ACL 访问控制列表

3W1H学习方法(what、why、where、how)

What:ACL访问控制列表是应用在路由器接口的质量列表(即规则)

Why:为了实现网络安全对数据流量进行控制

Where:路由器、三层交换

原理:ACL是一组规则的集合,它应用在路由器的某个接口上。对路由器而言,是分出站和进站方向的。出站指的是已经过路由器的处理,正离开路由器的数据
包;进站是指,刚刚到达路由器将要处理的数据包。如果对应的接口应用了ACL,也就是说明该接口应用了一组规则,路由器将按照这组规则的顺序对数据包检
查。

ACL分为三种类型:标准ACL、扩展ACL和命名ACL

标准ACL是依据数据包的源IP地址来允许活拒绝数据包,ACL号是1~99

扩展ACL是依据数据包源IP地址、目的IP地址、指定协议、端口和标识来允许活拒绝数据包,ACL号是100~199

命名ACL就是标准ACL和扩展ACL中使用名称来代替ACL号,命名ACL可以删除单条ACL语句,而不必删除整个ACL

配置之前需要注意

ACL隐藏语句:每一个ACL都隐含一条拒绝语句,拒绝所有流量

关键字:host、any

host代表主机,如果仅仅拒绝或允许某一网段的一台主机的流量,可以在permit|deny
后加上host关键字然后再加上这台主机的IP地址,如实验中所示

any代表任何网络,例如router(config)#access-list 1 permit
any  是允许任何网络的流量通过

如果要对一个网段做限制(如允许192.168.1.0网段的流量通过,可以这样配置)

router(config)# access-list 1 permit 192.168.1.0
0.0.0.255 网段后面添加对应的反码

标准ACL配置命令:

router(config)# access-list access-list-number {permit | deny}
source [source-wildcard]

access-list-number : ACL表号 1~99
permit|deny:允许和拒绝通信流量

source:源地址

source-sildcard:反向掩码

将配置好的ACL应用到对应的接口,这样ACL才会生效,命令:

router(config-if)# ip access-group access-list-number {in |
out}

其中in和out代表进站还是出站方向,根据环境要求去配置

实验要求:按照图中要求配置ACL标准列表


实验步骤:

1.配置路由器和交换机,实现全网互通,GNS3模拟器


2.分析实验要求,总结出在哪个路由器上进行配置并验证结果

3.删除ACL的方法,并验证是否全网互通


 扩展ACL配置命令:

Router(config)# access-list 
access-list-number { permit | deny } protocol { source
source-wildcard destination  destination-wildcard
} [ operator operan ]

access-list-number : ACL表号 100~199
permit|deny:允许和拒绝通信流量

protocol:用来指定的协议类型,如IP,TCP,UDP等

source、destination:源、目的,分别用来标识源地址和目的地址

source-wildcard  、destination-wildcard:反向掩码分别与源和目的相对应

operator
operan:it(小于)、gt(大于)、eq(等于)、neq(不等于)一个端口号

案例1:允许网络10.0.0.0/8访问网络20.0.0.0/8的ip流量,而拒绝其他任何流量,配置命令如下:

Router(config)# access-list 100 permit ip 10.0.0.0
0.255.255.255 20.0.0.0 0.255.255.255

Router(config)# access-list 100 deny ip any
any

然后将ACL应用到对应的接口

案例2:拒绝网络10.0.0.0/8访问FTP服务器192.168.1.1/24的ip流量,而允许其他流量访问,配置命令如下:

Router(config)# access-list 101 deny tcp 10.0.0.0
0.255.255.255 host 192.168.1.1 eq 21

Router(config)# access-list 101 permit ip any
any

然后将ACL应用到对应的接口

命名ACL的配置:

第一步先定义命名ACL的名字和要使用的是标准ACL还是扩展ACL

Router(config)# ip  access-list 
{ standard | extended  }
access-list-name

如果使用标准ACL配置如下:

Router(config-std-nacl)# [ Sequence-Number ]  {
permit | deny }  source [ source-wildcard
]

如果使用扩展ACL配置如下:

Router(config-ext-nacl)# [ Sequence-Number ]  {
permit | deny } protocol { source source-wildcard

destination  destination-wildcard
}  [ operator operan ]

Sequence-Number
:(可选参数)表明配置的ACL语句在命令ACL中所处的位置,默认情况下第一条是10,第二条是20,以此类推,后面的实验中会讲到它的重要性。

实验要求:配置命令ACL

实验步骤:

1.配置好服务器的ftp和web服务、iP、路由,并且实现全网互通,这里就不配置了

2.按照实验要求配置命令ACL


3.验证 vlan10是否配置成功

验证vlan20是否配置成功

4.按照实验要求的第四步进行配置并验证效果

验证效果

实验完成

时间: 2024-11-08 19:19:44

ACL 访问控制列表的相关文章

路由器ACL访问控制列表

实验名称:标准访问控制列表 实验拓扑: 实验步骤: (1)      连接主机,交换机,路由器实现全网互连 (2)      配置路由器的访问控制列表 (3)      验证 实验名称:命名标准访问控制列表 实验拓扑: 实验步骤: (1)      连接主机,交换机,路由器实现全网互连 (2)      配置交换机 (3)      验证 实验名称:扩展控制访问列表 实验拓扑: 实验步骤: (1)      连接主机,交换机,路由器,服务器实现全网互连 (2)      配置第一个路由器实现pc

ACL访问控制列表(标准性、扩展性、命名性)

ACL访问控制列表 访问控制列表的工作原理: 出:已经过路由器处理正离开路由器接口的数据包. 入:已达到路由器接口的数据包,将被路由器处理. ACL对数据流的处理流程: 路由器将对数据包进行匹配,路由器将决定该数据包的通过或拒绝,拒绝后将下一跳匹配共匹配三次直到最后拒绝丢弃. ACL类型 标准访问:根据数据包的源iP地址来允许或拒绝.列表号1~99. 扩展访问:根据数据包的源IP地址.目的IP地址.指定协议.端口和标志来允许或拒绝.列表号100~199. 命名访问:允许使用标准访问或扩展访问,用

标准ACL访问控制列表

首先创建拓扑图如下所示: 第一步:先在R1上面配置两个端口的IP地址和到达10.0网段.20.0网段的静态路由 第二步:在SW上配置中继链路并创建VTP客户模式,然后再把接口加入相应的vlan 第三步:做SWL三层交换的中继链路和VTP服务模式 配置vlan10和vlan20并配置IP地址作为网关使用,还有默认路由 第四步:打开VPCS配置3台PC机的IP地址 第五步:设置ACL访问控制列表语句,要查看设置用show access-lists 应用到相应的接口,注意是in方向还是out方向 用V

配置ACL访问控制列表

ACL访问控制列表理论部分:在学习过程中我们知道了网络的联通和通信,但是在实际环境中网络管理员经常会面临为难的局面,如必须拒绝那些不希望访问的连接,同时又要允许正常的访问.那么这时就诞生了ACL(访问控制列表)下面我们先看看ACL 的原理.1.ACL是使用包过滤技术,在路由器上读取第三层和四层包头的信息,根据预定好的规则进行过滤,达到访问控制的目的2.ACL的三种模式:?标准ACL (根据数据包的源IP地址来允许或者拒绝数据包,表号是1~99)?扩展ACL (根据数据包的源IP地址,目的IP地址

linux 特殊权限chattr(文件系统级别的权限) Attr 权限和 ACL访问控制列表 ...

Attr 权限 和 ACL 访问控制列表 Attr 权限里的 "a" 权限和 "i" 权限 a :全名append only 只允许追加数据,不允许任何用户改动文件(超级用户也不行) 甚至不能正常的删除文件 只能读取文件内容,只能用 "echo" 追加内容 chattr +a xxx #增加 a 权限 chattr -a xxx #取消 a 权限 lsattr #查看权限 [[email protected] /test]# touch abc

ACL访问控制列表——标准IP访问列表(理论+实验)

ACL访问控制列表的功能 1.限制网络流量.提高网络性能2.提供对通信流量的控制手段3.提供网络访问的基本安全手段4.在网络设备接口处,决定哪种类型的通信流量被转发.哪种类型的通信流量被阻塞 ACL的工作原理 1.访问控制列表在接口应用的方向出方向:已经过路由器的处理,正离开路由器接口的数据包入方向:已达到路由器接口的数据包,将被路由器处理列表应用到接口方向与数据方向有关 ACL规则 1. 从上到下依次匹配 2. 一旦被某条ACL匹配,则停止查找 3. 依照上两条规则,ACL的精确或者严格规则写

ACL 访问控制列表(一)

ACL 访问控制列表 access control list (路由器,三层交换) 包过滤防火墙 ACL访问控制列表的类型 标准访问控制列表基于源IP地址过滤数据包标准访问控制列表的访问控制列表号时1~99扩展访问控制列表基于源IP地址.目的IP地址.指定协议.端口和标志来过滤数据包扩展访问控制列表的访问控制列表号是100~199命名访问控制列表命名访问控制列表允许在标准和扩展访问控制列表使用中名称代替表号访问控制列表基于三层(IP)和四层(端口.协议)进行过滤 ACL匹配规则:自上而下 逐条匹

ACL访问控制列表(标准、拓展、命名控制列表)的配置实例

实例一:标准访问控制列表的配置 拓扑图如下: 通过配置标准访问列表,禁止PC1主机访问PC3主机. (1)进行sw的配置如下: SW#configure terminal //进入全局模式 Enter configuration commands, one per line. End with CNTL/Z. SW(config)#no ip routing //关闭路由功能 SW(config)#int f1/0 //进入接口模式 SW(config-if)#speed 100 //设置速率为

普通ACL访问控制列表

配置OSPF R1: R2: R3: R4: 在R1上查看OSPF的学习 测试R1与R4环回接口连通性 配置普通ACL访问控制列表: 先在R4配置密码用R1与R4建立telnet建立 密码huawei 在R4上创建acl 2000的规则 允许1.1.1.1 访问R4 其他不允许 在user-interface vty 0 4上用上acl 2000 规则 下面用R1和R2分别测试对R4的连通性 记得这里用-a参数用1.1.1.1的接口进行连接 下面是R2 ACL基本语法规则:他是按序执行的比如下图