ACL的三种访问控制列表的概述及实验配置

ACL的概述

在路由器上读取OSI七层模型的第三层及第四层包头的信息
根据定义好的规则,对包进行过滤

ACL的工作原理

有两个方向
出:已经过路由器的处理,正离开路由器接口的数据包
入:已经到达路由器接口的数据包,将被路由器处理

列表应用到接口方向与数据方向有关

访问控制列表的类型

1 标准访问控制列表
基于源IP地址过滤数据包
白哦准访问控制列表的访问控制列表号是1~99

2 扩展访问控制列表
基于源IP地址、目的ip地址、指定协议、端口和标志来过滤数据包
扩展访问控制列表的访问控制列表号是100~199

3 命名访问控制列表
命名访问控制列表允许在标志和扩展访问控制列表中使用名称代替表号

标准ACL的配置实例

要求配置标准ACL实现 禁止PC2访问主机PC1,而允许其他流量访问

sw1的配置命令

sw1#conf t
sw1(config)#no ip routing 关闭路由功能
sw1(config)#

R1上的配置命令

R1(config)#int f0/1
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)#int f0/0
R1(config-if)#ip add 192.168.2.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)# 以上给端口配置ip的

R1(config)#access-list 1 deny host 192.168.2.10 拒绝ip为192.168.2.10pc2这台主机访问pc1
R1(config)#access-list 1 permit any 允许其他的流量
R1(config)#int f0/0
R1(config-if)#ip access-group 1 in 将ACL应用于接口 ACL才会生效

用show access-lists命令查看ACL的配置

在GNS3 VPCS中给pc机配置ip

在GNS3 VPCS中验证

验证结果 ,PC2 不能ping通主机PC1, 但是PC3 可以ping 通PC1

扩展ACL的配置实例

要求c2是window7 c1是服务器 W7能访问C1服务器但是ping不通

sw1的配置命令

sw1#conf t
sw1(config)#no ip routing 关闭路由功能
sw1(config)#

R1上的配置命令

R1(config)#int f0/1
R1(config-if)#ip add 192.168.40.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)#int f0/0
R1(config-if)#ip add 192.168.30.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)#

R1(config)#access-list 101 deny icmp host 192.168.30.0 host 192.168.40.14 echo 创建ACL,使用ICMP协议拒绝192.168.10.0访问192.168.30.40主机
R1(config)#access-list 101 permit ip any any 允许其他网段访问

R1(config-if)#ip access-group 101 in 将ACL应用于接口

R1#show access-lists 101 用来查看ACL的信息

window7上没有添加ICMP是可以ping通centos的

window7上验证访问结果

用show access-lists命令查看ACL的配置

window7上添加ICMP后是不可以ping通centos的

验证结果W7能访问C1服务器但是ping不通

命名ACL的配置实例

实验要求命名ACL 拒绝192.168.20.10的pc 访问pc1,允许别的ip地址访问

SW1的配置命令
sw1(config)#no ip routing 关闭路由功能

R1上的配置命令
R1(config)#int f0/0
R1(config-if)#ip add 192.168.20.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex

R1(config)#int f0/1
R1(config-if)#ip add 192.168.10.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex

R1(config)#ip access-list standard abc 创建命名ACL asd是名称
R1(config-std-nacl)#deny host 192.168.20.10 拒绝的ip地址
R1(config-std-nacl)#permit any 允许别的ip地址访问
R1(config-if)#ip access-group abc in 将ACL应用于接口
R1#show access-lists abc 查看ACL信息

在GNS3 VPCS中给pc机配置ip

在GNS3 VPCS中验证

Sequence-Number决定ACL语句在ACL列表中的位置

R1(config)#ip access-list standard asd
R1(config-std-nacl)#15 deny host 192.168.20.10
R1(config-std-nacl)#16 permit host 192.168.30.0

R1#show access-lists asd

验证结果 已命名ACL 拒绝192.168.20.10的pc 访问pc1,允许别的ip地址访问

原文地址:http://blog.51cto.com/13871378/2166386

时间: 2024-10-09 02:46:17

ACL的三种访问控制列表的概述及实验配置的相关文章

php的public、protected、private三种访问控制模式的区别 self,parent

php的public.protected.private三种访问控制模式的区别 public: 公有类型 在子类中可以通过self::var调用public方法或属性,parent::method调用父类方法 在实例中可以能过$obj->var 来调用 public类型的方法或属性 protected: 受保护类型        在子类中可以通过self::var调用protected方法或属性,parent::method调用父类方法 在实例中不能通过$obj->var 来调用  prote

php中的public、protected、private三种访问控制模式及self和parent的区别(转)

php的public.protected.private三种访问控制模式的区别 public: 公有类型 在子类中可以通过self::var调用public方法或属性,parent::method调用父类方法 在实例中可以能过$obj->var 来调用 public类型的方法或属性 protected: 受保护类型 在子类中可以通过self::var调用protected方法或属性,parent::method调用父类方法 在实例中不能通过$obj->var 来调用 protected类型的方

ACL(访问控制列表)的类型及配置

ACL是应用在路由器接口的指令列表,通过这些指令,来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝,基本原理就是:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址.目的地址.源端口.目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的.ACL有三种类型: 标准ACL:根据数据包的源IP地址来允许或拒绝数据包,标准ACL的访问列表控制号是1~99. 扩展ACL:根据数据包的源IP地址.目的IP地址.指定协议.端口和标志来允许或拒绝数据包,

[转载] ACL(Access Control List)访问控制列表

zk做为分布式架构中的重要中间件,通常会在上面以节点的方式存储一些关键信息,默认情况下,所有应用都可以读写任何节点,在复杂的应用中,这不太安全,ZK通过ACL机制来解决访问权限问题,详见官网文档:http://zookeeper.apache.org/doc/r3.4.6/zookeeperProgrammers.html#sc_ZooKeeperAccessControl 总体来说,ZK的节点有5种操作权限: CREATE.READ.WRITE.DELETE.ADMIN 也就是 增.删.改.查

php的public、protected、private三种访问控制模式的区别

public: 公有类型 在子类中可以通过self::var调用public方法或属性,parent::method调用父类方法 在实例中可以能过$obj->var 来调用 public类型的方法或属性 protected: 受保护类型        在子类中可以通过self::var调用protected方法或属性,parent::method调用父类方法 在实例中不能通过$obj->var 来调用  protected类型的方法或属性 private: 私有类型 该类型的属性或方法只能在该

[转]php的public、protected、private三种访问控制模式的区别

FROM : http://blog.163.com/weiwenjuan_bj/blog/static/14035033620129304183850/?suggestedreading public: 公有类型 在子类中可以通过self::var调用public方法或属性,parent::method调用父类方法 在实例中可以能过$obj->var 来调用 public类型的方法或属性 protected: 受保护类型        在子类中可以通过self::var调用protected方

提升强大工作能力的“三种未来笔记”的概述

未来笔记的分类: 整合笔记:头脑清晰,思路有序. 创意笔记:灵感不断涌现. 传达笔记:瞬间就能传达要点. 未来笔记 1 "整合笔记":简单整合信息,让工作有序化的方法. 整合笔记强调的是资料收集和资料整理的重要性,给笔记加上记号的标题,从信息中提炼出"有价值的信息",工作效率立马得到大幅度提升,为创意的产生创造空间. 未来笔记 2 "创意笔记":用笔记的力量,催生大量灵感的方法. 创意就是即存要素(大量使用图纸和绘画)的重新组合罢了. 未来笔记

linux文件权限管理与ACL访问控制列表

一.文件属性 1.文件属性: 文件属性操作 chown : change owner  ,设置文件所有者 chgrp : change group  ,设置文件的属组 文件属主修改: chown 格式:chown [OPTION]- [OWNER][:[GROUP]] FILE- 用法: OWNER OWNER:GROUPNAME    (同时修改属主.属组) :GROUPNAME                (默认属主,修改属组) ( 命令中的冒号可用.替换:) chown  –refere

ACL 访问控制列表

3W1H学习方法(what.why.where.how) What:ACL访问控制列表是应用在路由器接口的质量列表(即规则) Why:为了实现网络安全对数据流量进行控制 Where:路由器.三层交换 原理:ACL是一组规则的集合,它应用在路由器的某个接口上.对路由器而言,是分出站和进站方向的.出站指的是已经过路由器的处理,正离开路由器的数据 包:进站是指,刚刚到达路由器将要处理的数据包.如果对应的接口应用了ACL,也就是说明该接口应用了一组规则,路由器将按照这组规则的顺序对数据包检 查. ACL