精华内容
下载资源
问答
  • ACL标准访问控制列表

    2018-01-18 14:04:58
    路由器上配置RIP协议,并在R1上配置标准ACL实现以下功能: 服务器组的计算机拒绝访问Internet,其余部门可以访问Internet R1: Router>enable Router#conf t Enter configuration commands, one per line. End...

    路由器上配置RIP协议,并在R1上配置标准ACL实现以下功能:

    服务器组的计算机拒绝访问Internet,其余部门可以访问Internet


    
    R1:
    Router>enable
    Router#conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Router(config)#hostname R1
    R1(config)#int ethernet 1/0
    R1(config-if)#no shutdown
    R1(config-if)#ip address 192.168.1.1 255.255.255.0
    R1(config-if)#int eth1/1
    R1(config-if)#no shutdown
    R1(config-if)#ip address 192.168.0.1 255.255.255.0
    R1(config-if)#int eth1/2
    R1(config-if)#no shutdown
    R1(config-if)#ip address 192.168.2.1 255.255.255.0
    R1(config-if)#exit
    R1(config)#int serial 0/3/0
    R1(config-if)#no shutdown
    R1(config-if)#ip address 192.168.3.1 255.255.255.0
    R1(config-if)#exit
    R1(config)#router rip
    R1(config-router)#network 192.168.1.0
    R1(config-router)#network 192.168.2.0
    R1(config-router)#network 192.168.3.0
    R1(config-router)#network 192.168.0.0
    R1(config-router)#exit
    R1(config)#^Z
    R1#show ip route 
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is not set
    
    C    192.168.0.0/24 is directly connected, Ethernet1/1
    C    192.168.1.0/24 is directly connected, Ethernet1/0
    C    192.168.2.0/24 is directly connected, Ethernet1/2
    R1(config)#access-list 10
    R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255
    R1(config)#access-list 10 permit 192.168.2.0 0.0.0.255
    R1(config)#int serial 0/3/0
    R1(config-if)#ip access-group 10 out
    R1(config-if)#no ip access-group 10 in 
    R1(config-if)#ip access-group 10 out
    R2:
    Router>enable
    Router#conf t
    Router(config)#hostname R2
    R2(config)#int serial 0/3/0
    R2(config-if)#no shutdown
    R2(config-if)#ip address 192.168.3.2 255.255.25.0
    Bad mask 0xFFFF1900 for address 192.168.3.2
    R2(config-if)#ip address 192.168.3.2 255.255.255.0
    R2(config-if)#int fa0/1
    R2(config-if)#no shutdown 
    R2(config-if)#ip address 10.0.0.1 255.0.0.0
    R2(config-if)#
    R2(config-if)#exit
    R2(config)#router
    R2(config)#router r
    R2(config)#router rip 
    R2(config-router)#network 192.168.3.0 
    R2(config-router)#network 10.0.0.0
    R2(config-router)#end
    R2#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    Gateway of last resort is not set
    C    10.0.0.0/8 is directly connected, FastEthernet0/1
    R    192.168.0.0/24 [120/1] via 192.168.3.1, 00:00:06, Serial0/3/0
    R    192.168.1.0/24 [120/1] via 192.168.3.1, 00:00:06, Serial0/3/0
    R    192.168.2.0/24 [120/1] via 192.168.3.1, 00:00:06, Serial0/3/0
    C    192.168.3.0/24 is directly connected, Serial0/3/0
     
    
    


    展开全文
  • 作用和优点分类ACL访问控制列表——标准(1-99)小结:ACL的允许或拒绝的数据源有三大类:总结ACL的特点(掌握) 什么是AClACl(access- list )访问控制列表 List----列表 作用和优点 主要作用:对经过路由器的...

    什么是ACl?

    ACl(access- list )访问控制列表 List----列表

    作用和优点

    • 主要作用:对经过路由器的数据包进行“过滤审核”
    • 审核----如果通过的给予放行(permit),审核未通过的则给予拒绝(deny)
    • 好处:可以减少网络的流量和保护网络的安全性

    分类

    • 列表分为2大类:
      1)标准ACL(1–99)
      2)扩展ACL(100-199)

    ACL访问控制列表——标准(1-99)

    1)建立表
    Router(config)#access-list 列表号 permit (允许) host(单个IP) 192.168.1.2
    (1-99) deny (拒绝)
    2)进入接口调用表
    Router(config)#int e1/0
    Router(config-if)#ip access-group 1 out

    小结:ACL的允许或拒绝的数据源有三大类:

    1)host 192.168.1.3 (单个IP )
    2)192.168.2.0 0.0.0.255 (一个网段)
    3)any (任何)

    总结ACL的特点(掌握)

    1. ACl的执行具有顺序性,从上往下依次去执行检查,条件一旦满足,检查立即停止
    2. 每个ACL在检查列表的最下方都有一个隐藏的检查语句,叫“拒绝所有”(deny any)
    3. 具有特殊条件的语句应该放在ACL的最前边;范围小的放最前(最上边)

    总结:列表如果有范围包括与被包括的时候,那么按照先 ip 再网段 ,最后再应用any

    展开全文
  • 访问控制列表--标准ACL

    万次阅读 多人点赞 2018-07-05 12:23:04
    访问控制列表(Access Control List,简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能,在现实中应用广泛。ACL根据功能的不同分为标准...

    访问控制列表(Access Control List,简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能,在现实中应用广泛。ACL根据功能的不同分为标准ACL和扩展ACL。标准ACL只能过滤报文的源IP地址;扩展ACL可以过滤源IP、目的IP、协议类型、端口号等。ACL的配置主要分为两个步骤:(1)根据需求编写ACL(2)ACL应用到路由器接口的某个方向。本章主要介绍各种常用ACL的编写与应用。

    1.1 实验目的

    1)了解访问控制列表的工作过程

    2)掌握标准访问控制列表的配置和应用

    3)熟悉标准ACL的调试

    1.2 实验原理

    1. 什么是访问控制列表(Access Control List?

    访问控制列表(Access Control List)是一种路由器配置脚本,它根据从数据包报头中发现的条件来控制路由器应该允许还是拒绝数据包通过。通过接入控制列表可以在路由器、三层交换机上进行网络安全属性配置,可以实现对进入路由器、三层交换机的输入数据流进行过滤,但ACL 对路由器自身产生的数据包不起作用。

    当每个数据包经过关联有 ACL 的接口时,都会与 ACL 中的语句从上到下一行一行进行比对,以便发现符合该传入数据包的模式。ACL 使用允许或拒绝规则来决定数据包的命运,通过此方式来贯彻一条或多条公司安全策略。还可以配置 ACL 来控制对网络或子网的访问。另外,也可以在VTY线路接口上使用访问控制列表,来保证telnet的连接的安全性。

    默认情况下,路由器上没有配置任何 ACL,不会过滤流量。进入路由器的流量根据路由表进行路由。如果路由器上没有使用 ACL,所有可以被路由器路由的数据包都会经过路由器到达下一个网段。ACL 主要执行以下任务:

    限制网络流量以提高网络性能。例如,如果公司政策不允许在网络中传输视频流量,那么就应该配置和应用 ACL 以阻止视频流量。这可以显著降低网络负载并提高网络性能。

    提供流量控制。ACL 可以限制路由更新的传输。如果网络状况不需要更新,便可从中节约带宽。

    提供基本的网络访问安全性。ACL 可以允许一台主机访问部分网络,同时阻止其它主机访问同一区域。例如,“人力资源”网络仅限选定用户进行访问。

    决定在路由器接口上转发或阻止哪些类型的流量。例如,ACL 可以允许电子邮件流量,但阻止所有 Telnet 流量。

    l 控制客户端可以访问网络中的哪些区域。

    屏蔽主机以允许或拒绝对网络服务的访问。ACL 可以允许或拒绝用户访问特定文件类型,例如 FTP 或 HTTP。

    2.访问控制列表的分类

    ACL的类型主要分为IP标准访问控制列表(Standard IP ACL)和IP扩展访问控制列表(Extended IP ACL)两大类:

    l IP标准访问控制列表(Standard IP ACL)。标准 ACL 根据源 IP 地址允许或拒绝流量。数据包中包含的目的地址和端口无关紧要。   

    l IP扩展访问控制列表(Extended IP ACL )。扩展 ACL 根据多种属性(例如,协议类型、源和 IP 地址、目的 IP 地址、源 TCP 或 UDP 端口、目的 TCP 或 UDP 端口)过滤 IP 数据包,并可依据协议类型信息(可选)进行更为精确的控制。

    此外还包括一些复杂的ACL,例如命名ACL,基于时间的ACL,动态ACL,自反ACL等。

    3.ACL工作原理

    ACL 要么配置用于入站流量,要么用于出站流量。入站 ACL 传入数据包经过处理之后才会被路由到出站接口。入站 ACL 非常高效,如果数据包被丢弃,则节省了执行路由查找的开销。当测试表明应允许该数据包后,路由器才会处理路由工作。图1就是入站ACL的工作原理图。

                    

    1 入站ACL工作原理

    图中显示了入站 ACL 的逻辑。如果数据包报头与某条 ACL 语句匹配,则会跳过列表中的其它语句,由匹配的语句决定是允许还是拒绝该数据包。如果数据包报头与 ACL 语句不匹配,那么将使用列表中的下一条语句测试数据包。此匹配过程会一直继续,直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配,并会发出“拒绝”指令。此时路由器不会让这些数据进入或送出接口,而是直接丢弃它们。最后这条语句通常称为“隐式 deny any 语句”或“拒绝所有流量”语句。由于该语句的存在,所以 ACL 中应该至少包含一条 permit 语句,否则 ACL 将阻止所有流量。出站 ACL 传入数据包路由到出站接口后,由出站 ACL 进行处理。

                 

    2 出站ACL工作原理

    2中显示了出站 ACL 的逻辑。在数据包转发到出站接口之前,路由器检查路由表以查看是否可以路由该数据包。如果该数据包不可路由,则丢弃它。接下来,路由器检查出站接口是否配置有 ACL。如果出站接口没有配置 ACL,那么数据包可以发送到输出缓冲区。

    4. 3P原则

    在路由器上应用 ACL 的一般规则我们简称为3P原则。即我们可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL:

    每种协议一个 ACL: 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。

    每个方向一个 ACL:一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。

    每个接口一个 ACL:一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。

    5. ACL的放置位置

    每一个路由器接口的每一个方向,每一种协议只能创建一个ACL在适当的位置放置 ACL 可以过滤掉不必要的流量,使网络更加高效。ACL 可以充当防火墙来过滤数据包并去除不必要的流量。ACL 的放置位置决定了是否能有效减少不必要的流量。例如,会被远程目的地拒绝的流量不应该消耗通往该目的地的路径上的网络资源。每个 ACL 都应该放置在最能发挥作用的位置。基本的规则是:

    将扩展 ACL 尽可能靠近要拒绝流量的源。这样,才能在不需要的流量流经网络之前将其过滤掉。

    因为标准 ACL 不会指定目的地址,所以其位置应该尽可能靠近目的地。

    6. 标准ACL的配置命令

    标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号199来创建相应的ACL。标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。

    要配置标准ACL,首先在全局配置模式中执行以下命令:

        Router(config)#access-list access-list-number {remark | permit | deny} protocol source source-wildcard [log]

    参数说明:

    参数

    参数含义

    access-list-number

    标准ACL号码,范围从0-99,13001999

    remark

    添加备注,增强ACL的易读性

    permit

    条件匹配时允许访问

    deny

    条件匹配时拒绝访问

    protocol

    指定协议类型,egIP,TCP,UDP,ICMP

    source 

    发送数据包的网络地址或者主机地址

    source-wildcard

    通配符掩码,和源地址对应

    log

    对符合条件的数据包生成日志消息,该消息将发送到控制台

    其次,配置标准 ACL 之后,可以在接口模式下使用 ip access-group 命令将其关联到具体接口:

    Router(config-if)#ip access-group access-list-number  {in | out}

    参数

    参数含义

    ip access-group

    标准ACL号码,范围从0-99,13001999

    access-list-number

    标准ACL号码,范围从0-99,13001999

    in

    参数in限制特定设备与访问列表中地址之间的传入连接

    out

    参数out限制特定设备与访问列表中地址之间的传出连接

     

    7.标准ACL的配置实例

                     

    地址表:

    设备

    接口

    IP地址

    子网掩码

    R1

    Fa 0/0

    192.168.1.1

    255.255.255.0

    S 0/0/0

    172.16.1.2

    255.255.255.252

    R2

    S 0/0/0

    172.16.1.1

    255.255.255.252

    S 0/0/1

    172.16.1.5

    255.255.255.252

    Fa 0/0

    192.168.1

    255.255.255.0

    R3

    S 0/0/1

    172.16.1.6

    255.255.255.252

    Fa 0/0

    192.168.20.1

    255.255.255.0

    PC1

    NIC

    192.168.1.10

    255.255.255.0

    PC2

    NIC

    192.168.10

    255.255.255.0

    PC3

    NIC

    192.168.20.10

    255.255.255.0

    1 IP地址表

    本实验案例要求只允许PC1通过telnet方式登录路由器R1,R2R3。只允许PC1所在网段访问PC3所在网段。整个网络可以配置RIP或者OSPF路由协议保证整个网络的畅通。

    (1) 步骤1:配置路由器R1


    R1(config-if)#inter fa 0/0


    R1(config-if)#ip add 192.168.1.1 255.255.255.0


    R1(config-if)#no shut


    R1(config-if)#inter s 0/0/0


    R1(config-if)#ip add 172.16.1.2 255.255.255.252


    R1(config-if)#clock rate 64000


    R1(config-if)#no shut


    R1(config-if)#exit


    R1(config)#enable secret cisco  //配置enable密码


    R1(config)#router ospf 1


    R1(config-router)#network 172.16.1.0 0.0.0.3 area 0


    R1(config-router)#network 192.168.1.0 0.0.0.255 area 0  //以上3条为配置ospf路由协议,保证网络正常联通


    R1(config)#access-list 2 permit 192.168.1.10  //定义ACL2,允许源IP地址为192.168.1.10的数据包通过


    R1(config-if)#line vty 0 4


    R1(config-line)#access-class 2 in  //在接口下应用定义的ACL2,允许IP地址为192.168.1.10的主机通过TELNET连接到路由器R1


    R1(config-line)#password cisco   //配置TELNET远程登录密码为cisco


    R1(config-line)#login


    (2)步骤2:配置路由器R2


    R2(config)#inter s0/0/0


    R2(config-if)#ip add 172.16.1.1 255.255.255.252


    R2(config-if)#clock rate 64000


    R2(config-if)#no shut


    R2(config-if)#exit


    R2(config)#inter s0/0/1


    R2(config-if)#ip add 172.16.1.5 255.255.255.252


    R2(config-if)#clock rate 64000


    R2(config-if)#no shut


    R2(config-if)#exit


    R2(config)#inter fa 0/0


    R2(config-if)#ip add 192.168.1 255.255.255.0


    R2(config-if)#no shut


    R2(config-if)#exit


    R2(config)#enable secret cisco   //配置enable密码


    R2(config)# router ospf 1


    R2(config-router)#network 172.16.1.0 0.0.0.3 area 0


    R2(config-router)#network 172.16.1.4 0.0.0.3 area 0

    R2(config-router)#network 192.168.20.0 0.0.0.255 area 0  //以上4条为配置ospf路由协议,保证网络正常联通
    R2(config)#access-list 2 permit 192.168.1.10  //定义ACL2,允许源IP地址为192.168.1.10的数据包通过
    R2(config-if)#line vty 0 4
    R2(config-line)#access-class 2 in   //在接口下应用定义的ACL2,允许IP地址为192.168.1.10的主机通过TELNET连接到路由器R2
    R2(config-line)#password cisco    //配置TELNET远程登录密码为cisco
    R2(config-line)#login
    (3)步骤3:配置路由器R3
    R3(config)#inter s 0/0/1
    R3(config-if)#ip add 172.16.1.6 255.255.255.252
    R3(config-if)#clock rate 64000
    R3(config-if)#no shut
    R3(config-if)#exit
    R3(config)#inter fa 0/0
    R3(config-if)#ip add 192.168.20.1 255.255.255.0
    R3(config-if)#no shut
    R3(config-if)#exit
    R3(config)#enable secret cisco    //配置enable密码
    R3(config)# router ospf 1
    R3(config-router)#network 172.16.1.4 0.0.0.3 area 0
    R3(config-router)#network 192.168.20.0 0.0.0.255 area 0     //以上3条为配置ospf路由协议,保证网络正常联通
    R3(config)#access-list 1 permit 192.168.1.0  0.0.0.255  //定义ACL1,允许源IP地址为192.168.1.0/24的数据包通过
    R3(config)#access-list 1 deny any
    R3(config)#interface fa 0/0
    R3(config-if)#ip access-group 1 out   //在接口下应用ACL1, 允许IP地址为192.168.1.0/24的IP包从fa 0/0接口离开路由器R3
    R3(config)#access-list 2 permit 192.168.1.10     //定义ACL2,允许源IP地址为192.168.1.10的数据包通过
    R3(config-if)#line vty 0 4
    R3(config-line)#access-class 2 in   //在接口下应用定义的ACL2,允许IP地址为192.168.1.10的主机通过TELNET连接到路由器R3
    R3(config-line)#password cisco    //配置TELNET远程登录密码为cisco
    R3(config-line)#login
    【说明】
    ①ACL定义好后可以在很多地方应用,接口上应用只是其中之一,其他的常用应用包括在vty下用”access-class”命令调用,用来控制Telnet的访问,“access-class”命令只对标准ACL有效。
    ②访问控制列表表项的检查按自上而下的顺序进行,并且从第一个表项开始,所以必须考虑在访问控制列表中定义语句的次序;访问控制列表最后一条是隐含的拒绝所有deny any;
    ③路由器不对自身产生的IP数据包进行过滤;
    ④我们另外,尽量使标准的访问控制列表靠近目的,由于标准访问控制列表只使用源地址,如果将其靠近源会阻止数据包流向其他端口
    ⑤对于编号标准ACL,新添加的ACL条目只能加到最后,不能插到原来ACL条目中间,所以如果想在原来的编号标准ACL中插入某条条目,只能删掉原来的ACL内容,重新编写。
    (4)实验调试
    R3#show ip access-lists  //该命令用来查看所定义的IP访问控制列表
     Standard IP access list 1
       10 permit   192.160.1.0,wildcard bits 0.0.0.3(11 matches)
       20 deny any (405 matches)
    Standard IP access list 2
       10 permit 192.168.1.10(2 matches)
    以上输出表明路由器R2上定义的标准访问控制列表为”1”和”2”,括号中的数字表示匹配条件的数据包的个数,可以用”clear access-list counters”命令将访问控制列表计数器清零。
    R3#show ip interface fa 0/0
    FastEthernet0/0 is up, line protocol is up (connected)
      Internet address is 192.168.20.1/24
      Broadcast address is 255.255.255.255
      Address determined by setup command
      MTU is 1500
      Helper address is not set
      Directed broadcast forwarding is disabled
      Outgoing access list is 1
    Inbound  access list is not set  ......
    ***省略后面输出***
    以上输出表明在接口fa 0/0的出方向应用了访问控制列表1 

    展开全文
  • 访问控制列表ACL) 1.读取第三层、第四层包头信息 2.根据预先定义好的规则对包进行过滤 二.访问控制类表的工作原理 访问控制列表在接口应用的方向: 出:已经过路由器的处理,正离开路由器接口的数据包 入...

    访问控制列表(一)

    结构:

    在这里插入图片描述

    一.访问控制列表概述:

    访问控制列表(ACL)

    1.读取第三层、第四层包头信息

    2.根据预先定义好的规则对包进行过滤

    在这里插入图片描述

    二.访问控制类表的工作原理

    访问控制列表在接口应用的方向:

    出:已经过路由器的处理,正离开路由器接口的数据包

    入:已达到路由器接口的数据包,将被路由器处理

    列表应用到接口方向与数据方向有关

    访问控制列表的处理过程:

    在这里插入图片描述

    ACL规则:匹配为自上而下逐条匹配,默认隐含的拒绝是拒绝所有(any)

    白名单:

    允许 1.2
    允许 1.3
    拒绝所有(不写)

    黑名单:

    拒绝 1.2
    拒绝 1.3
    允许所有(必须写)

    三.ACL访问控制列表的类型:

    标准访问控制列表:

    1.基于IP地址过滤数据包
    2.标准访问控制列表的访问控制列表号是1~99

    扩展访问控制列表:

    1.基于源IP、目标IP地址、指定协议、端口和标志来过滤数据包
    2.扩展访问控制列表的访问控制列表号是100~199

    命名访问控制列表(包含标准和扩展):

    1.命名访问控制列表允许在标准和扩展访问控制列表中使用名称待敌表号

    可灵活调整策略

    四.标准访问控制列表的配置

    创建ACL:

    Router(config)#access-list accsee-list-number
    	{ permit允许数据包通过 | deny拒绝数据包通过 } source [ source-wildcard ]可对源IP进行控制

    删除ACL:

    Router(config)#no access-list access-list-number

    应用实例:

    Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
    Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0
    允许192.168.1.0/24和主机192.168.2.2的流量通过

    隐含的拒绝语句:

    Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255

    关键字:

    host/any

    Demo1:标准ACL的配置实例

    在这里插入图片描述

    交换机:
    sw#conf t 
    sw(config)#no ip routing
    sw(config)#int f1/0
    sw(config-if)#speed 100
    sw(config-if)#dup full
    路由器:
    R1#conf t
    R1(config)#int f0/0
    R1(config-if)#ip add 192.168.10.1 255.255.255.0
    R1(config-if)#no shut
    R1(config-if)#int f0/1
    R1(config-if)#ip add 192.168.20.1 255.255.255.0
    R1(config-if)#no shut
    客户机配置IP地址:
    PC1> ip 192.168.10.2 192.168.10.1
    Checking for duplicate address...
    PC1 : 192.168.10.2 255.255.255.0 gateway 192.168.10.1
    
    PC2> ip 192.168.10.3 192.168.10.1 
    Checking for duplicate address...
    PC1 : 192.168.10.3 255.255.255.0 gateway 192.168.10.1
    
    PC3> 
    PC3> ip 192.168.20.2 192.168.20.1
    Checking for duplicate address...
    PC1 : 192.168.20.2 255.255.255.0 gateway 192.168.20.1
    验证互通:
    PC1> ping 192.168.20.2           
    192.168.20.2 icmp_seq=1 timeout
    84 bytes from 192.168.20.2 icmp_seq=2 ttl=63 time=15.676 ms
    84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=17.680 ms
    84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=21.956 ms
    84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=12.700 ms
    
    PC2> ping 192.168.20.2
    192.168.20.2 icmp_seq=1 timeout
    192.168.20.2 icmp_seq=2 timeout
    84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=17.735 ms
    84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=14.069 ms
    84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=14.960 ms
    
    //此时全网段互通
    全局模式下在R1上定义规则
    R1(config-if)#access-list 1 deny host 192.168.10.2
    R1(config)#do show access-list
    R1(config)#access-list 1 permit any
    R1(config)#int f0/0
    R1(config-if)#ip access-group 1 in
    PC1pingPC3显示管理员拒绝:
    PC1> ping 192.168.20.2
    *192.168.10.1 icmp_seq=1 ttl=255 time=20.233 ms (ICMP type:3, code:13, Communication administratively prohibited)
    *192.168.10.1 icmp_seq=2 ttl=255 time=4.913 ms (ICMP type:3, code:13, Communication administratively prohibited)
    *192.168.10.1 icmp_seq=3 ttl=255 time=12.927 ms (ICMP type:3, code:13, Communication administratively prohibited)
    *192.168.10.1 icmp_seq=4 ttl=255 time=12.965 ms (ICMP type:3, code:13, Communication administratively prohibited)
    *192.168.10.1 icmp_seq=5 ttl=255 time=13.958 ms (ICMP type:3, code:13, Communication administratively prohibited)
    PC1pingPC2可以连通:
    PC1>ping 192.168.10.3
    84 bytes from 192.168.10.3 icmp_seq=1 ttl=64 time=0.000 ms
    84 bytes from 192.168.10.3 icmp_seq=2 ttl=64 time=0.975 ms
    84 bytes from 192.168.10.3 icmp_seq=3 ttl=64 time=0.997 ms
    84 bytes from 192.168.10.3 icmp_seq=4 ttl=64 time=0.000 ms
    84 bytes from 192.168.10.3 icmp_seq=5 ttl=64 time=1.731 ms
    展开全文
  • ACL访问控制列表

    千次阅读 2020-07-29 12:10:18
    文章目录一、概览1、访问控制列表(ACL)2、访问控制列表在接口应用的方向3、ACL分类二、实验步骤1、实验拓扑图2、实验步骤案例1、全网互通SW1配置R1配置R2配置Server1配置测试全网互通案例2、用ACL标准列表禁止vlan10...
  • ACL——标准访问控制列表

    千次阅读 2019-10-15 18:39:31
    (1)、ACL全称访问控制列表(Access Control List) (2)、基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息(如源地址、目的地址、协议口、端口号等),根据预先定义好的规则对包进行过滤...
  • (1)访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。 (2)访问控制是网络安全防范和保护的主要策略,它的主要任务...
  • 访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 作用:读取三层四层信息,根据预先定义好的规则对流量进行过滤,筛选。 三层...
  • 访问控制列表(标准ACL)Cisco

    千次阅读 2021-11-28 14:12:33
    访问控制列表(标准ACL)Cisco 访问控制列表(ACL)是一种路由器配置脚本,他根据从数据包报头...定义一个标准访问控制列表拒绝pc2所在的业务部网段访问R3的所有直连网路,同时允许管理员主机PC1访问路由器R1,R2,R3的Tenle
  • 访问控制列表ACL)已成为在现代应用程序中实现安全模型的实际标准。 可以使用ACL来处理复杂的场景,而无需在应用程序级别使用复杂的权限模型。 本文不打算作为有关ACL和安全性的教程,而仅描述访问控制列表扩展...
  • ACL_访问控制列表

    2021-08-28 08:20:30
    标准访问控制列表 扩展访问控制列表 三、总结 ACL_访问控制列表 一、ACL ACL——访问控制列表 作用 读取第三层,第四层包头信息 根据预先定义好的规则对流量进行筛选,过滤 三层头部信息:源,目标IP 四层...
  • 什么是访问控制列表?之前学习的都是让网络如何连通今天是在网络连通环境基础上来进行相应的限制虽然网络是连通的,但是不允许通信的主机就不能访问,或者说允许访问的是哪个主机,以及访问主机里的什么服务可以做...
  • 掌握路由器上编号的标准 IP 访问列表规则及配置。只允许网段 172.16.2.0 与 172.16.4.0 的主机进行通信,不允许 172.16.1.0 去访问172.16.4.0 网段的主机。
  • ACL访问控制列表

    2021-03-17 21:05:37
    2.访问控制列表ACL(Access ControI List) 可以定义一系列不同的规则,设备根据这些规则对数据包进行分类, 并针对不同类型的报文进行不同的处理, 从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、...
  • 标准访问控制列表 : 根据数据包的源IP地址来允许或拒绝数据包。 访问控制列表号是1-99以及1300~1999。 扩展访问控制列表: 根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包。 访问控制...
  • 访问控制列表(Access Control List,简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能,在现实中应用广泛。ACL根据功能的不同分为标准...
  • ACL控制访问列表

    2021-04-16 20:54:17
    本文主要介绍acl列表语法及举例
  • ACL访问控制列表实验

    千次阅读 2018-03-14 20:26:53
    ACL访问控制列表实验...标准访问控制列表: 拓扑图: 实验步骤: 1.给PC0和服务器配IP、掩码、网关 2.配置路由器——接口配IP、掩码、设置ACL、将ACL应用在端口上 enable configure terminal interface...
  • ACL访问控制列表的功能 1.限制网络流量、提高网络性能 2.提供对通信流量的控制手段 3.提供网络访问的基本安全手段 4.在网络设备接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞 ACL的工作原理...
  • 理解标准IP访问控制列表的原理及功能; 掌握编号的标准IP访问控制列表的配置方法; 二、实验背景 公司的经理部、财务部和销售部分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导...
  • @[TOC](ACL (访问控制列表)及相关命令) 一、访问控制列表概述 ——读取第三层、第四层包头信息 ——根据预先定义好的规则对包头进行过滤 二、访问控制列表的工作原理 访问控制列表在接口应用的方向 1、出:已经经过...
  • 文章目录实验拓扑实验要求:实验步骤配置VLAN配置...3. 设置单臂路由,使得PC1,PC2能够访问外网 4. 设置ACL规则,实现如下要求 a. PC1可以ping通PC3,但是不能ping通server 1 b. PC2可以ping通server1,但是不能pin
  • 网络ACL访问控制列表

    2020-07-29 17:07:34
    目录一、ACL概述1、acl的作用二、ACL工作原理1、原理2、处理过程三、ACL分类1、标准访问控制列表2、扩展访问控制列表3、命名访问控制列表四、ensp中ACL的配置试验以下实验帮助理解ACL实验拓扑图实验需求实验分析实验...
  • 思科ACL访问控制列表常规配置

    万次阅读 多人点赞 2018-11-26 14:29:02
    ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的指令列表。这些指令告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据一定的规则进行,如源地址、目标地址、端口号等。ACL使得用户...
  • ACL-访问控制列表

    2021-08-28 09:32:20
    三,ACL访问控制列表的配置 总结 一,访问控制列表简介 ACL-访问控制列表 作用:读取第三层第四层的头部信息,根据预先定义好的规则对流量进行筛选过滤 三层头部信息:源目ip 四层头部信息:源目端口号,TCP/...
  • ACL可以提供网络访问的基本手段。可用于Qos,控制数据流量。控制通信量。 2.简述标准ACL和扩展ACL的不同点。 标准ACL是检查源地址,而扩展ACL不仅仅检查源地址,还检查目的地址。 标准ACL允许或拒绝整个协议簇,...
  • ACL访问控制列表——华为ensp

    千次阅读 2020-07-29 11:27:13
    文章目录一、访问控制列表概述二、访问控制列表的功能三、访问控制列表的工作原理四、访问控制列表的类型五、ACL访问控制列表实验5.1 实验拓扑及要求5.2 实验配置流程 一、访问控制列表概述 访问控制列表(ACL)是一种...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 16,975
精华内容 6,790
关键字:

acl标准访问控制列表