精华内容
下载资源
问答
  • 命名ACL 第一步:创建一个ACL命名,要求名字字符串要唯一 命令格式:ip access-list{ standard | extended } name 第二步:定义访问控制列表 ...扩展ACL命令格式: { permit | deny } protocol source source...

    命名ACL

    第一步:创建一个ACL命名,要求名字字符串要唯一

    命令格式:ip access-list{ standard | extended } name

    第二步:定义访问控制列表

    标准ACL命令格式: { permit | deny } source source-wildcard

    扩展ACL命令格式: { permit | deny } protocol source source-wildcard [operatoroperand] destination destination-wildcard [operator operand] [established]

    例如:

    !定义访问控制列表

    router(config)#ipaccess-list extended permit-one

    router(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80

    !删除访问控制列表(这里可以删除某一条ACL语句)

    router(config-ext-nacl)# no permit tcp 192.168.1.0 0.0.0.255 192.168.2.00.0.0.255 eq 80

    第三步:应用到某一个接口上

    命令格式:{ protocol } access-group name {in | out}

    例如:

    router(config)# int f0/0

    router(config-if)ip access-group permit-one out

    实验拓扑图:
    在这里插入图片描述
    sw配置:
    接口f1/1和f1/2做vlan10
    接口f1/3做vlan20
    在这里插入图片描述
    关闭路由功能:no ip routing
    接口f1/0接口做trunk
    在这里插入图片描述
    sw-3配置:
    配置接口f1/1的IP
    配置vlan10和vlan20的网关
    接口f1/0做trunk
    在这里插入图片描述
    在这里插入图片描述
    PC1的配置:
    在这里插入图片描述
    PC2的配置:

    PC3的配置:
    在这里插入图片描述
    PC4的配置:
    在这里插入图片描述
    证明未配置ACL前,全网互通
    在这里插入图片描述
    sw-3配置:
    配置ACL命令为:kgc
    允许192.168.10.10访问PC1
    拒绝192.168.10.0网段其他访问PC1
    允许其他所有网段访问PC1

    设置接口f1/1为出口
    在这里插入图片描述
    利用PC2、PC3、PC4进行pingPC1确认实验结果:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    实验结束,设置完成

    展开全文
  • 中兴交换机创建acl操作以及引用至端口操作方式 说明 本操作笔记针对中兴ZXR10 3952A型号的老交换机。 操作步骤 中兴交换机和思科交换机操作方式类似 首先使用enable命令进入特权模式,在这个模式下可以查看交换机...

    中兴交换机创建acl操作以及引用至端口操作方式

    1. 说明
      本操作笔记针对中兴ZXR10 3952A型号的老交换机。
    2. 操作步骤
      中兴交换机和思科交换机操作方式类似
      首先使用enable命令进入特权模式,在这个模式下可以查看交换机目前的运行状态和配置,但是并不能修改配置,类似于华为交换机的用户视图。
      PS:中兴交换机默认的特权模式密码为zxr10。
      特权模式使用config terminal进入全局配置模式,此模式下可以修改和增加配置。
      使用acl extend 200创建一个拓展acl(类似于华为的高级acl)
      创建需要的功能:
      Rule 5 deny tcp any any source-port 3389禁止源端口为3389的IP访问
      Rule 10 deny tcp any any destination-port 3389 禁止目的端口为3389的IP访问
      在应用acl的时候,发现老交换机无法创建端口组进行批量引用,所以只能预先编写脚本写入所有端口。
      例子:interface fei1_1
      Ip access-group 200 inbound
      exit
      在入方向引入该acl,exit为退出该端口命令
      PS:该中兴交换机无法直接在端口视图下切换端口,所以需要预先写入exit命令。
      配置完成后需要退回特权模式使用write命令。
    3. 配置结果
      通过使用telnet命令尝试连接该交换机所连接终端的3389端口(终端该端口确认开启),显示无法连接。
    4. 完整脚本
      Enable
      Config terminal
      Acl extend 200
      Rule 5 deny tcp any any source-port 3389
      Rule 10 deny tcp any any destination-port 3389
      Exit
      Interface fei1_1
      Ip access-group 200 inbound
      Exit
      Exit
      Write
    展开全文
  • 转载:... 1 ACL的配置 1.1创建 ACL 标准 ACL router(config)#access-list <ACL表号> {permit|deny}{<源IP|host><反掩码>|any} //表号1~99 扩...

    转载:https://www.cnblogs.com/chenjin2018/p/10163712.html

    1 ACL 的配置

    1.1 创建 ACL

          标准 ACL

    router(config)#access-list <ACL表号> {permit|deny}{<源IP|host><反掩码>|any}  //表号1~99

          扩展 ACL

    router(config)#access-list <ACL表号> {permit|deny}{<协议名称>|<端口号>}{<源IP><反掩码>}{<目的IP><反掩码>}{<关系><协议名称>}   //表号101~199

    1.2 应用 ACL

    router(config-if)#{协议栈} access-group <ACL表号> {in|out}   //协议栈可以为IP或IPX

     

    2 ACL 上机实验

    2.1 ACL 配置举例 1

    复制代码

    router(config)#access-list 1 deny 10.0.0.1 0.0.0.0   //ACL表号为1,丢弃10.0.0.1发出的数据包,相当于 deny host 10.0.0.1
    router(config)#access-list 1 permit any
    router(config)#access-list 2 permit any   //ACL表号为2,可以转发任意数据包
    router(config)#int s0/0
    router(config-if)#ip access-group 1 in   //该接口输入方向应用ACL列表组1,拒绝来自10.0.0.1的数据包
    router(config-if)#ip access-group 2 out   //该接口输出方向应用ACL列表组2,允许发出流经该路由器的所有数据包

    复制代码

     

    2.2 ACL 配置举例 2

    router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet   //不允许172.16.0.0网络的数据包telnet主机192.168.1.1
    router(config)#access-list 101 permit ip any any   //允许转发其他任何数据包
    router(config)#int s0/0
    router(config-if)#ip access-group 101 in

     

    2.3 ACL 配置举例 3

          限制只允许 192.168.2.2 访问 192.168.1.2 的 80 端口,192.168.3.2 访问 192.168.1.2 的 DNS。

    复制代码

    router(config)#ip access-list extended cj
    router(config ext-nacl)#permit udp host 192.168.3.2 host 192.168.1.2 eq 53
    router(config ext-nacl)#permit tcp host 192.168.2.2 host 192.168.1.2 eq 80
    router(config ext-nacl)#exit
    router(config)#int f0/0
    router(config-if)#ip access-group cj out

    复制代码

     

    2.4 ACL 配置举例 4

    要求:只允许 172.16.4.0/24 网络的主机通过端口 E0 进入网络 172.16.3.0/24,其他的被禁止。

          为了实现上面的实验要求,我们将网络拓扑进行简化,PC1 的 IP 设置为 172.16.4.2,PC2 的 IP 设置为 172.16.0.2,PC3 的 IP 设置为 172.16.3.2,最终要达到的要求为 PC1 网段的主机可以访问 PC3 网段的主机,PC2 网段的主机不能访问 PC3 网段的主机。需要注意的是这里的路由器的选择,如果选择不恰当会导致端口不够用,可以参照下面的网络拓扑图中所选路由器。 

          先对路由器进行配置,让三台 PC 之间都可以通信。

    复制代码

    Router>enable
    Router#conf t
    Router(config)#int gig0/0
    Router(config-if)#ip add 172.16.4.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit
    Router(config)#int gig0/1
    Router(config-if)#ip add 172.16.0.1 255.255.255.0
    Router(config-if)#no shut
    Router(config)#int gig0/2
    Router(config-if)#ip add 172.16.3.1 255.255.255.0
    Router(config-if)#no shut

    复制代码

          路由器配置完成后给各台 PC 分配 IP,并设置其网关,先来验证 PC1 和 PC2 都能 ping 通 PC3 。

          上述结果表明,在没有做 ACL 限制前,PC 之间是可以相互通信的,现在来设置 ACL 规则,让 PC1 可以 ping 通 PC3,而 PC2 不能 ping 通 PC3。

    Router(config)#access-list 5 permit 172.16.4.0 0.0.0.255
    Router(config)#int gig0/2
    Router(config-if)#ip access-group 5 out

          现在再来验证 PC 之间的通信。

          PC1 可以 ping 通 PC3,但 PC2 不能 ping 通 PC3,达到实验要求。这里并没有 deny any 的语句,是因为路由隐含在每个 ACL 列表的最后有一句拒绝所有数据包访问的语句,所以不用再专门写出了。

     

    2.5 ACL 配置举例 5 

    要求:

          (1)禁止从 172.16.4.0/24 通过 FTP 访问 172.16.3.0/24;

          (2)除此以外的其他访问和数据流都允许。

          为了验证上述实验,这里将网络拓扑图进行简化,由于 172.16.3.0 网段涉及 FTP 登录,这里用一台服务器来代替该网段,并设置 FTP 的登录账号和密码。

          以下是简化的网络拓扑图和对 server 的 FTP 的配置 。

          对路由器进行配置,配置好后为 PC 和 server 分配 IP,并设置其网关,然后验证 PC1 在没有做 ACL 限制前可以访问 FTP。

    复制代码

    Router>enable
    Router#conf t
    Router(config)#int gig0/0
    Router(config-if)#ip add 172.16.4.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit
    Router(config)#int gig0/1
    Router(config-if)#ip add 172.16.0.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit
    Router(config)#int gig0/2
    Router(config-if)#ip add 172.16.3.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit 

    复制代码

          现在对路由器做 ACL 限制,让 PC1 无法再登录 server 的 FTP。

    Router(config)#access-list 105 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
    Router(config)#access-list 105 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
    Router(config)#access-list 105 permit ip any any
    Router(config)#int gig0/0
    Router(config-if)#ip access-group 105 in

          验证 PC1 是否还能继续登录 server 的 FTP,由结果可以看出已经达到实验要求 。

          列表最后要有一句 permit ip any any,这个必须加上,因为一个列表中至少要有一句 permit 语句。

     

    2.6 ACL 配置举例 6 

    要求:

          (1)拒绝 172.16.2.0/24 这个网段的主机访问 SERVER1;

          (2)拒绝 PC1 访问 SERVER1;

          (3)只允许 PC1 对 R2 进行远程连接管理。

    复制代码

    R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255
    R2(config)#access-list 1 deny host 172.16.1.10
    R2(config)#access-list 1 permit any
    R2(config)#access-list 2 permit host 172.16.1.10
    R2(config)#int f0/0
    R2(config-if)#ip access-group 1 out   //对端口
    R2(config)#line vyt 0 4
    R2(config-line)#password fsh
    R2(config-line)#access-class 2 in   //对线模式

    复制代码

     

    2.7 ACL 配置举例 7 

    要求:

          (1)211.12.3.0/24 这个网段不能访问 SEREVER2 的网页和 FTP,其他服务可以访问;

          (2)所有设备都能 ping 通 PC4,但反之不行(单向 ping)。

          控制访问类别

    R2(config)#access-list 101 deny tcp 211.12.3.0 0.0.0.255 host 172.16.1.100 eq 80
    R2(config)#access-list 101 deny tcp 211.12.3.0 0.0.0.255 host 172.16.1.100 eq 20
    R2(config)#access-list 101 deny tcp 211.12.3.0 0.0.0.255 host 172.16.1.100 eq 21

          控制单向 ping

    复制代码

    R2(config)#access-list 101 permit icmp 211.12.3.0 0.0.0.255 any echo-reply   //echo-reply表示ICMP响应
    R2(config)#access-list 101 deny icmp 211.12.3.0 0.0.0.255 any   //拒绝211.12.3.0/24到其他任何网络的icmp包
    R2(config)#access-list 101 permit ip any any
    R2(config)#int f0/1
    R2(config-if)#ip access-group 101 in

    复制代码

     

    2.8 ACL 配置举例 8

    要求:

          (1)VLAN 10 不能访问 VLAN 30;

          (2)其余 VLAN 之间可以自由访问。

    1、划分 VLAN,并将各接口分配至 VLAN中。

    复制代码

    Switch>enable
    Switch#conf t
    Switch(config)#vlan 10
    Switch(config-vlan)#exit
    Switch(config)#vlan 20
    Switch(config-vlan)#exit
    Switch(config)#vlan 30
    Switch(config-vlan)#exit
    Switch(config)#int fa0/1
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 10
    Switch(config-if)#exit
    Switch(config)#int fa0/2
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 20
    Switch(config-if)#exit
    Switch(config)#int fa0/3
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 30
    Switch(config-if)#exit

    复制代码

    2、开启交换机路由功能,并给各虚拟 VLAN 接口配置 IP 地址,此接口和地址将成为 vlan 中主机的网关。

    复制代码

    Switch(config)#ip routing
    Switch(config)#int vlan 10
    Switch(config-if)#ip add 10.0.0.1 255.255.255.0
    Switch(config-if)#exit
    Switch(config)#int vlan 20
    Switch(config-if)#ip add 20.0.0.1 255.255.255.0
    Switch(config-if)#exit
    Switch(config)#int vlan 30
    Switch(config-if)#ip add 30.0.0.1 255.255.255.0
    Switch(config-if)#exit

    复制代码

    3、配置访问控制列表,并应用。

    Switch(config)#access-list 1 deny 10.0.0.0 0.0.0.255
    Switch(config)#access-list 1 permit any
    Switch(config)#int vlan 30
    Switch(config-if)#ip access-group 1 out

    4、配置各主机的 IP 地址及网关,通过 ping 检验各 vlan 之间的通信情况。

          PC1 去 ping 另外两台 PC 。

          另外两台 PC 的通信 。

     

    2.9 ACL 单向 ping 

    实验要求:

          (1)配好设备 IP 后,先相互 ping,能 ping 通;

          (1)设置 ACL,使得:

                1. 所有设备能 ping 通 PC3,即 PC3 能对所有 ping 请求作响应;

                2. PC3 不能 ping 其他设备。

          对交换机进行设置,将交换机与路由器相连的接口设置为 trunk 模式。

    Switch>enable
    Switch#conf t
    Switch(config)#int fa0/3
    Switch(config-if)#switchport mode trunk

          对路由器进行设置。

    复制代码

    Router>enable
    Router#conf t
    Router(config)#int fa0/0
    Router(config-if)#ip add 10.0.0.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit
    Router(config)#int fa1/0
    Router(config-if)#ip add 20.0.0.1 255.255.255.0
    Router(config-if)#no shut

    复制代码

          上述配置完成后给各台 PC 分配 IP,并设置它们的网关,然后验证它们之间的通信。这里的通信比较简单,自行去验证。

          ping 的动作总共分为两部分,一是源主机将数据包发送给目标主机,二是目标主机收到数据包后给源主机响应。由于 PC3 不能 ping 通其他 PC,而其他 PC 能够 ping 通 PC3,说明 PC3 能给其他所以 PC 响应,为了简化 ACL 配置,这里以 PC3 为源主机,允许它的所有 icmp 的响应,其他的 icmp 被限制,由于 PC3 为源主机,则数据包是经过路由器的 fa1/0 进入网络的,下面是 ACL 规则的配置。

    Router(config)#access-list 101 permit icmp 20.0.0.0 0.0.0.255 any echo-reply
    Router(config)#access-list 101 deny icmp 20.0.0.0 0.0.0.255 any
    Router(config)#access-list 101 permit ip any any
    Router(config)#int fa1/0
    Router(config-if)#ip access-group 101 in

          对结果进行验证,用 PC3 去 ping 其他两台 PC 。

          其他两台 PC 去 ping 主机 PC3 。

     

    2.10 ACL 控制 VLAN 之间的访问 

    实验要求:

          (1)开启三层交换机路由功能,PC1,PC2,PC3,PC4 和 server 分别在 vlan10,vlan20,vlan30,vlan40 和 vlan50;

          (2)查看路由表,确实各 VLAN 之间可以互通;

          (3)设置访问控制列表,使 VLAN 10 和 VLAN 20 之间不可以相互访问,VLAN 30 和 VLAN 40 与服务器所在的 VLAN 50 不可以相互访问;

          (4)其余所有的访问都是允许的。

          1、划分 VLAN,并将各接口分配至 VLAN 中。

    复制代码

    Switch>enable
    Switch#conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Switch(config)#vlan 10
    Switch(config-vlan)#exit
    Switch(config)#vlan 20
    Switch(config-vlan)#exit
    Switch(config)#vlan 30
    Switch(config-vlan)#exit
    Switch(config)#vlan 40
    Switch(config-vlan)#exit
    Switch(config)#vlan 50
    Switch(config-vlan)#exit
    Switch(config)#int fa0/1
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 10
    Switch(config-if)#exit
    Switch(config)#int fa0/2
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 20
    Switch(config-if)#exit
    Switch(config)#int fa0/3
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 30
    Switch(config-if)#exit
    Switch(config)#int fa0/4
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 40
    Switch(config-if)#exit
    Switch(config)#int fa0/5
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 50
    Switch(config-if)#exit

    复制代码

          2、开启交换机路由功能,并给各虚拟 VLAN 接口配置 IP 地址,此接口和地址将成为 vlan 中主机的网关。

    复制代码

    Switch(config)#int vlan 10
    Switch(config-if)#ip add 10.0.0.1 255.255.255.0
    Switch(config-if)#exit
    Switch(config)#int vlan 20
    Switch(config-if)#ip add 20.0.0.1 255.255.255.0
    Switch(config-if)#exit
    Switch(config)#int vlan 30
    Switch(config-if)#ip add 30.0.0.1 255.255.255.0
    Switch(config-if)#exit
    Switch(config)#int vlan 40
    Switch(config-if)#ip add 40.0.0.1 255.255.255.0
    Switch(config-if)#exit
    Switch(config)#int vlan 50
    Switch(config-if)#ip add 50.0.0.1 255.255.255.0
    Switch(config-if)#exit

    复制代码

          3、配置 vlan 10 与 vlan 20 不能相互访问的控制列表,并应用。

    复制代码

    Switch(config)#access-list 1 deny 20.0.0.0 0.0.0.255
    Switch(config)#access-list 1 permit any
    Switch(config)#int vlan 10 
    Switch(config-if)#ip access-group 1 out
    Switch(config-if)#exit
    Switch(config)#access-list 2 deny 10.0.0.0 0.0.0.255
    Switch(config)#access-list 2 permit any
    Switch(config)#int vlan 20
    Switch(config-if)#ip access-group 2 out
    Switch(config-if)#exit

    复制代码

          4、验证设置 ACL 后 vlan 10 与 vlan 20 之间的通信,结果表明设置的 ACL 已经生效,vlan 10 与 vlan 20之间不能相互访问 。

          5、配置 vlan 30 和 vlan 40 与 vlan 50 不能相互访问的控制列表,并应用。

    复制代码

    Switch(config)#access-list 3 deny 50.0.0.0 0.0.0.255
    Switch(config)#access-list 3 permit any
    Switch(config)#int vlan 30
    Switch(config-if)#ip access-group 3 out
    Switch(config-if)#exit
    Switch(config)#int vlan 40
    Switch(config-if)#ip access-group 3 out
    Switch(config-if)#exit
    Switch(config)#access-list 4 deny 30.0.0.0 0.0.0.255
    Switch(config)#access-list 4 deny 40.0.0.0 0.0.0.255
    Switch(config)#access-list 4 permit any
    Switch(config)#int vlan 50
    Switch(config-if)#ip access-group 4 out

    复制代码

          6、验证设置 AC L后 vlan 30 和 vlan 40 与 vlan 50 之间的通信,结果表明设置的 ACL 已经生效,vlan 30 和 vlan 40 与 vlan 50 之间不能相互访问。这里以 vlan 50 去访问 vlan 30 与 vlan 40为例,其他的通信情况自行测试 。

     

    2.11 ACL 综合练习 

    实验要求:

          (1)PC1 和 PC2 在 10.0.0.0 网段,server 在 20.0.0.0 网段,PC3 在 30.0.0.0 网段。在服务器 server 开启 HTTP 和 FTP 功能,设置 FTP 登录用户名、密码和访问权限;

          (2)10.0.0.0 网段可以访问 server 的 FTP,其他访问均被拒绝;

          (3)PC3 可以访问 server 的 HTTP,但不可以访问 server 的 FTP;

          (4)服务器 server 可以 ping 通所有设备,但所有设备不可以 ping 服务器 sever。

          对交换机进行配置。

    Switch>enable
    Switch#conf t
    Switch(config)#int fa0/3
    Switch(config-if)#switchport mode trunk

          对路由器进行配置,设置各台 PC 的网关及其掩码。

    复制代码

    Router>enable
    Router#conf t
    Router(config)#int gig0/0 
    Router(config-if)#ip add 10.0.0.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit
    Router(config)#int gig0/1
    Router(config-if)#ip add 30.0.0.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit
    Router(config)#int gig0/2
    Router(config-if)#ip add 20.0.0.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit

    复制代码

          配置访问控制列表,并应用。

    复制代码

    Router(config)#access-list 101 permit tcp 10.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255 eq 20
    Router(config)#access-list 101 permit tcp 10.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255 eq 21
    Router(config)#access-list 101 permit tcp 30.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255 eq 80
    Router(config)#access-list 101 permit icmp any 20.0.0.0 0.0.0.255 echo-reply
    Router(config)#access-list 101 deny icmp any 20.0.0.0 0.0.0.255
    Router(config)#int gig0/2
    Router(config-if)#ip access-group 101 out

    复制代码

          给所有 PC 和 server 分配 IP,并设置其网关,对 server 进行设置,开启 FTP 并添加用户,FTP 的设置可以参考前面的配置。验证 10.0.0.0 网段可以访问 server 的 FTP,其他访问被拒绝是否生效。由结果可以看出配置已经成功 。

          验证 PC 可以访问 server 的 HTTP,但不能访问 server 的 FTP 是否生效,结果表明 ACL 配置已经成功 。

          验证 server 可以 ping 通所有设备,所有设备不能 ping 通 server:

          server 去 ping 其他网段的 PC ;

          10.0.0.0 网段的 PC ping server ;

          30.0.0.0 网段的 PC ping server 。

          上述结果表明,已经达到实验要求。

          对 ACL 设置的小结:在应用 ACL 的时候,大部分同学可能会在判断是进入接口还在出接口的地方感到疑惑,解决这个问题最好的办法就是去看自己写的 ACL 规则,ACL 规则里面都有源主机地址,不论是标准还是扩展,都会写上源地址,那么从源地址出发到目标主机,看它经过的设备,这样能够一目了然看出应该应用在接口的出还是进。

     

    展开全文
  • 1.1创建 ACL 标准 ACL router(config)#access-list <ACL表号> {permit|deny}{<源IP|host><反掩码>|any} //表号1~99 扩展 ACL router(config)#access-list <ACL表号> {pe...

    1 ACL 的配置

    1.1 创建 ACL

          标准 ACL

    router(config)#access-list <ACL表号> {permit|deny}{<源IP|host><反掩码>|any}  //表号1~99

          扩展 ACL

    router(config)#access-list <ACL表号> {permit|deny}{<协议名称>|<端口号>}{<源IP><反掩码>}{<目的IP><反掩码>}{<关系><协议名称>}   //表号101~199

    1.2 应用 ACL

    router(config-if)#{协议栈} access-group <ACL表号> {in|out}   //协议栈可以为IP或IPX

     

    2 ACL 上机实验

    2.1 ACL 配置举例 1

    router(config)#access-list 1 deny 10.0.0.1 0.0.0.0   //ACL表号为1,丢弃10.0.0.1发出的数据包,相当于 deny host 10.0.0.1
    router(config)#access-list 1 permit any
    router(config)#access-list 2 permit any   //ACL表号为2,可以转发任意数据包
    router(config)#int s0/0
    router(config-if)#ip access-group 1 in   //该接口输入方向应用ACL列表组1,拒绝来自10.0.0.1的数据包
    router(config-if)#ip access-group 2 out   //该接口输出方向应用ACL列表组2,允许发出流经该路由器的所有数据包

     

    2.2 ACL 配置举例 2

    router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet   //不允许172.16.0.0网络的数据包telnet主机192.168.1.1
    router(config)#access-list 101 permit ip any any   //允许转发其他任何数据包
    router(config)#int s0/0
    router(config-if)#ip access-group 101 in

     

    2.3 ACL 配置举例 3

          限制只允许 192.168.2.2 访问 192.168.1.2 的 80 端口,192.168.3.2 访问 192.168.1.2 的 DNS。

    router(config)#ip access-list extended cj
    router(config ext-nacl)#permit udp host 192.168.3.2 host 192.168.1.2 eq 53
    router(config ext-nacl)#permit tcp host 192.168.2.2 host 192.168.1.2 eq 80
    router(config ext-nacl)#exit
    router(config)#int f0/0
    router(config-if)#ip access-group cj out

     

    2.4 ACL 配置举例 4

    要求:只允许 172.16.4.0/24 网络的主机通过端口 E0 进入网络 172.16.3.0/24,其他的被禁止。

          为了实现上面的实验要求,我们将网络拓扑进行简化,PC1 的 IP 设置为 172.16.4.2,PC2 的 IP 设置为 172.16.0.2,PC3 的 IP 设置为 172.16.3.2,最终要达到的要求为 PC1 网段的主机可以访问 PC3 网段的主机,PC2 网段的主机不能访问 PC3 网段的主机。需要注意的是这里的路由器的选择,如果选择不恰当会导致端口不够用,可以参照下面的网络拓扑图中所选路由器。 

          先对路由器进行配置,让三台 PC 之间都可以通信。

    Router>enable
    Router#conf t
    Router(config)#int gig0/0
    Router(config-if)#ip add 172.16.4.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit
    Router(config)#int gig0/1
    Router(config-if)#ip add 172.16.0.1 255.255.255.0
    Router(config-if)#no shut
    Router(config)#int gig0/2
    Router(config-if)#ip add 172.16.3.1 255.255.255.0
    Router(config-if)#no shut

          路由器配置完成后给各台 PC 分配 IP,并设置其网关,先来验证 PC1 和 PC2 都能 ping 通 PC3 。

          上述结果表明,在没有做 ACL 限制前,PC 之间是可以相互通信的,现在来设置 ACL 规则,让 PC1 可以 ping 通 PC3,而 PC2 不能 ping 通 PC3。

    Router(config)#access-list 5 permit 172.16.4.0 0.0.0.255
    Router(config)#int gig0/2
    Router(config-if)#ip access-group 5 out

          现在再来验证 PC 之间的通信。

          PC1 可以 ping 通 PC3,但 PC2 不能 ping 通 PC3,达到实验要求。这里并没有 deny any 的语句,是因为路由隐含在每个 ACL 列表的最后有一句拒绝所有数据包访问的语句,所以不用再专门写出了。

     

    2.5 ACL 配置举例 5 

    要求:

          (1)禁止从 172.16.4.0/24 通过 FTP 访问 172.16.3.0/24;

          (2)除此以外的其他访问和数据流都允许。

          为了验证上述实验,这里将网络拓扑图进行简化,由于 172.16.3.0 网段涉及 FTP 登录,这里用一台服务器来代替该网段,并设置 FTP 的登录账号和密码。

          以下是简化的网络拓扑图和对 server 的 FTP 的配置 。

          对路由器进行配置,配置好后为 PC 和 server 分配 IP,并设置其网关,然后验证 PC1 在没有做 ACL 限制前可以访问 FTP。

    Router>enable
    Router#conf t
    Router(config)#int gig0/0
    Router(config-if)#ip add 172.16.4.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit
    Router(config)#int gig0/1
    Router(config-if)#ip add 172.16.0.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit
    Router(config)#int gig0/2
    Router(config-if)#ip add 172.16.3.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit 

          现在对路由器做 ACL 限制,让 PC1 无法再登录 server 的 FTP。

    Router(config)#access-list 105 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
    Router(config)#access-list 105 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
    Router(config)#access-list 105 permit ip any any
    Router(config)#int gig0/0
    Router(config-if)#ip access-group 105 in

          验证 PC1 是否还能继续登录 server 的 FTP,由结果可以看出已经达到实验要求 。

          列表最后要有一句 permit ip any any,这个必须加上,因为一个列表中至少要有一句 permit 语句。

     

    2.6 ACL 配置举例 6 

    要求:

          (1)拒绝 172.16.2.0/24 这个网段的主机访问 SERVER1;

          (2)拒绝 PC1 访问 SERVER1;

          (3)只允许 PC1 对 R2 进行远程连接管理。

    R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255
    R2(config)#access-list 1 deny host 172.16.1.10
    R2(config)#access-list 1 permit any
    R2(config)#access-list 2 permit host 172.16.1.10
    R2(config)#int f0/0
    R2(config-if)#ip access-group 1 out   //对端口
    R2(config)#line vyt 0 4
    R2(config-line)#password fsh
    R2(config-line)#access-class 2 in   //对线模式

     

    2.7 ACL 配置举例 7 

    要求:

          (1)211.12.3.0/24 这个网段不能访问 SEREVER2 的网页和 FTP,其他服务可以访问;

          (2)所有设备都能 ping 通 PC4,但反之不行(单向 ping)。

          控制访问类别

    R2(config)#access-list 101 deny tcp 211.12.3.0 0.0.0.255 host 172.16.1.100 eq 80
    R2(config)#access-list 101 deny tcp 211.12.3.0 0.0.0.255 host 172.16.1.100 eq 20
    R2(config)#access-list 101 deny tcp 211.12.3.0 0.0.0.255 host 172.16.1.100 eq 21

          控制单向 ping

    R2(config)#access-list 101 permit icmp 211.12.3.0 0.0.0.255 any echo-reply   //echo-reply表示ICMP响应
    R2(config)#access-list 101 deny icmp 211.12.3.0 0.0.0.255 any   //拒绝211.12.3.0/24到其他任何网络的icmp包
    R2(config)#access-list 101 permit ip any any
    R2(config)#int f0/1
    R2(config-if)#ip access-group 101 in

     

    2.8 ACL 配置举例 8

    要求:

          (1)VLAN 10 不能访问 VLAN 30;

          (2)其余 VLAN 之间可以自由访问。

    1、划分 VLAN,并将各接口分配至 VLAN中。

    Switch>enable
    Switch#conf t
    Switch(config)#vlan 10
    Switch(config-vlan)#exit
    Switch(config)#vlan 20
    Switch(config-vlan)#exit
    Switch(config)#vlan 30
    Switch(config-vlan)#exit
    Switch(config)#int fa0/1
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 10
    Switch(config-if)#exit
    Switch(config)#int fa0/2
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 20
    Switch(config-if)#exit
    Switch(config)#int fa0/3
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 30
    Switch(config-if)#exit

    2、开启交换机路由功能,并给各虚拟 VLAN 接口配置 IP 地址,此接口和地址将成为 vlan 中主机的网关。

    Switch(config)#ip routing
    Switch(config)#int vlan 10
    Switch(config-if)#ip add 10.0.0.1 255.255.255.0
    Switch(config-if)#exit
    Switch(config)#int vlan 20
    Switch(config-if)#ip add 20.0.0.1 255.255.255.0
    Switch(config-if)#exit
    Switch(config)#int vlan 30
    Switch(config-if)#ip add 30.0.0.1 255.255.255.0
    Switch(config-if)#exit

    3、配置访问控制列表,并应用。

    Switch(config)#access-list 1 deny 10.0.0.0 0.0.0.255
    Switch(config)#access-list 1 permit any
    Switch(config)#int vlan 30
    Switch(config-if)#ip access-group 1 out

    4、配置各主机的 IP 地址及网关,通过 ping 检验各 vlan 之间的通信情况。

          PC1 去 ping 另外两台 PC 。

          另外两台 PC 的通信 。

     

    2.9 ACL 单向 ping 

    实验要求:

          (1)配好设备 IP 后,先相互 ping,能 ping 通;

          (1)设置 ACL,使得:

                1. 所有设备能 ping 通 PC3,即 PC3 能对所有 ping 请求作响应;

                2. PC3 不能 ping 其他设备。

          对交换机进行设置,将交换机与路由器相连的接口设置为 trunk 模式。

    Switch>enable
    Switch#conf t
    Switch(config)#int fa0/3
    Switch(config-if)#switchport mode trunk

          对路由器进行设置。

    Router>enable
    Router#conf t
    Router(config)#int fa0/0
    Router(config-if)#ip add 10.0.0.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit
    Router(config)#int fa1/0
    Router(config-if)#ip add 20.0.0.1 255.255.255.0
    Router(config-if)#no shut

          上述配置完成后给各台 PC 分配 IP,并设置它们的网关,然后验证它们之间的通信。这里的通信比较简单,自行去验证。

          ping 的动作总共分为两部分,一是源主机将数据包发送给目标主机,二是目标主机收到数据包后给源主机响应。由于 PC3 不能 ping 通其他 PC,而其他 PC 能够 ping 通 PC3,说明 PC3 能给其他所以 PC 响应,为了简化 ACL 配置,这里以 PC3 为源主机,允许它的所有 icmp 的响应,其他的 icmp 被限制,由于 PC3 为源主机,则数据包是经过路由器的 fa1/0 进入网络的,下面是 ACL 规则的配置。

    Router(config)#access-list 101 permit icmp 20.0.0.0 0.0.0.255 any echo-reply
    Router(config)#access-list 101 deny icmp 20.0.0.0 0.0.0.255 any
    Router(config)#access-list 101 permit ip any any
    Router(config)#int fa1/0
    Router(config-if)#ip access-group 101 in

          对结果进行验证,用 PC3 去 ping 其他两台 PC 。

          其他两台 PC 去 ping 主机 PC3 。

     

    2.10 ACL 控制 VLAN 之间的访问 

    实验要求:

          (1)开启三层交换机路由功能,PC1,PC2,PC3,PC4 和 server 分别在 vlan10,vlan20,vlan30,vlan40 和 vlan50;

          (2)查看路由表,确实各 VLAN 之间可以互通;

          (3)设置访问控制列表,使 VLAN 10 和 VLAN 20 之间不可以相互访问,VLAN 30 和 VLAN 40 与服务器所在的 VLAN 50 不可以相互访问;

          (4)其余所有的访问都是允许的。

          1、划分 VLAN,并将各接口分配至 VLAN 中。

    Switch>enable
    Switch#conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Switch(config)#vlan 10
    Switch(config-vlan)#exit
    Switch(config)#vlan 20
    Switch(config-vlan)#exit
    Switch(config)#vlan 30
    Switch(config-vlan)#exit
    Switch(config)#vlan 40
    Switch(config-vlan)#exit
    Switch(config)#vlan 50
    Switch(config-vlan)#exit
    Switch(config)#int fa0/1
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 10
    Switch(config-if)#exit
    Switch(config)#int fa0/2
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 20
    Switch(config-if)#exit
    Switch(config)#int fa0/3
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 30
    Switch(config-if)#exit
    Switch(config)#int fa0/4
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 40
    Switch(config-if)#exit
    Switch(config)#int fa0/5
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan 50
    Switch(config-if)#exit

          2、开启交换机路由功能,并给各虚拟 VLAN 接口配置 IP 地址,此接口和地址将成为 vlan 中主机的网关。

    Switch(config)#int vlan 10
    Switch(config-if)#ip add 10.0.0.1 255.255.255.0
    Switch(config-if)#exit
    Switch(config)#int vlan 20
    Switch(config-if)#ip add 20.0.0.1 255.255.255.0
    Switch(config-if)#exit
    Switch(config)#int vlan 30
    Switch(config-if)#ip add 30.0.0.1 255.255.255.0
    Switch(config-if)#exit
    Switch(config)#int vlan 40
    Switch(config-if)#ip add 40.0.0.1 255.255.255.0
    Switch(config-if)#exit
    Switch(config)#int vlan 50
    Switch(config-if)#ip add 50.0.0.1 255.255.255.0
    Switch(config-if)#exit

          3、配置 vlan 10 与 vlan 20 不能相互访问的控制列表,并应用。

    Switch(config)#access-list 1 deny 20.0.0.0 0.0.0.255
    Switch(config)#access-list 1 permit any
    Switch(config)#int vlan 10 
    Switch(config-if)#ip access-group 1 out
    Switch(config-if)#exit
    Switch(config)#access-list 2 deny 10.0.0.0 0.0.0.255
    Switch(config)#access-list 2 permit any
    Switch(config)#int vlan 20
    Switch(config-if)#ip access-group 2 out
    Switch(config-if)#exit

          4、验证设置 ACL 后 vlan 10 与 vlan 20 之间的通信,结果表明设置的 ACL 已经生效,vlan 10 与 vlan 20之间不能相互访问 。

          5、配置 vlan 30 和 vlan 40 与 vlan 50 不能相互访问的控制列表,并应用。

    Switch(config)#access-list 3 deny 50.0.0.0 0.0.0.255
    Switch(config)#access-list 3 permit any
    Switch(config)#int vlan 30
    Switch(config-if)#ip access-group 3 out
    Switch(config-if)#exit
    Switch(config)#int vlan 40
    Switch(config-if)#ip access-group 3 out
    Switch(config-if)#exit
    Switch(config)#access-list 4 deny 30.0.0.0 0.0.0.255
    Switch(config)#access-list 4 deny 40.0.0.0 0.0.0.255
    Switch(config)#access-list 4 permit any
    Switch(config)#int vlan 50
    Switch(config-if)#ip access-group 4 out

          6、验证设置 AC L后 vlan 30 和 vlan 40 与 vlan 50 之间的通信,结果表明设置的 ACL 已经生效,vlan 30 和 vlan 40 与 vlan 50 之间不能相互访问。这里以 vlan 50 去访问 vlan 30 与 vlan 40为例,其他的通信情况自行测试 。

     

    2.11 ACL 综合练习 

    实验要求:

          (1)PC1 和 PC2 在 10.0.0.0 网段,server 在 20.0.0.0 网段,PC3 在 30.0.0.0 网段。在服务器 server 开启 HTTP 和 FTP 功能,设置 FTP 登录用户名、密码和访问权限;

          (2)10.0.0.0 网段可以访问 server 的 FTP,其他访问均被拒绝;

          (3)PC3 可以访问 server 的 HTTP,但不可以访问 server 的 FTP;

          (4)服务器 server 可以 ping 通所有设备,但所有设备不可以 ping 服务器 sever。

          对交换机进行配置。

    Switch>enable
    Switch#conf t
    Switch(config)#int fa0/3
    Switch(config-if)#switchport mode trunk

          对路由器进行配置,设置各台 PC 的网关及其掩码。

    Router>enable
    Router#conf t
    Router(config)#int gig0/0 
    Router(config-if)#ip add 10.0.0.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit
    Router(config)#int gig0/1
    Router(config-if)#ip add 30.0.0.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit
    Router(config)#int gig0/2
    Router(config-if)#ip add 20.0.0.1 255.255.255.0
    Router(config-if)#no shut
    Router(config-if)#exit

          配置访问控制列表,并应用。

    Router(config)#access-list 101 permit tcp 10.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255 eq 20
    Router(config)#access-list 101 permit tcp 10.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255 eq 21
    Router(config)#access-list 101 permit tcp 30.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255 eq 80
    Router(config)#access-list 101 permit icmp any 20.0.0.0 0.0.0.255 echo-reply
    Router(config)#access-list 101 deny icmp any 20.0.0.0 0.0.0.255
    Router(config)#int gig0/2
    Router(config-if)#ip access-group 101 out

          给所有 PC 和 server 分配 IP,并设置其网关,对 server 进行设置,开启 FTP 并添加用户,FTP 的设置可以参考前面的配置。验证 10.0.0.0 网段可以访问 server 的 FTP,其他访问被拒绝是否生效。由结果可以看出配置已经成功 。

          验证 PC 可以访问 server 的 HTTP,但不能访问 server 的 FTP 是否生效,结果表明 ACL 配置已经成功 。

          验证 server 可以 ping 通所有设备,所有设备不能 ping 通 server:

          server 去 ping 其他网段的 PC ;

          10.0.0.0 网段的 PC ping server ;

          30.0.0.0 网段的 PC ping server 。

          上述结果表明,已经达到实验要求。

          对 ACL 设置的小结:在应用 ACL 的时候,大部分同学可能会在判断是进入接口还在出接口的地方感到疑惑,解决这个问题最好的办法就是去看自己写的 ACL 规则,ACL 规则里面都有源主机地址,不论是标准还是扩展,都会写上源地址,那么从源地址出发到目标主机,看它经过的设备,这样能够一目了然看出应该应用在接口的出还是进。

     

    转载于:https://www.cnblogs.com/chenjin2018/p/10163712.html

    展开全文
  • 实验过程:1、配置路由器的基本参数2、验证连通性3、创建ACL注明:扩展ACL的编号范围为100-199。我们需要拒绝的是PING命令,它是属于ICMP协议,所以我们需要拒绝ICMP。用反掩码绝对匹配一个源地址,用反掩码绝...
  • 1 ACL的配置1.1创建 ACL标准 ACLrouter(config)#access-list {permit|deny}{|any} //表号1~99扩展 ACLrouter(config)#access-list {permit|deny}{|}{}{}{} //表号101~1991.2应用 ACLrouter(config-if)#{协议栈} ...
  • Extreme Summit交换机ACL配置

    千次阅读 2016-10-04 00:25:18
    前言: 笔者实验用的交换机型号为Extreme Summit X670-48x。1. 查看交换机上全局ACL规则使用命令show access-list:2. 查看特定端口的ACL规则例如我要看port ... 创建ACL命令使用create access-list <ACL名> <条件> per
  • Access Control List,实现灵活的权限管理 除了文件的所有者,所属组和其它人,可以对更多的用户设置权限 CentOS7 默认创建的xfs和ext4文件系统具有ACL功能 CentOS7 之前版本,默认手工创建的ext4文件系统无ACL功能,...
  • 一. ACL中还存在标准(standard)命名访问控制列表和扩展(extended)命名访问控制列表. 创建ACL命令语法如下: Router(config)# ip access-list {standard | extended} access-list-name ...
  • Zookeeper ACL

    2020-05-13 23:50:40
    Zookeeper ACL控制命令名词解释创建节点设置ACL创建Auth Digest设置ACL策略setAcl auth 例子:setAcl digst 例子:密文生成 命令名词解释 acl Access Control List 访问控制列表 auth Authentication 身份认证,在...
  • 每个节点在zookeeper中被称做znode,我们可以对节点进行create创建节点,delete删除节点。 zookeeper的节点有多种类型:分别为临时节点 、持久节点、临时有序节点、持久有序节点、容器节点、TTL节点 命令演示: ...
  • ACL配置

    2019-07-19 16:12:37
    [RTA]acl 2000 //用命令创建一个ACL,并进入ACL视图 [RTA-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 [RTA]interface GigabitEthernet 0/0/0 [RTA-GigabitEthernet 0/0/0]traffic-filter outb...
  • 1、先把基础工作做好,就是配置VLAN,配置Trunk,确定10个VLAN和相应的端口都...2、为第一个VLAN 10创建一个ACL命令ACL number 2000这个2000号,可以写的数是2000-2999,是基本的ACL定义。然后在这个ACL下继续...
  • 1、创建VLAN其实只要分为2步,只需要2条命令:①如果需要把网关放在EX2200里,就是需要创建一个虚拟的三层接口SVI,所以我们可以先创建一个SVI作为即将创建的VLAN网关。②创建VLAN的同时,把虚拟接口SVI与vlan匹配...
  • acl

    2010-08-01 13:16:31
    ACL 简介 用户权限管理始终是 Unix 系统管理中最重要的环节。大家对 Linux/Unix 的 UGO 权限管理方式一定不陌生,还有最常用的 chmod 命令。为了实现一些比较复杂的权限管理,往往不得不创建很多的组,并加以详细...
  • ACL技术配置

    千次阅读 2020-10-31 23:46:42
    ###创建acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加) [Huawei] interface GigabitEthernet 0/0/1 [ Huawei-...
  • 1.用户相关命令 useradd - 创建用户,默认创建与用户名同名的用户组 groupadd - 创建用户组 usermod - 修改用户的属性,如UID、所属组、附加组等 passwd - 修改密码相关属性,如修改密码、密码过期时间等 ...
  • 配置基本ACL案例

    2020-11-07 16:15:13
    如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。 背景信息 基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。 如果只需要根据源IP地址对报文进行过滤,可以...
  • 过滤点2.ACL的分类重难点访问ACL原理编写ACL的规则命令标准ACL命令扩展ACL命令创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能...
  • 配置高级ACL案例

    2020-11-07 16:43:47
    •如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。 背景信息 高级ACL根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对...
  • linux ACL

    2015-07-07 11:30:31
    ACL 简介用户权限管理始终是 Unix 系统管理中最重要的环节。大家对 Linux/Unix 的 UGO 权限管理方式一定不陌生,还有最常用的 chmod 命令。为了实现一些比较复杂的权限管理,往往不得不创建很多的组,并加以详细的...
  • 访问控制列表ACL

    2018-03-09 12:15:00
    ACL:Access Control List访问控制列表 除了文件原本的权限位设置,可以自定义用户访问控制。 CentOS 7 默认创建的xfs和ext4文件系统...比如在6上新加一块磁盘,创建了sdb1分区,可以用下面命令使其支持ACL: ...
  • 防火墙ACL

    2011-09-20 16:32:01
    防火墙ACL 靠近源地址的设置扩展ACL ...1,创建ACL 命令access-list access-list-number {permit|deny} source [mask] 2,将ACL绑定到指定接口 命令为在接口模式下 ip access-group access-list-n...
  • linux ACL权限控制

    2019-10-06 18:24:55
    Cent7系统之前,只有系统安装时创建的文件系统支持ACL,后来创建的文件系统则不支持。  Cent7系统后,不管文件系统是否在安装系统时被建立,都支持ACL。 二. 命令:  getfacl:用于查看ACL权限。  ...
  • 访问控制列表3.ACL的分类(1)按照创建ACL时的命令方式分为数字型ACL和命名型ACL(2)按照ACL的功能分类,ACL可以分为:基本ACL,高级ACL,二层ACL,用户ACL,其中应用最为广泛的是基本ACL和高级ACL4、ACL的工作原理...
  • Linux ACL

    千次阅读 2012-06-06 21:53:26
    为了实现一些比较复杂的权限管理,往往不得不创建很多的组,并加以详细的记录和区分(很多时候就是管理员的噩梦)。可以针对某一个用户对某一文件指定一个权限,恐怕管理员都期待的功能。比如对某一个特定的
  • 直接报错:Connection closed. 这是什么原因造成的呢?首先ping服务IP,发现能ping得通...在开启救援模式查看messages日志发现原来是acl策略导致SSH服务不可用。 解决方法是setfacl -R -b /,把acl策略都删除了。 ...
  • umask 系统创建文件时默认保留的权力 umask 077 临时设定系统预留权限为077 修改之后的权限:目录:700;文件:600 目录的权限就是用777减去umask值,文件再减100 此命令只是临时修改,系统配置文件并没有...
  • 文件权限管理及ACL设置

    千次阅读 2015-08-14 20:20:11
    1、ACL命令工具的使用。 2、对扩展ACL的理解。 三、 实验内容及步骤 1、使用文件管理器给文件或目录设置权限。 1) 在/tmp目录中创建两个新文件newfile,test,将newfile文件访问权限设置
  • Linux ACL 体验

    2018-07-13 18:10:59
    ACL 简介用户权限管理始终是 Unix 系统管理中最重要的环节。大家对 Linux/Unix 的 UGO 权限管理方式一定不陌生,还有最常用的 chmod 命令。为了实现一些比较复杂的权限管理,往往不得不创建很多的组,并加以详细的...

空空如也

空空如也

1 2 3 4 5 ... 17
收藏数 334
精华内容 133
关键字:

创建acl命令