4999

    ACL 访问控制列表

    一、产生背景

    在这里插入图片描述

    二、ACL概念 以及如何实现

    1. 根据不同的规则

    对数据包进行分类
    对不同类型报文进行处理
    实现对网络行为的控制,限制网络流量

    2.匹配和不匹配

    针对某个网段的数据流量进行操作,匹配上了就执行,没有匹配上,就不执行控制列表内的内容
    ACL的对数据执行的动作 :允许/拒绝—> 针对与流量

    3.ACL的分类

    *基本 2000-2999 基于源IP地址的控制
    *高级 3000-3999 源目IP地址,源目端口号
    *二层 4000-4999 基于源目MAC地址,以太网帧类型

    4.ACL如何实现

    a.确定部署位置
    部署在流量的必经之路上
    靠近源部署
    集中化部署 —> 尽量少 而精细的部署ACL规则
    路由器无法控制来源于自身的数据包
    b.匹配对应的流量
    考虑对流量的 允许 / 拒绝
    考虑 匹配到的网段/主机的IP地址
    0,表示 ACL在检查数据流量的时候, 0对应的位 要 检查
    1,对应的位则不关心
    c.决定调用的方向 ---->ACL的掉用 一定在接口上调用的
    in/ out 针对与 流量 进入 出 路由器的 行为
    观察流量 流经 接口的方式
    *inbound 方向上调用,先调用ACL,在进行路由转发(对于未匹配上的流量,或者 拒绝的流量,则不进行路由转发)
    *outbound 方向上调用,先路由转发,在调用ACL (如果路由器根据路由表 找到数据的逃出接口,则在逃出接口上进行ACL的匹配)
    d.测试
    查看ACL的条目
    查看ACL部署在哪一个接口上,
    查看部署的方向 in out

    5.ACL的匹配规则

    *按序匹配 从上到下依次匹配,匹配立即停止(命中即生效)
    *黑白名单 白名单模式,只有匹配上的流量才能进行 permit/deny的操作,
    *隐式拒绝 一个ACL启用,在不做任何配置的情况下,默认不允许任何数据通过
    tips: ACL最后的规则要设置一个允许所有的流量通过

    三、实验

    只允许PC1访问PC4
    在这里插入图片描述
    在这里插入图片描述高级ACL
    在这里插入图片描述
    在这里插入图片描述

    展开全文
  • acl allowed_src src 1.1.1.1 acl allowed_dstdomain dstdomain baidu.com http_access allow allowed_src allowed_dstdomain http_access deny allowed_src 这样就能实现,仅允许1.1.1.1访问baidu.com

    acl allowed_src src 1.1.1.1
    acl allowed_dstdomain dstdomain baidu.com

    http_access allow allowed_src allowed_dstdomain
    http_access deny allowed_src

    这样就能实现,仅允许1.1.1.1访问baidu.com

    展开全文
  • ACL实验-高级ACL

    千次阅读 2019-12-18 12:26:12
    一、每一个acl都需要分配一个编号,成为acl编号,基本acl:2000-2999,高级acl:3000-3999,二层acl:4000-4999,用户自定义acl:5000-... 基本acl:只能基于IP保温的IP地址来定义规则。 rule 10 deny/permit ...

     一、每一个acl都需要分配一个编号,成为acl编号,基本acl:2000-2999,高级acl:3000-3999,二层acl:4000-4999,用户自定义acl:5000-5999。一个acl的每一个规则有相应的编号,规则编号按照:10,20,30,40...

            基本acl:只能基于IP保温的源IP地址来定义规则。

           rule 10 deny/permit source 具体的IP地址 反掩码

         ACL进入接口使用,traffic-filter outbound/inbound acl 2000(将ACL应用在接口上)

           高级ACL:可以根据源IP地址,IP报文目的地址,IP报文的优先级,TCP报文的源端口号,目的端口号,UDP报文的源端口号,目的端口号等。

    二、本题运用高级ACL实现。

          首先说一下FTP,WWW服务器的配置和使用:

     

    在不做任何配置的情况下,CILENT是可以访问FTP和WWW的。

     

    要实现客户1不能对服务器1进行FTP访问,客户2不能对服务器2进行www访问。则需要在路由器上配置ACL实现。

    [AR1]acl 3000
    [AR1-acl-adv-3000]rule 10 deny tcp source 192.168.1.1 0 destination 172.16.10.1 
    0 destination-port eq 21(阻止1.1的访问IP地址为172.16.1.1端口为21的TCP报文)
    [AR1-acl-adv-3000]rule 20 deny tcp source 192.168.1.2 0 destination 172.16.10.2 0
    destination-port eq 80

    [AR1-acl-adv-3000]int g0/0/0
    [AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000(把ACL3000应用在入端口上)

    [AR1]acl 2000
    [AR1-acl-basic-2000]rule deny source 192.168.1.0 0.0.254.255(来自192.168.1.0/24P地址为奇数的主机不能访问服务器)
    [AR1-acl-basic-2000]int g0/0/1
    [AR1-GigabitEthernet0/0/1]traffic-filter inbound 2000

    解释:192.168.1.0网段奇数网段有:192.168.1.1、192.168.1.3、 192.168.1.5、 192.168.1.7 等,写成二进制前16位相同,第17-24位分别为:00000001,00000011,000000101,000000111,可以发现第24位都为1,故反掩码只需要第24位为0即可,故为:11111110,因此想要奇数网段通过只需要把反掩码设置为:0.0.254.255即可。

    对客户1ping包抓包:

     

     

     

    展开全文
  • acl

    2016-06-27 11:04:59
    什么是访问列表: 访问列表是用来对数据包进行分类的工具,可以用它...例如:IP地址、目的IP地址、端口号、目的端口号,协议 路由器对自己产生的包不作过滤 访问列表的分类: 1、标准访问列表  
    什么是访问列表:
    
    访问列表是用来对数据包进行分类的工具,可以用它来帮助控制网络流量。


    1、可以允许或拒绝数据包通过路由器
    2、可以允许或拒绝telnet访问路由器


    访问列表可根据多种条件来对网络流量进行分类。例如:源IP地址、目的IP地址、源端口号、目的端口号,协议


    路由器对自己产生的包不作过滤


    访问列表的分类:


    1、标准访问列表    
       只能基于源IP地址来进行分类
       可以使用列表号:1-99、1300-1999
    2、扩展访问列表
       可以根据源IP地址、目的IP地址、源端口号、目的端口号,协议来进行分类
       可以使用列表号:100-199、2000-2699
    3、命名的访问列表
       只是将标准访问列表或扩展访问列表取个名字
       优点:可以对访问列表进行增加、删除操作。


    访问列表的比较规则:
    1、如果一个访问列表有多行语句,通常按顺序从第一条开始比较,然后再往下一条条比较。
    2、一个数据包如果与访问列表的一行匹配,则按规定进行操作,不再进行后续的比较。
    3、在每个访问列表的最后一行是隐含的deny any语句--意味着如果数据包与所有行都不配的话,将被丢弃。


    访问列表的配置规则:
    1、你在访问列表中可以写多条比较语句,它们是按你输入的顺序来进行放置的。
    2、在标准访问列表扩展访问列表中,你不能单独删除其中的一行,只能删除整个列表。
    3、每个列表应当至少有一个permit语句,否则将拒绝所有流量。
    4、访问列表可以用在接口的出方向,也可以用在入方向,但是要注意,在一个接口在一个方向上只能有一个访问列表。
    5、访问列表只以过滤通过路由器的流量,对自已产生的流量不起作用。
    6、将标准访问列表要尽可能放置在靠近目的地址的地方
    7、将扩展访问列表要尽量放置在靠近源地址的地方


    标准访问列表的定义:


    定义:
    router(config)#access-list 10 permit 172.16.0.0 0.0.255.255


    router(config)#access-list 20 deny 192.168.1.0 0.0.0.255
    router(config)#access-list 20 permit any


    router(config)#access-list 30 deny host 192.168.1.1


    注意:在访问列表的最后默认定义了一条deny any any 语句


    扩展访问列表的定义:


    router(config)#access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255


    router(config)#access-list 110 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet


    命名访问列表的定义:


    router(config)#ip access-list standard WOLF
    router(config-std-nacl)#permit 172.16.0.0 0.0.255.255


    访问列表的调用:


    在接口下使用:
    router(config-if)#access-group 10 in
    router(config-if)#access-group 10 out


    标准访问列表要放在靠近目的的地方,扩展访问列表要放在靠近源的地方. 


    在进程下使用:


    R1(config)#access-list 10 deny 192.168.1.0 0.0.0.0
    R1(config)#access-list 10 permit any
    R1(config)#router eigrp 90
    R1(config-router)#distribute-list 10 out s1  (在路由过滤器中,distribute-list 过滤特定路由,distance  操作路由的管理距离。
       ipv4 distribute-list参照  访问控制列表 acl 
       ipv6 distribute-list 参照   前缀列表 prefix-list , 
      在prefix-list 中 ,ge 表示 大于或 等于 ; le 表示小于或等于)


    在VTY下使用:


    R1(config)#access-list 10 permit 192.168.1.1
    R1(config)#line vty 0 4
    R1(config-line)#access-class 10 in


    查看命令:
    show ip access-list 
    show ip interface   




    ACL可在VTY下调用,但只能用标准列表
    Access-list 100 permit tcp host 1.1.1.1 host 3.3.3.3 eq telnet  只允许1.1.1.1能够telnet到3.3.3.3上去
    Access-list 100 permit ospf any any  


    Access-list 100 permit tcp host 1.1.1.1 eq telnet host 3.3.3.3  只允许1.1.1.1的23端口访问3.3.3.3的任意端口


    Line vty 0 4
    Access-class 10 in  在VTY接口下调用,作用同上,  但要注意只能用标准列表,不能用扩展列表,用扩展列表不起作用。
    Access-list 10 permit 1.1.1.1


    telnet 3.3.3.3 /source interface lo0




    动态ACL   dynamic ACL


    思路:让主机先在网关服务器认证,才能出去
    在服务器上先允许主机登录网关服务器,通过认证后,动态生成一条允许主机通过的ACL


     


    1、设主机名和密码
    R1:
    username cisco password cisco  


    2、定义命名访问列表并在入口调用
    R1:
    ip access-list extended WOLF  
      permit tcp host 12.1.1.2 host 12.1.1.1 eq telnet


    int s1/0
      ip access-group WOLF in


    3、在VTY线程下启用本地数据库认证
    R1:
    line vty 0 4   
      login local


    4、添加动态列表
    R1:
    ip access-list extenede WOLF
          dynamic gz permit ip any any


          dynamic gx timeout 5 permit ip any any 作用同上,注意这里的5分钟是绝对时间,表示你只能上5分钟


    5、line vty 0 4   在line下调用
          autocommand access-enable host timeout 1  这里的1分钟是相对时间,只要在1分钟内有联系就不会断开,不加这一时间表示不超时
           
    R1#access-enable host timeout 1 在特权模式下调用


    在R2上先telnetR1,通过认证以后,R2就可以访问R1了。


    时间访问列表:


    使用基于时间的访问列表,可以根据一天中的不同时间,或者一周中的某天,或者两者结合,来控制对网络资源的访问。


    第一步:定义时间段名字
    R1(config)#time-range NP    定义一个名字


    第二步:定义时间段


    设定绝对时间:
    R1(config-time-range)#absolute start 8:00 1 jan 2008 end 15:00 2 feb 2008 
     
    设定周期时间:
    R1(config-time-range)#periodic sunday 12:00 to 23:00   只在星期日上午允许
    R1(config-time-range)#periodic daily 8:00 to 12:00   一周中每天上午允许


    几个主要参数:
    Daily--从星期一到星期日
    Weekday--从星期一到星期五
    Weekend--从星期六到星期日


    注意:一个time-range下只能有一个absolute语句,但可以有多条periodic语句,如果在一个time-range下即有absolute语句,又有periodic语句,则先匹配absolute语句。


    第三步:调用
    access-list 100 permit ip any any time-range NP 


    例子:在2008年1月1日到2008年12月31日的周末开启允许
    time-range NP
      absolute start 8:00 1 jan 2008 end 24:00 31 dec 2008
      periodic weekends 8:00 to 24:00


    自反访问列表:
    自反访问列表在路由器的接口下创建IP流量的动态开启放行ACL条目,这些开启表项的创建是基于源于设备的可信方的会话进行的,在自反访问列表中的每个语句,当语句中的条件得到满足时,就会在已存在的访问表中创建一个镜像表项。


    临时表项的特点:
    1、表项总是一个permit表项
    2、表项所指定的协议与原来向外报文的协议相同
    3、新的表项互换了源目IP地址
    4、新的表项互换了源目端口号
    5、表项会一直存在,直到会话结束(TCP)或者time-out值到时(UDP)才会被删除
    6、当会话的最后一个报文流过接口时,表项就到期。(对TCP而言)


    注意:自反访问列表直能和命名的扩展访问列表结合使用


    例:


    ip access-list extended IN
      evaluate ZF


    ip access-list extended OUT
      permit tcp host 172.16.1.1 any eq telnet reflect ZF
      permit tcp host 172.16.1.1 any eq www reflect ZF timeout 180


    ip reflexive-list timeout 300




    Establish ACL
    允许ACK/SYN=1的TCP报文通过,通常用于只允许内部的主机向外部发起TCP连接,不允许外部的主机向本网发起TCP连接
    Ip access-list extended 100
       5 permit tcp host 3.3.3.3 eq telnet host 12.1.1.2 establish 注意这条语句的方向性,允许源的23端口访问我的任意端口,但ASK必须置位
       10 deny ip any any
    注意在外网的入口上调用这一列表

    展开全文
  • ACL基础

    2021-04-13 22:12:02
    目录一、ACL基础知识1、概述2、应用3、种类4、ACL匹配顺序二、实验...●匹配IP流量(可基于IP地址、 协议类型、端口号等元素) ●在Traffic-filter中被调用 ●在IPSec VPN中被调用 3、种类 Basic ACL(华为设备)基
  • ACL讲解

    2021-04-13 13:51:19
    基本原理:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址,目的地址,端口,目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。 ACL通过在路由器...
  • ACL访问控制列表

    2019-04-28 23:08:00
    2.扩展ACL:检查数据协议、源目IP地址(上层协议) 写法: 1.编号 1-99为标准ACL 100-199为扩展ACL 匹配规则 从上到下依次匹配,一旦匹配不再向下查询,末尾隐藏拒绝所有 当列表中的所有...
  • ACL的配置

    千次阅读 2020-01-28 15:55:44
    ACL 访问控制列表 一、Cisco: 作用: 1.访问控制—在路由器流量的进或出接口上,匹配流量;之后对流量进行动作,拒绝或允许; 2.定义感兴趣流量—为其他...扩展ACL:关注数据包中的、目标IP地址,协议号、...
  • ACL原理

    2019-05-24 09:37:00
    ACL中的条件,既可以是数据包的地址,也 可以是目的地址,还可以是上层协议或其他因素。ACL的主要功能: 限制网络流量,提高网络性能,提供对通信流量的控制手段 ,提供网络访问的基本安全手段 ,在路由器接口处,...
  • ACL

    2021-04-13 17:24:48
    文章目录ACLACL配置实验 ACL 概述: ACL配置实验 实验要求: SW3: Please press enter to start cmd line! <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]sys SW1 [SW1] Apr 13 ...
  • ACL实验

    2019-11-12 22:58:01
    #ACL实验 ##一、ACL 1、基本概念 ACL:Access Control List,访问控制列表 1)作用: 实现访问控制 抓取感兴趣流量供其他技术调用 2) 工作原理:通过在路由器上手工定义一张ACL列表,表中包含有多种访问规则,...
  • ACL详解

    千次阅读 2019-10-23 14:31:57
    ACL概述 ACL(Access Control List)访问控制列表,主要用于过滤网络中的流量,是控制访问的一种技术手段。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,应用在端口上,根据预先设定的策略,对...
  • ACL协议

    千次阅读 2019-11-13 15:17:21
    1.什么是ACL协议 ACL全称:access control list ,访问控制列表 作用: 1.实现访问控制 2.抓取感兴趣流量供其他技术调用 工作原理: 通过在路由器上手工定义一张ACL列表,表中包含有多种访问规则,然后将此表调用在...
  • ftp服务器端口我改成了1010 client1访问Server2过程中数据包五元组的变化抓包验证: 在第一阶段 地址为客户端IP,端口为随机端口,目的地址是服务器发布的地址,目的端口为服务器发布的端口 第二阶段 地址为...
  • 配置标准ACL 1.1 问题 络调通后,保证网络是通畅的。同时也很可能出现未经授权的非法访问。企业网络既要解决连连通的问题,还要解决网络安全的问题。 配置标准ACL实现拒绝PC1(IP地址为192.168.1.1)对外问网络...
  • ACL11.12

    2019-11-14 16:56:45
    通过在路由器上手工定义一张ACL列表,表中包含多种访问规则,然后将此表调用在某个路由器的某个接口,让路由器对收到的流量基于表中规则执行动作—允许,拒绝。 ACL 匹配规则;至上而下按照顺序依次匹配,一旦匹配中...
  • ACL 1. 技术特性 ACL介绍: 访问控制列表(Access Control Lists,ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层...
  • ACL 访问控制列表

    2021-04-20 17:03:54
    ACL 访问控制列表 一、产生背景 二、ACL概念 以及如何实现 1. 根据不同的规则 对数据包进行分类 对不同类型报文进行处理 实现对网络行为的控制,限制... *高级 3000-3999 源目IP地址,源目端口号 二层 4000-499
  • ACL和NAT的作用

    2020-09-28 11:40:03
    ACL和NAT的作用ACL分类ACL作用ACL规则使用规则执行规则ACL应用访问控制列表在接口应用的方向:ACL规则按...扩展ACL:能过滤/IP、/端口号 ACL规则 使用规则 1、定义列表内容 2、调用接口/进程 执行规则 顺序执行

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,567
精华内容 626
关键字:

acl源目