精华内容
下载资源
问答
  • 华三,思科ACL命令解析

    千次阅读 2015-08-10 16:24:14
    第二步:定义基本访问控制列表, a 弄清基本访问控制列表的表号 H3C: 2000--2999 cisco及其它公司:1-99 b 编写acl H3C:是在管理员用户视图下编写 cisco:全 基本访问控制列表定义及应用: 第一步:...
    
    基本访问控制列表定义及应用: 第一步:分析哪些源地址,也在分析访问控制需求(含拓扑图内容); 第二步:定义基本访问控制列表, a 弄清基本访问控制列表的表号 H3C: 2000--2999 cisco及其它公司:1-99 b 编写acl H3C:是在管理员用户视图下编写 cisco:全

    基本访问控制列表定义及应用:

    第一步:分析哪些源地址,也在分析访问控制需求(含拓扑图内容);

    第二步:定义基本访问控制列表,
               a 弄清基本访问控制列表的表号
                 H3C:             2000--2999
                 cisco及其它公司:1-99
               b 编写acl
                 H3C:是在管理员用户视图下编写
                 cisco:全局模式下编写
               c 命令如下:
                 H3C:acl number 2001
                       description JinGuoFirewall                  
                       rule 0 deny source 192.110.10.0 0.0.0.255
                       rule 1 permit source 202.110.10.0 0.0.0.255
                 cisco:ip access-list standard 99
                         deny      192.110.10.0 0.0.0.255
                         permit 202.110.10.0 0.0.0.255

    第三步:应用(下发编写好的acl列表)
               a H3C:交换机(在交换机物理接口上直接下发) 
           

    展开全文
  • 思科ACL详解

    千次阅读 2017-07-01 13:36:59
    思科ACL 基本原则:1、按顺序执行,只要有一条满足,则不会继续查找 2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的 3、任何条件下只给用户能满足他们需求的最小权限 4、不要忘记把ACL...


    思科ACL
    基本原则:1、按顺序执行,只要有一条满足,则不会继续查找
                 2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的
                 3、任何条件下只给用户能满足他们需求的最小权限
                 4、不要忘记把ACL应用到端口上

    一、标准ACL
        命令:access-list {1-99}{permit/deny} source-ip source-wildcard [log]
        例:access-list 1 penmit192.168.2.0 0.0.0.255    允许192.168.2.0网段的访问
              access-list1 deny 192.168.1.0 0.0.0.255      拒绝192.168.1.0网段的访问
       说明:wildcard为反掩码,host表示特定主机等同于192.168.2.30.0.0.0;any表示所有的源或目标等同于0.0.0.0 255.255.255.255;log表示有匹配时生成日志信息;标准ACL一般用在离目的最近的地方

    二、扩展ACL
        命令:access-list {100-199}{permit/deny}  protocol source-ipsource-wildcard  [operator port]destination-ipdestination-wildcard  [operatorport] [established][log]
        例:access-list 101 permit tcp192.168.2.0 0.0.0.255 gt 1023 host 192.168.1.2 eq80
             允许192.168.2.0网段的主机访问主机192.168.1.2的web服务
             access-list101 permit udp 192.168.2.0 0.0.0.255 gt 1023 any eq53
              允许192.168.2.0网段的主机访问外网以做dns查询
        说明:gt1023表示所有大于1023的端口,这是因为一般访问web、ftp等服务器时客户端的主机是使用一个1023以上的随机端口;established表示允许一个已经建立的连接的流量,也就是数据包的ACK位已设置的包。

    三、命名ACL
        命令: ipaccess-list {standard/extended} name
                  { permit/deny} source-ip source-wildcard                     标准
                  { permit/deny} protocol source-ip source-wildcard [operator port]destination-ipdestination-wildcard  [operatorport] [established][log]                    扩展
        例:ip access-list extendedoutbound          定义一个名为outbound的命名ACL
               permit tcp192.168.2.0 0.0.0.255 gt 1023 host 192.168.1.2 eq80  
             允许192.168.2.0网段的主机访问主机192.168.1.2的web服务

    四、动态ACL
         动态ACL是一种利用路由器telnet的验证机制,动态建立临时的ACL以让用户可以暂时访问内网的一种技术
        命令:access-list{100-199} dynamic username [timeout minutes] permit any dest-ipdest-wildcard
        说明:username必须是路由器上的某一个用户;timeout为绝对超时时间;最好定义dest-ip为外网要访问的服务器的IP.
        例: 1:username lyl passwordlyl           建立用户,用于用户验证
             2:access-list 101 permit tcp any host10.10.1.1  eq23     允许外网用户访问路由器外端口的telnet服务,用于验证
                  access-list101 permit tcp any host10.10.1.1  eq3001  允许外网用户访问路由器外端口的3001端口,用于telnet管理
                  access-list101 dynamic lyl timeout 8 permit ip any host 192.168.2.3引用路由器上的lyl用户以建立动态的ACL
              3、line vty 03             
                 loginlocal              定义本地验证
                 autocommandaccess-enable host timeout 3       用于动态ACL验证用户,此处host绝不可少,如果没有则生成的动态ACL源地址将为any,则动态ACL毫无意义
                 line vty4
                 loginlocal
                 rotary  1                 用开telnet管理,端口为3001
               4、ints1/0
                 ip add10.10.1.1 255.255.255.252
                 noshut
                  ipaccess-group 101 in


    五、自反ACL
       基本思想:内网可以访问外网,但外网没有允许不能访问内网,内网访问外网的回应数据可以通过
        例:一、ip access-list extendedoutbound       创建出去数据的ACL
                   permit tcpany any reflect cisco       tcp的流量可以进来,但要在有内部tcp流量出去时动态创建
             二、 ipaccess-list extended inbound       创建进来数据的ACL
                     permit icmpany any                   允许基于ICMP的数据如echo-request
                     evaluate cisco                          允许出去的ACL中的有cisco对应语句的TCP流量进来
             三、 ints1/0                                   s1/0为路由器的接外网的端口
                  ipaccess-group outbound out
                  ipaccess-group inbound in 
       说明:reflect和evalute后面的对应名应该相同,此例中为cisco

    展开全文
  • ACL 访问控制列表 ACL可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。被广泛地应用于路由器和三层交换机,借助于ACL,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 ACL功能: ...

    ACL 访问控制列表

    ACL可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。被广泛地应用于路由器和三层交换机,借助于ACL,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

    ACL功能

    1. 访问控制—在路由器上流量进或出的接口上规则流量;
    2. 定义感兴趣流量 —为其他的策略匹配流量,抓取流量

    访问控制:定义ACL列表后,将列表调用于路由器的接口上,当流量通过接口时,进行匹配,匹配成功后按照设定好的动作进行处理即可,动作——允许、拒绝

    匹配规则:至上而下逐一匹配,上条匹配按上条执行,不再查看下条;末尾隐含拒绝所有;

    ACL分类

    1. 标准ACL–仅关注数据包中的源ip地址
    2. 扩展ACL–关注数据包中源、目标ip地址、目标端口号、协议号

    配置ACL有两种写法:

    • 编号写法 1-99 标准 100-199 扩展 删除一条整表消失

    • 命名写法 一个名字一张列表 可以随意删除某条,

    配置
    标准ACL—编号:由于标准ACL仅关注数据包中的源ip地址,调用时尽量的靠近目标,避免误删;

    编号写法:
    Router(config)#access-list 1 deny host 192.168.4.2 拒绝单一设备
    Router(config)#access-list 1 deny 192.168.4.2 0.0.0.0 拒绝单一设备
    Router(config)#access-list 1 deny 192.168.4.0 0.0.0.255 拒绝范围
    Router(config)#access-list 1 deny any 拒绝所有

    Router(config)#access-list 1 deny host 192.168.4.2 拒绝172.16.4.2
    Router(config)#access-list 1 permit any 允许所有
    Router(config)#interface fastEthernet 0/0.1 进接口
    Router(config-subif)#ip access-group 1 out 调用

    命名写法:
    Router(config)#ip access-list standard a
    Router(config-std-nacl)#deny host 192.168.4.2
    Router(config-std-nacl)#permit any
    Router(config-std-nacl)#exit
    Router(config)# no ip access-list standard a 删除表

    扩展ACL配置:扩展ACL关注数据包中的源、目标ip地址,故调用时应该尽量的靠近源,当然不能在源上,因为ACL不能限制本地产生的流量;

    编号写法:
    r1(config)#access-list 100 deny ip host 192.168.4.2 host 192.168.1.2
    前面是源ip地址,后面是目标ip地址,也就是拒绝192.168.4.0 0.0.0.255—192.168.1.0 0.0.0.255 这个范围

    r1(config)#access-list 100 permit ip any any
    r1(config)#interface fastEthernet 0/0
    r1(config-if)#ip access-group 100 in

    命名写法
    Router(config)#ip access-list extended a
    Router(config-ext-nacl)#deny host 192.168.4.2
    Router(config-ext nacl)#permit any
    Router(config-ext -nacl)#exit
    Router(config)#no ip access-list extended a 删除表

    关注目标端口号:

    • ICMP——ping 跨层封装协议,不存在端口号
    • Telnet——远程登录 基于TCP目标23号端口

    设备开启远程登录配置命令:
    r1(config)#username ccna privilege 15 secret 123456
    r1(config)#line vty 0 4 0 4 代表最多五个账户登录
    r1(config-line)#login local

    规则一个设备到另一个设备的目标端口

    远程登录被拒绝
    r1(config)#access-list 101 deny tcp host 1.1.1.1 host 2.2.2.2 eq 23
    r1(config)#access-list 101 permit ip any any

    r1(config)#access-list 102 deny icmp host 1.1.1.1 host 2.2.2.2 拒绝ping
    r1(config)#access-list 102 permit ip any any 单向ping 后加echo


    NAT 网络地址转换

    配置了NAT的路由器至少有一个有效的外部全球IP地址,即公有IP地址,这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。实质上就是公有ip和私有ip间互换,NAT解决IPv4地址不够用的问题,拖累了IPv6的发展

    具体的做法:在边界路由器上,流量从内部去往外部时,将数据包中的源ip地址进行修改(内部本地修改为内部全局); 流量从外部进入内部时,修改目标ip地址(外部全局修改为外部本地)

    实现方式

    NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad

    Router#show ip nat translations 查看nat的命令

    一对一:(静态)
    r2(config)#ip nat inside source static 192.168.1.2 12.1.1.2
    前面ip是本地,后面是全局

    一对多(动态) PAT ——端口地址转换
    将多个私有ip地址转换为同一公有ip地址,依赖数据包中的端口号来进行区分;先使用ACL定义感兴趣流量—哪些私有ip地址要被转换

    r2(config)#access-list 1 permit 192.168.1.0 0.0.0.255
    r2(config)#access-list 1 permit 192.168.2.0 0.0.0.255
    r2(config)#access-list 1 permit any 用ACL抓取所有ip
    r2(config)#ip nat inside source list 1 interface fastEthernet 1/0 overload

    list 1为本地
    fastEthernet 1/0为全局
    overload表示负载

    多对多:(静态或动态)

    定义内部本地地址范围 (抓取内网ip)
    r2(config)#access-list 2 permit 192.168.0.0 0.0.255.255
    定义内部全局地址范围 (抓取外网ip)
    r2(config)#ip nat pool xxx 12.1.1.2 12.1.1.10 netmask 255.255.255.0
    配置多对多NAT
    r2(config)#ip nat inside source list 2 pool xxx overload

    其中Netmask为网络掩码,在配置多对多NAT时,是否携带overload将决定为静态或动态多对多;

    • 不携带—静态多对多,最先来的边界路由器上的9个私有ip地址与这9个公有ip地址形成一对一
    • 携带—动态多对多,循环占用每个公有ip地址进行PAT

    端口映射
    r2(config)#ip nat inside source static tcp 192.168.1.100 80 12.1.1.2 80
    解释:通过外部访问12.1.1.2,同时目标端口为80时,目标ip地址就一定被转换为192.168.1.100,端口号80;

    r2(config)#ip nat inside source static tcp 192.168.1.200 80 12.1.1.2 8080
    解释:通过外部访问12.1.1.2同时目标端口为8080时,目标ip地址就一定被转换为192.168.1.200,端口号80;

    展开全文
  • ACL拓展扩展ACL(100--199)建立扩展ACL的操作步骤:1)建表2).用表 扩展ACL(100–199) 总结扩展ACL访问列表语法: Router(config)#access-list 100 permit (IP) 大协议 源地址 源反掩码 目标地址 目标反掩码 ...

    扩展ACL(100–199)

    1. 总结扩展ACL访问列表语法:
      Router(config)#access-list 100 permit (IP) 大协议 源地址 源反掩码 目标地址 目标反掩码
      access-list 100 permit IP 192.168.1.0 0.0.0.255 host 192.168.4.2

    2. 扩展列表他控制OSI七层模型的第三 四 七
      三层网络层 四层传输层 七层应用层
      IP ICMP(ping)------>TCP(0–65535)–80 23---->http(telnet)
      UDP(0–65535)–53---->dns协议

    • 注意:IP协议最大,ping 协议是(icmp)被IP地址协议包含

    建立扩展ACL的操作步骤:

    1)建表

    access-list 100 deny icmp 192.168.1.0 0.0.0.255 host 192.168.4.2
    拒绝 ping 网段
    access-list 100 deny icmp host 192.168.2.2 host 192.168.4.2
    access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.2
    access-list 100 permit ip host 192.168.2.2 host 192.168.4.2

    access-list 100 deny tcp host 172.16.1.2 host 192.168.1.2 eq www
    access-list 100 permit ip any any

    R2(config)#access-list 100 permit tcp host 1.1.1.1 host 2.2.2.2 eq ?
    <0-65535> Port number

    • ftp
      File Transfer Protocol (21)
    • pop3
      Post Office Protocol v3 (110)
    • smtp
      Simple Mail Transport Protocol (25)
    • telnet
      Telnet (23)
    • www
      World Wide Web (HTTP, 80)

    2).用表

    R2(config)#int e1/1
    R2(config-if)#ip access-group 100 out

    展开全文
  • CISCO ACL控制命令

    2013-06-30 16:32:25
    思科ACL命令操作详解,详细描述了思科ACL的各种配置方法,步骤。
  • ACL(Access Control List):访问控制列表,它主要通过读取第三、四层的包头信息,再通过...#思科ACL的分类:1.标准访问控制列表表号:1-99特点:基于源IP来进行匹配过滤2.扩展访问控制列表表号:100-199特点:基于源I...
  • 思科ACL详解2

    2007-11-20 12:44:44
    四、动态ACL 动态ACL是一种利用路由器telnet的验证机制,动态建立临时的ACL以... 命令:access-list {100-199} dynamic username [timeout minutes] permit any dest-ip dest-wildcard 说明:username 必须是路...
  • cisco路由器acl配置详解,非常详细,适合稍微有点基础,但有不懂命令的同学,绝对值得这个资源分
  • 这几天在研究基于时间的ACL,这的确是个好东东,大大的方便了管理员的管理。以前没有出基于时间的ACL管理可真够辛苦的,比如说管理一个公司。周一至周五不允许访问网络,周末允许。首先管理员要在周一至周五设置不...
  • 加深对 ACL 的理解; 掌握访问控制列表的相关知识; 掌握基本 ACL 的配置; 掌握高级 ACL 的配置。 3.3 实验环境 分组实验,每组 4~8 人。 设备:路由器 2 台、交换机 4 台、计算机若干台;或,使用模拟器(eNSP、...
  • 思科 华为命令对照

    2020-09-23 16:57:05
    Cisco 华为 Acl配置 acl配置 标准acl(1-99) 标准acl(2000-2999) Access-list 1 permit 192.168.10.0 0.0.0.255 Acl 2000 ...
  • 一、网络拓扑图二、 实验步骤:1、规划好每个...3、配置基本ACL,PC3不能实现与PC1和PC2互通,PC0能实现与所有PC机互通,并有验证,命令如下:zuo(config)#access-list 10 deny 192.168.1.0 0.0.0.255 //配置拒绝192...
  • 思科命令大全

    2019-09-18 05:54:13
    Access-group 把访问控制列表(ACL)应用到接口上 Access-list 定义一个标准的IP ACL Access-template 在连接的路由器上手动替换临时访问列表入口 Appn 向APPN子系统发送命令 Atmsig 执行ATM信令命令 B 手动引导操作...
  • ACL 是一系列 IOS 命令,根据数据包报头中找到的信息来控制路由器应该转发还是应该丢弃数据包。ACL思科 IOS 软件中最常用的功能之一。 在配置后,ACL 将执行以下任务: 限制网络流量以提高网络性能。例如,如果...
  • 使用debug命令可以帮助我们TS 但是使用debug命令往往会输出一大堆信息 很多是我们不需要用的 这种情况下我们可以限制debug的输出 可以应用ACL到debug以限定仅输出要求的debug信息。  如仅查看从10.0.1.1到...
  • 双斜杠后面的文字是解释说明前面的命令用途(有些太长的命令直接Tab) Switch> enable //进入特权模式 Switch# configure terminal //进入全局配置模式 Enter configuration commands, one per line. End with ...
  • group 把访问控制列表(acl)应用到接口上access-list 定义一个标准的ip aclaccess-template 在连接的路由器上手动替换临时访问列表入口appn 向appn子系统发送命令atmsig 执行atm信令命令b 手动引导操作系统
  • 思科命令大全 六

    2019-06-12 09:36:41
    为使MLS和输入访问列表可以兼容,可以在全局模式下使用下列命令:router(config)# mls rp ip input-acl 当某个交换机的第3层交换失效时,可在交换机的特权模式下输入下列命令:switch(enable) set mls enable 若想...
  • Access-enable允许路由器在动态访问列表中创建临时访问列表入口 ...Access-group 把访问控制列表(ACL)应用到接口上 Access-list 定义一个标准的IP ACL Access-template 在连接的路由器上手动替换临...
  • Cisco思科命令速查

    千次阅读 2010-02-07 21:35:00
    本文按字母顺序列举了思科路由器常用配置命令,适合思科路由器操作人员随时查看Access-enable允许路由器在动态访问列表中创建临时访问列表入口Access-group把访问控制列表(ACL)应用到接口上Access-list定义一个标准...
  • 思科路由器配置命令

    2008-09-08 17:33:00
    group把访问控制列表(ACL)应用到接口上Access-list定义一个标准的IP ACLAccess-template在连接的路由器上手动替换临时访问列表入口Appn向APPN子系统发送命令Atmsig 执行ATM信令命令B 手动引导操作系统Bandwidth ...
  • 一、实验拓扑:二、实验要求:1、ACL抓取Telnet、ICMP流量并放行,在全局下应用:2、做完以后,R1去telnetR2、R3看是否可行?...三、命令部署:1、Global调用ACL命令:ASA(config)# access-list glo extende...

空空如也

空空如也

1 2 3 4 5
收藏数 91
精华内容 36
关键字:

思科acl命令