精华内容
下载资源
问答
  • 思科|华为:ACL基本命令配置
    千次阅读
    2020-12-30 05:42:44

    ACL(Access Control List):访问控制列表,它主要通过读取第三、四层的包头信息,再通过预定义好的规则进行匹配过滤,以达到访问控制的目的。大部分的路由交换系统中都集成了ACL功能。以下分别以思科和华为设备为例记录简单的ACL基础知识及命令配置。

    #思科

    ACL的分类:

    1.标准访问控制列表

    表号:1-99

    特点:基于源IP来进行匹配过滤

    2.扩展访问控制列表

    表号:100-199

    特点:基于源IP、目的IP、端口号、协议类型进行匹配过滤

    3.命名访问控制列表

    表号:无

    特点:利用名称来定义ACL条目,使条目的含义看上去更直观,淡化了标准和扩展的界限

    ACL的规则:

    1.ACL匹配顺序是至上而下

    2.ACL在应用中应把具体的条目放在最前面

    3.一张ACL表中至少要有一条Permit

    4.标准ACL应放在离目的地近的地方、扩展ACL放在离源近的地方

    5.标准ACL和扩展ACL删除条目时、不能单独删除某一个条目,只能针对整张表进行删除

    6.每一个接口的一个方向上只能应用一张ACL

    7.ACL配置完成后需要调用才能生效,可以直接在接口下,也可以配合路由映射图

    8.每张ACL中都有一条隐含Deny

    ACL的简单配置命令:

    Router(config)#access-list 1 permit 12.1.1.2 0.0.0.0

    Router(config)#access-list 100 permit tcp host 12.1.1.2 host 34.1.1.4 eq telnet

    Router(config-if)#ip access-group 1 out

    Router(config)#route-map acl permit 10

    Router(config-route-map)#match ip address 1

    #华为

    ACL分类:

    [acl]acl number ?

    INTEGER<2000-2999> Basic access-list(add to current using rules)

    INTEGER<3000-3999> Advanced access-list(add to current using rules)

    INTEGER<4000-4999> Specify a L2 acl group

    INTEGER<5000-5999> User defined access-list

    1.基本访问控制列表

    表号:2000-2999

    2.高级访问控制列表

    表号:3000-3999

    3.二层访问控制列表

    表号:4000-49999

    4.自定义访问控制列表

    表号:5000-59999

    基本访问控制列表配置如下:

    [acl]acl number 2100

    [acl-acl-basic-2100]rule 10 permit source 12.1.1.1 0 //默认rule id的布进是5

    高级访问控制列表配置如下:

    [acl]acl number 3010

    [acl-acl-adv-3010]rule deny tcp source 12.1.1.1 0 destination 34.1.1.2 0 destination-port eq 23

    [acl-acl-adv-3010]rule permit tcp source 23.1.1.1 0 destination 34.1.1.2 0 destination-port eq 23

    [acl-acl-adv-3010]quit

    [acl]dis current-configuration

    #

    acl number 2100

    rule 10 permit source 12.1.1.1 0

    #

    acl number 3010

    rule 5 deny tcp source 12.1.1.1 0 destination 34.1.1.2 0 destination-port eq te

    lnet

    rule 10 permit tcp source 23.1.1.1 0 destination 34.1.1.2 0 destination-port eq

    telnet

    #

    原文链接:http://www.wblog.me/97.html

    更多相关内容
  • 思科高级配置(配置扩展ACL)

    千次阅读 2019-05-16 09:04:02
    1)配置扩展ACL实现拒绝PC2(IP地址为192.168.0.20)访问Web Server的web服务,但可访问其他服务。 方案 为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。 扩展IP访问控制列表比标准IP访问控...

    问题
    在网络中很有可能要允许或拒绝的并不是某一个源IP地址,而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。
    1)配置扩展ACL实现拒绝PC2(IP地址为192.168.0.20)访问Web Server的web服务,但可访问其他服务。
    方案
    为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。
    扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。
    网络拓扑如图所示:
    在这里插入图片描述
    步骤
    实现此案例需要按照如下步骤进行。

    步骤一:将1配置标准ACL中的标准访问控制列表移除,其他配置保留
    

    tarena-R2(config)#interface f0/1
    tarena-R2(config-if)#no ip access-group 1 out
    tarena-R2(config)#no access-list 1

    步骤二:在PC1和PC2上验证到Web Server的HTTP协议访问,如图3和图-4所示:
    

    在这里插入图片描述

    在这里插入图片描述
    在没有配置扩展ACL的时候,两台主机均可以正常访问到Web Server。

    步骤三:R1上配置扩展访问控制列表,仅拒绝PC2到Web Server的HTTP访问
    

    扩展ACL可以对数据包中的源、目标IP地址以及端口号进行检查,所以可以将该ACL放置在通信路径中的任一位置。但是,如果放到离目标近的地方,每台路由器都要对数据进行处理,会更多的消耗路由器和带宽资源。放到离源最近的路由器端口入方向直接就将拒绝数据丢弃,可以减少其他路由器的资源占用以及带宽占用。
    tarena-R1(config)#access-list 100 deny tcp host 192.168.0.20 host 192.168.2.100 eq www
    tarena-R1(config)#access-list 100 permit ip any any
    tarena-R1(config)#interface f0/0
    tarena-R1(config-if)#ip access-group 101 in

    步骤四:在PC1上验证
    

    PC>ipconfig
    FastEthernet0 Connection:(default port)
    Link-local IPv6 Address…: FE80::2E0:F7FF:FED6:54CC
    IP Address…: 192.168.0.10
    Subnet Mask…: 255.255.255.0
    Default Gateway…: 192.168.0.1
    PC>ping 192.168.2.100
    Pinging 192.168.2.100 with 32 bytes of data:
    Reply from 192.168.2.100: bytes=32 time=1ms TTL=126
    Reply from 192.168.2.100: bytes=32 time=0ms TTL=126
    Reply from 192.168.2.100: bytes=32 time=0ms TTL=126
    Reply from 192.168.2.100: bytes=32 time=0ms TTL=126
    Ping statistics for 192.168.2.100:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 1ms, Average = 0ms
    PC>
    HTTP协议的验证如图所示:

    在这里插入图片描述

    从输入结果可以验证,PC1到Web Server的访问没有受到任何影响。

    步骤五:在PC2上进行验证
    

    PC>ipconfig
    FastEthernet0 Connection:(default port)
    Link-local IPv6 Address…: FE80::2D0:BAFF:FE98:9E29
    IP Address…: 192.168.0.20
    Subnet Mask…: 255.255.255.0
    Default Gateway…: 192.168.0.1
    PC>ping 192.168.2.100
    Pinging 192.168.2.100 with 32 bytes of data:
    Reply from 192.168.2.100: bytes=32 time=1ms TTL=126
    Reply from 192.168.2.100: bytes=32 time=1ms TTL=126
    Reply from 192.168.2.100: bytes=32 time=2ms TTL=126
    Reply from 192.168.2.100: bytes=32 time=0ms TTL=126
    Ping statistics for 192.168.2.100:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 2ms, Average = 1ms
    PC>
    HTTP协议的验证,如图所示:

    在这里插入图片描述
    因为只限制了到Web Server的HTTP访问,所以WEB服务已经无法访问,但是仍然可以ping通。

    步骤六:在R1上查看相关的ACL信息
    

    tarena-R1#show ip access-lists
    Extended IP access list 100
    deny tcp host 192.168.0.20 host 192.168.2.100 eq www (30 match(es))
    permit ip any any (5 match(es))
    路由器的输出表明了拒绝了30个来自PC1到Web Server的HTTP访问包。

    展开全文
  • ACL详解 Cisco

    2020-05-25 00:30:22
    访问控制列表简称为ACL: 访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术...

    访问控制列表简称为ACL:

           访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了

    访问控制列表的原理:

           对路由器接口来说有两个方向:
           出:已经经路由器的处理,正离开路由器接口的数据包
           入:已经到达路由器接口的数据包,将被路由器处理
           匹配顺序为:“自上而下,依次匹配”,默认为拒绝

    访问控制列表的类型:


           标准访问控制列表:一般应用在out出站接口,建议配置在离目标端最近的路由上
           扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向
           命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号

    访问控制列表使用原则:


           1:最小特权原则:只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的
           2:最靠近受控对象原则:所有的网络层访问权限控制,也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句
           3:默认丢弃原则:在CISCO路由交换设备中默认最后一句为ACL中加入了deny any any,也就是丢弃所有不符合条件的数据包,这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视

           由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等,因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用

    一:标准访问列表

           访问控制列表ACL分很多种,不同场合应用不同种类的ACL,其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL
          它的具体格式:
          access-list access-list-number [permit|deny] [sourceaddress][wildcard-mask]
          access-list-number 为1-99 或者 1300-1999之间的数字,这个是访问列表号
          例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃
          当然我们也可以用网段来表示,对某个网段进行过滤,命令如下:access-list 10 deny 192.168.1.0 0.0.0.255
          通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃,为什么后头的子网掩码表示的是0.0.0.255呢?这是         因为cisco规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0
          提示:对于标准访问控制列表来说,默认的命令是host,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令
          标准访问列表配置实例:
          r1(config)#access-list 10 deny 192.168.2.0 0.0.0.255
          r1(config)#access-list 10 permit any
          r1(config)#int f0/0
          r1(config-subif)#ip access-group 10 out
         上面配置的含义是阻止来自网段192.168.2.0的机器从int f0/0端口出去,访问列表在配置好之后,要把它在端口上应用,否则配置了还是无效的
         注意事项:
         1、标准访问列表,一般来说配置尽量靠近目的端
         2、配置的第二条命令中的any相当于 0.0.0.0 255.255.255.255
         3、一定要加pemint any,使其他的网络可通
         4、访问列表是从上到下一条一条进行匹配的,所以在设置访问列表的时候要注意顺序,如果从第一条匹配到最后一条还是不知道要怎么做,路由器就会丢弃这个数据包,也就是为什么上面的例子中上一定要加permit any
         5、如果只阻止一个主机,那可以用 host 192.168.1.12 或者 192.168.1.12 0.0.0.0,这两种配置是等价的
         删除已建立的标准ACL
         r1(config)#no access-list access-list-number
         对标准的ACL来说,不能删除单个ACL语句,只能删除整个ACL
        总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式,应用比较广泛,经常在要求控制级别较低的情况下使用,如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求

    二:扩展访问控制列表


          上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL,那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤,这时候就需要使用扩展访问控制列表了,使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP),扩展访问控制列表使用的ACL号为100到199
          扩展访问控制列表的格式:
    access-list access-list-number {permit/deny} protocol +源地址+反码 +目标地址+反码+operator operan(It小于,gt大于,eq等于,neq不等于;具体可?)+端口号
          1、扩展访问控制列表号的范围是100-199或者2000-2699
          2、因为默认情况下,每个访问控制列表的末尾隐含deny all,所以在每个扩展访问控制列表里面必须有:access-list 110 permit ip any any
          3、不同的服务要使用不同的协议,比如TFTP使用的是UDP协议
          4、更多注意事项可以参考上面标准访问控制列表部分
         实例一:access-list 101 deny tcp any host 192.168.1.1 eq www //将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃
         提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码
         扩展访问控制列表配置实例:
         r2(config)#access-list 110 deny tcp any host 192.168.1.12 eq www
         r2(config)#access-list 110 deny tcp any host 192.168.1.12 eq ftp
         r2(config)#int f0/0
         r2(config-if)#ip access-group 110 out
        上面配置的含义是拒绝访问192.168.1.12的www和ftp服务
         实例二:
         路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24,在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13,
         要求:禁止172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可以访问172.16.4.13上的WWW服务,而其他服务不能访问
         路由器配置命令:
         access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www  //设置ACL 101,容许源地址为任意IP,目的地址为172.16.4.13主机的80端口即WWW服务,由于cisco默认添加deny any的命令,所以ACL只写此一句即可
         进入相应端口
         ip access-group 101 out //将ACL 101应用到端口
         设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了,就算是服务器172.16.4.13开启了FTP服务也无法访问,惟独可以访问的就是172.16.4.13的WWW服务了
         删除已建立的扩展标准ACL
         删除和标准一样,不能单条删除,只能删除整个ACL
         总结:扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP,不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器CPU资源,所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法

    三:命名访问控制列表


           不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除,也就是说修改一条或删除一条都会影响到整个ACL列表,这一个缺点影响了我们的工作,为我们带来了繁重的负担,不过我们可以用基于名称的访问控制列表来解决这个问题
           命名访问控制列表格式:
    ip access-list {standard/extended} access-list-name(可有字母,数字组合的字符串)
          例如:ip access-list standard softer //建立一个名为softer的标准访问控制列表
          命名访问控制列表使用方法:
          r1(config)#ip access-list standard 自定义名
          r1(config-std-nac1)#11 permit host +ip //默认情况下第一条为10,第二条为20,如果不指定序列号,则新添加的ACL被添加到列表的末尾
          r1(config-std-nac1)#deny any
         对于命名ACL来说,可以向之前的ACL中插入ACL,删除也可以删除单条ACL,
         如:r1(config)#ip access-list standard benet
         r1(config-std-nasl)#no 11
         使用show access-lists可查看配置的ACL信息
         总结:如果设置ACL的规则比较多的话,应该使用基于名称的访问控制列表进行管理,这样可以减轻很多后期维护的工作,方便我们随时进行调整ACL规则

    四:反向访问控制列表


           反向访问控制列表属于ACL的一种高级应用,他可以有效的防范病毒,通过配置反向ACL可以保证A.B两个网段的计算机互相PING,A可以PING通B而B不能PING通A
          说得通俗些的话就是传输数据可以分为两个过程,首先是源主机向目的主机发送连接请求和数据,然后是目的主机在双方建立好连接后发送数据给源主机,反向ACL控制的就是上面提到的连接请求
          反向访问控制列表的格式:
          反向访问控制列表格式非常简单,只要在配置好的扩展访问列表最后加上established即可
          反向访问控制列表配置实例:
          路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24,在172.16.4.0/24网段中的计算机都是服务器,我们通过反向ACL设置保护这些服务器免受来自172.16.3.0这个网段的病毒攻击
          要求:禁止病毒从172.16.3.0/24这个网段传播到172.16.4.0/24这个服务器网段
          路由器配置命令:
    access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established //定义ACL 101,容许所有来自172.16.3.0网段的计算机访问172.16.4.0网段中的计算机,前提是TCP连接已经建立了的,当TCP连接没有建立的话是不容许172.16.3.0访问172.16.4.0的
         进入路由相应端口
         ip access-group 101 out //将ACL 101应用到端口
         设置完毕后病毒就不会轻易的从172.16.3.0传播到172.16.4.0的服务器区了,因为病毒要想传播都是主动进行TCP连接的,由于路由器上采用反向ACL禁止了172.16.3.0网段的TCP主动连接,因此病毒无法顺利传播
         提示:检验反向ACL是否顺利配置的一个简单方法就是拿172.16.4.0里的一台服务器PING在172.16.3.0中的计算机,如果可以PING通的话再用172.16.3.0那台计算机PING172.16.4.0的服务器,PING不通则说明ACL配置成功
         通过上文配置的反向ACL会出现一个问题,那就是172.16.3.0的计算机不能访问服务器的服务了,假如图中172.16.4.13提供了WWW服务的话也不能正常访问,解决的方法是在established那句前头再添加一个扩展ACL规则

         例如:access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www
         这样根据“最靠近受控对象原则”即在检查ACL规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句,172.16.3.0的计算机就可以正常访问该服务器的WWW服务了,而下面的established防病毒命令还可以正常生效

    五:定时访问控制列表


           设置步骤:
           1、定义时间段及时间范围
           2、ACL自身的配置,即将详细的规则添加到ACL中
           3、宣告ACL,将设置好的ACL添加到相应的端口中
           定义时间范围的名称:
           r1(config)#time-range time-range-name定义一个时间周期
           r1(config-time-range)#periodic(周期) days-of-the-week hh:mm to [days-of-the-week] hh:mm
           其中days-of-the-week的取值有
           Monday Tuesday Wednesday Thursday Friday Saturday Sunday{周一到周日}
           daily(每天)weekdays(在平日)weekend(周末)
           定义一个绝对时间:
           r1(config)#time-range time-range-name
           r1(config-time-range)#absolute [start hh:mm day month year] [end hh:mm day month year]
           在扩展ACL中引入时间范围
           r1(config)#access-list access-list-number {permit|deny} protocol {source ip + 反码 destination ip + 反码 +operator+time-range+time-range-name}
           定时访问控制列表实例:
           路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24,在172.16.4.0/24网段中有一台服务器提供FTP服务,IP地址为172.16.4.13,
           要求:只容许172.16.3.0网段的用户在周末访问172.16.4.13上的FTP资源,工作时间不能下载该FTP资源
           路由器配置命令:
           time-range softer //定义时间段名称为softer
           periodic weekend 00:00 to 23:59 //定义具体时间范围,为每周周末(六,日)的0点到23点59分。当然可以使用periodic  weekdays定义工作日或跟星期几定义具体的周几
           access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer //设置ACL,禁止在时间段softer范围内访问172.16.4.13的FTP服务
           access-list 101 deny ip any any //设置ACL,容许其他时间段和其他条件下的正常访问
           进入相应端口。
           ip access-group 101 out //应用到端口
           基于时间的ACL比较适合于时间段的管理,通过上面的设置172.16.3.0的用户就只能在周末访问服务器提供的FTP资源了,平时无法访问

    六:访问控制列表流量记录


           网络管理员就是要能够合理的管理公司的网络,俗话说知己知彼方能百战百胜,所以有效的记录ACL流量信息可以第一时间的了解网络流量和病毒的传播方式,下面这篇文章就为大家简单介绍下如何保存访问控制列表的流量信息,方法就是在扩展ACL规则最后加上LOG命令
           实现方法:
           log 192.168.1.1 //为路由器指定一个日志服务器地址,该地址为192.168.1.1
           access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www log //在希望监测的扩展ACL最后加上LOG命令,这样就会把满足该条件的信息保存到指定的日志服务器192.168.1.1中
           提示:如果在扩展ACL最后加上log-input,则不仅会保存流量信息,还会将数据包通过的端口信息也进行保存,使用LOG记录了满足访问控制列表规则的数据流量就可以完整的查询公司网络哪个地方流量大,哪个地方有病毒了,简单的一句命令就完成了很多专业工具才能完成的工作

    展开全文
  • 思科高级配置(配置标准ACL)

    千次阅读 2019-05-16 08:57:50
    1)配置标准ACL实现拒绝PC2(IP地址为192.168.0.20)对Web Server P的浏览器访问 方案 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略...

    问题
    络调通后,保证网络是通畅的。同时也很可能出现未经授权的非法访问。企业网络既要解决连连通的问题,还要解决网络安全的问题。
    1)配置标准ACL实现拒绝PC2(IP地址为192.168.0.20)对Web Server P的浏览器访问
    方案
    访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。
    访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
    标准访问控制列表只能根据数据包的源IP地址决定是否允许通过。
    网络拓扑如图所示:
    在这里插入图片描述

    步骤
    实现此案例需要按照如下步骤进行。

    步骤一:在R1上配置IP地址及静态路由
    

    tarena-R1(config)#interface f0/0
    tarena-R1(config-if)#ip address 192.168.0.1 255.255.255.0
    tarena-R1(config-if)#no shutdown
    tarena-R1(config-if)#interface f0/1
    tarena-R1(config-if)#ip address 192.168.1.1 255.255.255.0
    tarena-R1(config-if)#no shutdown
    tarena-R1(config-if)#exit
    tarena-R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.2

    步骤二:在R2上配置IP地址及静态路由
    

    tarena-R2(config)#interface f0/0
    tarena-R2(config-if)#ip address 192.168.1.2 255.255.255.0
    tarena-R2(config-if)#no shutdown
    tarena-R2(config-if)#interface f0/1
    tarena-R2(config-if)#ip address 192.168.2.1 255.255.255.0
    tarena-R2(config-if)#no shutdown
    tarena-R2(config-if)#exit
    tarena-R2(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1

    步骤三:在R1和R2上检查路由表
    

    tarena-R1#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
    i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
    * - candidate default, U - per-user static route, o - ODR
    P - periodic downloaded static route
    Gateway of last resort is not set
    C 192.168.0.0/24 is directly connected, FastEthernet0/0
    C 192.168.1.0/24 is directly connected, FastEthernet0/1
    S 192.168.2.0/24 [1/0] via 192.168.1.2
    tarena-R2#
    tarena-R2#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
    i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
    * - candidate default, U - per-user static route, o - ODR
    P - periodic downloaded static route
    Gateway of last resort is not set
    S 192.168.0.0/24 [1/0] via 192.168.1.1
    C 192.168.1.0/24 is directly connected, FastEthernet0/0
    C 192.168.2.0/24 is directly connected, FastEthernet0/1

    步骤四:测试主机到Web Server的连通性
    

    在实施ACL之前先检查网络是否能够正常通信,因为没有任何限制,网络应该是处于连通状态。
    PC1测试如下所示:
    PC>ipconfig
    FastEthernet0 Connection:(default port)
    Link-local IPv6 Address…: FE80::2E0:F7FF:FED6:54CC
    IP Address…: 192.168.0.10
    Subnet Mask…: 255.255.255.0
    Default Gateway…: 192.168.0.1
    PC>ping 192.168.2.100
    Pinging 192.168.2.100 with 32 bytes of data:
    Request timed out.
    Request timed out.
    Reply from 192.168.2.100: bytes=32 time=0ms TTL=126
    Reply from 192.168.2.100: bytes=32 time=0ms TTL=126
    Ping statistics for 192.168.2.100:
    Packets: Sent = 4, Received = 2, Lost = 2 (50% loss),
    Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
    PC>
    PC2测试如下所示:
    PC>ipconfig
    FastEthernet0 Connection:(default port)
    Link-local IPv6 Address…: FE80::2D0:BAFF:FE98:9E29
    IP Address…: 192.168.0.20
    Subnet Mask…: 255.255.255.0
    Default Gateway…: 192.168.0.1
    PC>ping 192.168.2.100
    Pinging 192.168.2.100 with 32 bytes of data:
    Reply from 192.168.2.100: bytes=32 time=2ms TTL=126
    Reply from 192.168.2.100: bytes=32 time=0ms TTL=126
    Reply from 192.168.2.100: bytes=32 time=0ms TTL=126
    Reply from 192.168.2.100: bytes=32 time=0ms TTL=126
    Ping statistics for 192.168.2.100:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 2ms, Average = 0ms

    步骤五:在R2上配置标准访问控制列表,并应用到Fa0/1端口出方向上

    标准访问控制列表因为只能限制源IP地址,因此应该把ACL放到离目标最近的端口出方向上。
    ACL的匹配规则中,最后有一条隐含拒绝全部。如果语句中全部是拒绝条目,那么最后必须存在允许语句,否则所有数据通信都将被拒绝。
    tarena-R2(config)#access-list 1 deny host 192.168.0.20
    tarena-R2(config)#access-list 1 permit any
    tarena-R2(config)#interface f0/1
    tarena-R2(config-if)#ip access-group 1 out

    步骤六:分别在两台主机上测试到Web Server的连通性
    

    PC1测试如下所示:
    PC>ipconfig
    FastEthernet0 Connection:(default port)
    Link-local IPv6 Address…: FE80::2E0:F7FF:FED6:54CC
    IP Address…: 192.168.0.10
    Subnet Mask…: 255.255.255.0
    Default Gateway…: 192.168.0.1
    PC>ping 192.168.2.100
    Pinging 192.168.2.100 with 32 bytes of data:
    Reply from 192.168.2.100: bytes=32 time=1ms TTL=126
    Reply from 192.168.2.100: bytes=32 time=0ms TTL=126
    Reply from 192.168.2.100: bytes=32 time=0ms TTL=126
    Reply from 192.168.2.100: bytes=32 time=0ms TTL=126
    Ping statistics for 192.168.2.100:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 1ms, Average = 0ms
    PC>
    PC2测试如下所示:
    PC>ipconfig
    FastEthernet0 Connection:(default port)
    Link-local IPv6 Address…: FE80::2D0:BAFF:FE98:9E29
    IP Address…: 192.168.0.20
    Subnet Mask…: 255.255.255.0
    Default Gateway…: 192.168.0.1
    PC>ping 192.168.2.100
    Pinging 192.168.2.100 with 32 bytes of data:
    Reply from 192.168.1.2: Destination host unreachable.
    Reply from 192.168.1.2: Destination host unreachable.
    Reply from 192.168.1.2: Destination host unreachable.
    Reply from 192.168.1.2: Destination host unreachable.
    Ping statistics for 192.168.2.100:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
    PC>
    结果显示PC1(IP地址为192.168.0.10)可以正常访问Web Server,而PC2(IP地址为192.168.0.20)已经被192.168.1.2(R2)拒绝。

    步骤七:在R2上查看相关的ACL信息
    

    tarena-R2#show ip access-lists
    Standard IP access list 1
    deny host 192.168.0.20 (4 match(es))
    permit any (4 match(es))

    展开全文
  • 思科高级配置(配置扩展命名ACL)

    千次阅读 2019-05-16 09:10:25
    而且ACL的编号有限制,如传统的标准ACL用199表示,扩展ACL用100199表示。 1)配置扩展命名ACL实现拒绝PC2(IP地址为192.168.0.20)访问Web Server Web服务,但可访问其他服务。 方案 命名访问控制列表可以为ACL起一...
  • 思科CISCO ACL配置详解

    万次阅读 多人点赞 2013-04-03 01:28:21
    访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期...
  • 掌握高级 ACL 的配置。 3.3 实验环境 分组实验,每组 4~8 人。 设备:路由器 2 台、交换机 4 台、计算机若干台;或,使用模拟器(eNSP、Packet Tracer、 GNS3、EVE 等)。 3.4预备知识 1.包过滤和防火墙 防火墙一...
  • ACL配置禁止PING

    千次阅读 2020-12-20 21:42:47
    从r1过来的数据包送给r2的时候,r2数据链路层解封装之后会查看是否有acl in的acl。如果有的话先检查acl是否放行,如果放行的话再查路由表然后再进行2层的封装。如果不放行的话直接给discrad。我觉得可能是2个问题...
  • 思科 交换机ACL

    千次阅读 2018-08-07 13:42:17
    交换机ACL只能绑定在VLAN上。 一定要最后一句加permit access-list 1 deny 10.0.1.0 0.0.0.255 //1-99基本 access-list 1 permit any access-list 100 deny ip 10.0.3.0 0.0.0.255 10.0.1.0 0.0.0.255 //100以上...
  • 华为cisco命令对比

    2020-09-23 19:18:50
    cisco 华为 acl 创建标准acl (config)# access-list 1 permit/deny 192.168.1.0 0.0.0.255 permit : 允许通过 deny :拒绝通过 创建acl acl 2000 基本acl(2000-2999):只能匹配源ip地址 ...
  • 全面的知识体系,路由器、交换机的基本配置、设备管理、Trunk配置、单臂路由、VTP、ACL、QOS、IPV6等应有尽有;解释详尽,包括重要命令白话释义,操作用例;
  • 高级ACL 高级ACL编号范围:3000-3999 思科 标准ACL (华为的基本ACL) 扩展ACL(就是华为的高级ACL高级ACL可以根据数据包 华为高级ACL的创建 华为可以给ACL命名,但系统依然会配一个编号,所以差别不大。 ...
  • ACL 目的:为了在设备进行通信时,保障传输的数据足够的安全可靠和网络的型能稳定。 访问控制列表((ACL)Access Coutrol List): 通过定义一些规则,根据规则对数据包进行分类,并针对不同的报文进行... 高级ACL
  • 中兴和思科acl配置

    千次阅读 2019-06-05 09:06:47
    思科 access-list 90 permit 10.61.77.0 0.0.0.255 access-list 90 permit 10.61.254.0 0.0.0.255 access-list 90 permit 192.168.1.0 0.0.0.255 调用方式: (1)用户调用:username admin access-class ...
  • 高级ACL:在匹配流量时,可以匹配源地址,目标地址,传输层协议和端口号 配置在:建议在距离目标地址最近的地方(流量转发路径上的设备上的端口上in/out) 转载于:https://blog.51cto.com/13560878/2079009
  • CISCO ACL配置详解

    2012-10-08 19:56:39
    什么是ACL?    访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的...
  • ACL的原理和作用

    2021-12-10 14:59:25
    1.基本ACL命令 2.高级ACL 命令 总结 完后,目录可以自动生成,如何生成可参考右边的帮助文档 提示:以下是本篇文章正文内容,下面案例可供参考 一、ACL的介绍 ACL两种作用 用来对数据包做访问...
  • 使用扩展ACL可以实现更加精确的流量控制 访问控制列表号从100到199 2>扩展访问控制列表的配置: show access-list ---- 检查端口是否有ACL access-list ---- 创建扩展访问控制列表 Router(config)#access-list ...
  • ACL禁止ping基本配置

    2022-05-02 12:53:55
    [R2-acl-ipv4-adv-3000]int g0/0 进入g0/0端口 [R2-GigabitEthernet0/0]pa 3000 in 等同于packet-filter 3000 inbound # 配置包过滤功能,应用 IPv4 高级 ACL 3000对端口g0/0发出的报文进行过滤。 验证:PC_1 ping ...
  • ACL与NAT

    2021-12-12 20:22:45
    从上往下依次执行 数据包一旦被某RULE匹配,就不再继续向下匹配 用来做数据包访问控制时,默认隐含放过所有(华为设备)Cisco相反 ACL命令: [Huawei]acl number 2000 ###创建acl2000 [Huawei -acl-basic-2000]rule...
  • CISCO 访问控制列表ACL

    千次阅读 2018-06-09 15:53:20
    什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。...
  • ACL理论及简单配置

    2022-04-27 20:14:26
    ACL可以通过定义规则来允许或者拒绝流量的通过。 如图所示,192.168.1.0网段的社交场所为只能够进入公网,而不能够进入服务器,这个时候我们在路由器或者是三层交换机上(带路由功能的交换设备)上配置ACL策略,...
  • 实验:ACL及telnet

    2021-12-21 22:28:54
    实验要求: 由于个人在重命名路由器时将PC1和PC2搞混,所以在后期把名字改为PC11和PC22 题目要将下面两台路由器模拟成pc,所以分别将...在r1上创建高级acl表: 配置pc1不能ping r1 [r1-acl-adv-3000]rule deny.
  • 接口应用命令与IPv4区别较大 ACL最后会有隐含的三行列表 permit icmp any any nd-ns permit icmp any any nd-na deny ipv6 any any 与IPv4区别是允许na和ns的数据包,保证能做地址冲突检测 这三行ACL的存在主要是...
  • 发现思科的gns3,上即便我们在二层口上设置普通或是高级acl,都不能起到流量过滤的作用。但是反观ENSP,我们在二层口上配置普通acl和高级acl却能起到流量过滤的作用。 但是更奇葩的是,当我将高级acl的过滤条件更加...
  • ACL——拒绝Telnet

    万次阅读 2019-10-19 21:49:50
    文章目录 实验拓扑图: 实验配置思路: 实验摘要重点命令: 实验详细配置步骤: 配置接口IP地址 配置默认路由 配置ACL 调用ACL 实验拓扑图: 实验配置思路: 拒绝源地址192.168.10.2网段Telnet访问到12.1.1.2网段 ...
  • ACL技术原理和实验(华为设备)

    千次阅读 2021-01-20 12:05:42
    ACL是由permit或deny语句组成的一系列有顺序规则的集合,它通过匹配报文的信息实现对报文的分类。路由器根据ACL定义的规则判断哪些报文可以接收,哪些报文需要拒绝,从而实现对报文的过滤。 • ACL通过配置的一...
  • 思科防火墙基本配置思路及命令

    万次阅读 2018-02-06 12:25:55
    修改防火墙名称 config# hostname xxxx ...config# enable password xxxx ...config# password xxxx 配置接口名称 config-if # nameif xxxx 配置接口安全级别 ...访问控制列表ACL分很多种,不同场合应用不同种...
  • ACL简介: 一、RACL ——route ACL: 案列: (1)、三层物理接口调用(要求:R1能ping通R3,但是不能telnatR3): (2)、进入vlan里面调用: 二、VACL ——VLAN ACL: 三、放行ping包(针对ICMP协议去和返回...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,214
精华内容 485
关键字:

思科高级acl命令