精华内容
下载资源
问答
  • ACL 访问控制列表

    2020-10-30 15:32:30
    ACL 访问控制列表一、访问控制列表简介二、控制列表的工作原理2.1、访问控制列表在接口应用的方向2.2、访问控制列表的处理过程2.3、ACL两种作用2.4、ACL 工作原理2.5、ACL种类2.6、ACL访问控制列表)的应用原则三、...

    一、访问控制列表简介

    1、读取第三次、第四层包头信息
    2、根据预先定义好的规则对包头进行过滤
    在这里插入图片描述

    二、控制列表的工作原理

    2.1、访问控制列表在接口应用的方向

    1、出:已经经过路由器的处理,正离开路由器接口的数据包
    2、入、已经到达路由器接口的数据包,将被路由器处理在这里插入图片描述

    2.2、访问控制列表的处理过程

    在这里插入图片描述

    2.3、ACL两种作用

    a、用来对数据包做访问控制(丢弃或者放行)
    b、结合其他协议,用来匹配范围

    2.4、ACL 工作原理

    当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理

    2.5、ACL种类

    a、基本acl (2000-2999) :只能匹配源ip地址。
    b、高级acl (3000-3999) :可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段层
    c、二层ACL (4000-4999) :根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。(仅作了解即可)

    2.6、ACL访问控制列表)的应用原则

    a、一个接口的同一个方向,只能调用一个acl
    b、一个 acl 里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
    c、数据包一旦被某 rule 匹配,就不再继续向下匹配
    d、用来做数据包访问控制时,默认隐含放过所有(华为设备)
    基本ACL,尽量用在靠近目的点
    高级ACI,尽量用在靠近源的地方(可以保护带宽和其他资源)

    三、ACL命令

    3.1、基本ACL命令

    [Huawei] acl number 2000 ###创建acl 2000
    [Huawei-acl-basic-2000] rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量, 0代表仅此一台, 5是这条规则的序号(可不加)
    [Huawei] interface GigabitEthernet 0/0/1
    [Huawei-GiqabitEthernet0/0/1]ip address 192.168.2.254 24
    [Huawei-GiqabitEthernet0/0/1]traffic-filter outbound acl 2000 ###接口出方向调用acl
    outbound代表出方向, inbound代表进入方向
    [Huawei-GigabitEthernet0/0/1] undo sh
    [Huawei] acl number 2001 ##进入acl 2000列表
    [Huawei-acl-basic-2001] rule permit source 192.168.1.0 0.0.0.255 ###permit代表允许, source代表来源,掩码部分为反掩码
    [Huawei-acl-basic-2001] rule deny source any ##拒绝所有访问, any代表所有0.0.0.0 255.255.255.255 或者 rule deny
    [Huawei]interface GigabitEthernet 0/0/1 ###进入出口接口
    [Huawei-GiqabitEtherneto/0/1] ip address 192.168.2.254 24
    [Huawei-GiqabitEtherneto/0/1] traffic-filter outbound acl 2001

    3.2、高级ACL命令

    [Huawei] acl nmuber 3000 ##拒绝tcp为高级控制,所以3000起
    [Huawei-acl-adv-3000] rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 ##拒绝Ping
    [Huawei-acl-adv-3000] rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80 ###destination代表目的地地址, destination-port代表目的端口号, 80可用www代替
    [Huawei-acl-adv-3000] rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80
    [Huawei-acl-adv-3000] rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21 ###拒绝源地址192.168.10.0网段访问FTP服务器12.0.0.2
    [Huawei-acl-adv-3000]dis this ##查看当前ACL配置是否配置成功
    [Huawei]interface g0/0/0
    [Huawei-GigabitEtherneto/0/1]ip address 192.168.2.254 24
    [Huawei-GigabitEtherneto/0/0]traffic-filter inbound acl 3000 ##在接口入方向应用acl
    [Huawei-GigabitEtherneto/0/1] undo traffic-filter inbound ##在接口上取消acl的应用
    [Huawei] display acl 3000 ##显示ac1配置
    [Huawei] acl nmuber 3000
    [Huawei-acl-adv-3000]dis this ##查看规则序号
    [Huawei-acl-adv-3000] undo rule 5 ##删除一条acl语句
    [Huawei] undo acl number 3000 ##删除整个ACL

    展开全文
  • ACL访问控制列表

    2021-01-07 10:19:00
    文章标题ACL访问控制列表概述ACL在接口应用的方向ACL的作用ACL工作原理访问控制列表的处理过程ACL的种类ACL的应用原则应用规则ACL配置 ACL访问控制列表概述 1:读取第三层,第四层包头信息 2:根据预先定义好的规律...

    ACL访问控制列表概述

    1:读取第三层,第四层包头信息
    2:根据预先定义好的规律对包进行过滤
    在这里插入图片描述

    ACL在接口应用的方向

    出:已经过路由器的处理,正离开路由器接口的数据包
    入:已到达路由器接口的数据包,将被路由器处理

    ACL的作用

    1.用来对数据包做访问控制
    2.结合其他协议,用来匹配范围

    ACL工作原理

    当数据包从接口经过时,由于接口启用acl,此时路由器会对报文进行检查,然后做出相应的处理

    访问控制列表的处理过程

    在这里插入图片描述

    ACL的种类

    1.基本acl(2000-2999):只能匹配源IP地址
    2.高级acl(3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段。
    3.二层acl(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则(仅作了解)

    ACL的应用原则

    1:基本acl,尽量用在靠近目的点
    2:高级acl,尽量用在靠近源的地方(用来保护带宽和其他资源)

    应用规则

    1:一个接口的同一个方向,只能调用一个acl
    2:一个acl里面可以有多个rule规则,按规则ID从小到大排序,从上到下依次排序
    3:数据包一旦被某个rule匹配,就不再继续向下匹配
    4.用来做数据包访问控制时,默认隐含放过所有(华为设备)

    ACL配置

    [Huawei]acl number 2000

    ###创建acl 2000

    拒绝源地址[Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0

    ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加)

    [Huawei] interface GigabitEthernet 0/0/1

    [ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24

    [Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

    ###接口出方向调用acl2000, outbound代表出方向,inbound代表进入方向

    [Huawei -GigabitEthernet0/0/1]undo sh

    [Huawei]acl number 2000

    ###进入acl 2000列表

    允许源地址[Huawei -acl -basic- 2001]rule permit source 192.168.1.0 0.0.0.255

    ###permit代表允许,source代表来源,掩码部分为反掩码

    [Huawei-acl-basic-2000] rule deny source any

    ###拒绝所有访问,any代表所有0.0.0.0 255.255.255.255或者rule deny

    [Huawei] interface GigabitEthernet 0/0/1 ##进入出口接口

    [Huawei -GigabitEthernet0/0/1]ip address 192.168.2.254 24

    [Huawei -GigabitEthernet0/0/1]traffic-filter outbound acl 2000

    高级ACL配置
    [Huawei]acl nmuber 3000

    #拒绝tcp为高级控制,所以3000起

    拒绝Ping[ Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0

    ###拒绝Ping

    允许[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80
    ###destination代表目的地址,destination-port代表目的端口号,80可用www代替

    [Huawei-acl-adv- 3000] rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80

    [Huawei-acl-adv-3000] rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21
    ###拒绝源地址192.168.10.0网段访问FTP服务器12.0.0.2

    [Huawei-acl-adv-3000]dis this

    ###查看当前ACL配置是否配置成功

    [Huawei]interface g0/0/0

    [Huawei-GigabitEthernet0/0/1] ip address 192.168.2.254 24

    [Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

    ###在接口入方向应用acl

    [Huawei -Gigabi tEthernet0/0/1]undo traffic- filter inbound

    ###在接口上取消ac1的应用

    [Huawei] display acl 3000

    ###显示acl配置

    [Huawei] acl nmuber 3000

    [Huawei -acl-adv-3000]dis this

    ###查看规则序号

    [Huawei-acl-adv- 3000]undo rule

    ###删除一条acl语句

    [Huawei]undo acl number 3000

    ###删除整个ACL

    展开全文
  • acl访问控制列表

    2018-05-20 12:40:58
    访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。信息点间通信和内外网络的通信都是企业网络中必不可少...

    访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
    信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
    配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。
    ACL是物联网中保障系统安全性的重要技术,在设备硬件层安全基础上,通过对在软件层面对设备间通信进行访问控制,使用可编程方法指定访问规则,防止非法设备破坏系统安全,非法获取系统数据。

    转载于:https://blog.51cto.com/13721474/2118388

    展开全文
  • ACL访问控制列表实验

    千次阅读 2018-03-14 20:26:53
    ACL访问控制列表实验知识点: http://blog.csdn.net/qq_39414668/article/details/79532063 标准访问控制列表: 拓扑图: 实验步骤: 1.给PC0和服务器配IP、掩码、网关 2.配置路由器——接口配IP、掩码...

    ACL访问控制列表实验知识点:

    http://blog.csdn.net/qq_39414668/article/details/79532063

    标准访问控制列表:

    拓扑图:

    实验拓扑图

    实验步骤:

    1.给PC0和服务器配IP、掩码、网关
    2.配置路由器——接口配IP、掩码、设置ACL、将ACL应用在端口上
    enable
    configure terminal
    interface fa0/0
    ip address 192.168.1.1 255.255.255.0
    no shutdown
    interface fa0/1
    ip address 192.168.3.2 255.255.255.0
    no shutdown
    exit
    access-list 1 deny 192.168.1.2
    interface fa0/1
    ip access-group 1 out

    扩展访问控制列表实验:

    拓扑图:

    拓扑图

    实验步骤:

    1.给PC0和服务器配IP、掩码、网关
    2.配置路由器——接口配IP、掩码、设置ACL、将ACL应用在端口上
    enable
    configure terminal
    interface fa0/0
    ip address 192.168.1.1 255.255.255.0
    no shutdown
    interface fa0/1
    ip address 192.168.3.2 255.255.255.0
    no shutdown
    exit
    access-list 100 permit tcp host 192.168.1.2 host 192.168.3.2 eq www
    access-list 100 deny icmp host 192.168.1.2 host 192.168.3.2 echo
    interface fa0/0
    ip access-group 100 in

    完整实验:
    https://download.csdn.net/download/qq_39414668/10286987

    展开全文

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 36,238
精华内容 14,495
关键字:

ACL访问控制列表