ACL访问控制列表(标准、拓展、命名控制列表)的配置实例

实例一:标准访问控制列表的配置

拓扑图如下:

通过配置标准访问列表,禁止PC1主机访问PC3主机。

(1)进行sw的配置如下:

SW#configure terminal    //进入全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
SW(config)#no ip routing    //关闭路由功能
SW(config)#int f1/0   //进入接口模式
SW(config-if)#speed 100   //设置速率为100M
SW(config-if)#duplex full   //设置全双工
SW(config-if)#exit   //退出
SW(config)#
*Mar  1 00:12:46.291: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up
SW(config)#

(2)进行R1的配置如下:

R1#conf t   //进入全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#int f0/0   //进入接口模式
R1(config-if)#ip add 192.168.10.1 255.255.255.0   //配置IP地址与子网掩码
R1(config-if)#no shut   //开启接口
*Mar  1 00:12:48.579: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar  1 00:12:49.579: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R1(config-if)#int f0/1   //进入接口模式
R1(config-if)#ip add 192.168.20.1 255.255.255.0   //配置IP地址与子网掩码
R1(config-if)#no shut   //开启接口
R1(config-if)#
*Mar  1 00:13:15.063: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar  1 00:13:16.063: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
R1(config-if)#exit    //退出

(3)分别给PC1、PC2、PC3配置IP地址

PC1>
PC1> ip 192.168.10.2 192.168.10.1   //配置IP和网关
Checking for duplicate address...
PC1 : 192.168.10.2 255.255.255.0 gateway 192.168.10.1

PC1> 
PC2>
PC2> ip 192.168.10.3 192.168.10.1   //配置IP和网关
Checking for duplicate address...
PC1 : 192.168.10.3 255.255.255.0 gateway 192.168.10.1

PC2>

PC3>
PC3> ip 192.168.20.2 192.168.20.1   //配置IP和网关
Checking for duplicate address...
PC1 : 192.168.20.2 255.255.255.0 gateway 192.168.20.1

PC3> 

(4)分别用PC1、PC2去pingPC3,都能互通。

PC1> ping 192.168.20.2
192.168.20.2 icmp_seq=1 timeout
84 bytes from 192.168.20.2 icmp_seq=2 ttl=63 time=12.961 ms
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=17.258 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=12.084 ms
84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=18.257 ms

PC1> 
PC2> ping 192.168.20.2
84 bytes from 192.168.20.2 icmp_seq=1 ttl=63 time=19.947 ms
84 bytes from 192.168.20.2 icmp_seq=2 ttl=63 time=11.270 ms
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=14.618 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=20.939 ms
84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=12.970 ms

PC2> 

(5)在R1上配置标准访问控制列表,拒绝PC1访问PC3

R1(config)#access-list 1 deny host 192.168.10.2   //配置标准访问控制列表拒绝PC1的IP地址
R1(config)#access-list 1 permit any   //允许所有IP访问
R1(config)#do show access-list   //查看访问控制列表信息
Standard IP access list 1
    10 deny   192.168.10.2
    20 permit any
R1(config)#int f0/0   //进入接口模式
R1(config-if)#ip access-group 1 in   //将ACL应用到接口(入口)
R1(config-if)#exit   //退出
R1(config)#

(6)再次分别用PC1、PC2去pingPC3,由于设置了访问控制列表,PC1已经不能与PC3互通。

PC1> ping 192.168.20.2
*192.168.10.1 icmp_seq=1 ttl=255 time=9.120 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=5.016 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=11.325 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=4 ttl=255 time=2.000 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=5 ttl=255 time=5.111 ms (ICMP type:3, code:13, Communication administratively prohibited)

PC1> 
PC2> ping 192.168.20.2
192.168.20.2 icmp_seq=1 timeout
192.168.20.2 icmp_seq=2 timeout
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=16.961 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=21.994 ms
84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=17.097 ms

PC2> 

实例二:拓展访问控制列表的配置

拓扑图如下:

通过拓展访问控制列表,允许win10-1访问Linux的web服务,禁止win10-1访问Linux的其它服务,允许win10-1访问192.168.2.0/24网段。

(1)进入Linux系统,安装FTP与HTTP服务。

[[email protected] ~]#yum install vsftpd httpd -y

(2)配置Linux系统的ens33网卡配置文件,设置静态IP地址。

[[email protected] ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
[[email protected] ~]# service network restart
Restarting network (via systemctl):                        [  确定  ]
[[email protected] ~]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.100.100  netmask 255.255.255.0  broadcast 192.168.100.255
        inet6 fe80::3a2f:c8ce:9161:cf9d  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:09:24:8e  txqueuelen 1000  (Ethernet)
        RX packets 10882  bytes 12892735 (12.2 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1708  bytes 131835 (128.7 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

(3)在http的站点内添加一个网站文件,ftp服务站点添加一个文件,同时开启两个服务,关闭防火墙和增强性安全功能,扫描端口看服务是否开启成功。

[[email protected] ~]# vim /var/www/html/index.html
[[email protected] ~]# cat /var/www/html/index.html
<h1> this is test web </h1>
[[email protected] ~]#
[[email protected] ~]# echo "this is ftp" > /var/ftp/ftp_test.txt
[[email protected] ~]# ls /var/ftp/
ftp_test.txt  pub
[[email protected] ~]# systemctl start httpd
[[email protected] ~]# systemctl start vsftpd
[[email protected] ~]# systemctl stop firewalld.service
[[email protected] ~]# setenforce 0
[[email protected] ~]#
[[email protected] ~]# netstat -ntap | egrep ‘(21|80)‘
tcp6       0      0 :::80                   :::*                    LISTEN      51680/httpd
tcp6       0      0 :::21                   :::*                    LISTEN      51844/vsftpd        

[[email protected] ~]#

(4)分别将Linux系统绑定VMnet2网卡,win10-1主机绑定VMnet1网卡,win10-2主机绑定VMnet3网卡。

(5)分别给win10-1主机与win10-2主机配置IP地址、子网掩码、和网关。

(6)分别关闭win10-1主机与win10-2主机的防火墙。

(7)对R1进行基本配置。

R1#conf t   //切换全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#int f0/0     //进入接口模式
R1(config-if)#ip add 192.168.1.1 255.255.255.0   //配置IP地址与子网掩码
R1(config-if)#no shut   //开启接口
R1(config-if)#
*Mar  1 00:17:49.615: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar  1 00:17:50.615: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R1(config-if)#int f0/1     //进入接口模式
R1(config-if)#ip add 192.168.100.1 255.255.255.0   //配置IP地址与子网掩码
R1(config-if)#no shut   //开启接口
R1(config-if)#
*Mar  1 00:18:27.591: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar  1 00:18:28.591: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
R1(config-if)#int f1/0     //进入接口模式
R1(config-if)#ip add 192.168.2.1 255.255.255.0   //配置IP地址与子网掩码
R1(config-if)#no shut   //开启接口
R1(config-if)#
*Mar  1 00:19:31.295: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up
*Mar  1 00:19:32.295: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
R1(config-if)#exit
R1(config)#do show ip route   //查看路由表
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.1.0/24 is directly connected, FastEthernet0/0
C    192.168.2.0/24 is directly connected, FastEthernet1/0
C    192.168.100.0/24 is directly connected, FastEthernet0/1
R1(config)#

(8)此时用win10-1主机分别去ping另外两台主机的IP都能互通。

(9)用win10-1主机去访问Linux系统的http服务于ftp服务都能成功。

(10)用win10-2主机去访问Linux系统的http服务于ftp服务也都能成功。

(11)在R1上配置拓展访问控制列表。

R1(config)#
R1(config)#access-list 100 permit tcp host 192.168.1.2 host 192.168.100.100 eq www     //允许win10-1访问Linux系统的http服务
R1(config)#access-list 100 deny ip host 192.168.1.2 host 192.168.100.100   //拒绝win10-1访问Linux系统的所有服务
R1(config)#access-list 100 permit ip host 192.168.1.2 192.168.2.0 0.0.0.255   //允许win10-1主机访问192.168.2.0网段所有服务
R1(config)#do show access-lists   //查看ACL控制列表
Extended IP access list 100
    10 permit tcp host 192.168.1.2 host 192.168.100.100 eq www
    20 deny ip host 192.168.1.2 host 192.168.100.100
    30 permit ip host 192.168.1.2 192.168.2.0 0.0.0.255
R1(config)#int f0/0   //进入接口模式
R1(config-if)#ip access-group 100 in   //将ACL应用到接口(入口)
R1(config-if)#exit   //退出
R1(config)#

(12)我们先清除win10-1主机浏览器的缓存,再用win10-1主机访问Linux系统的http服务,可以访问。但再去访问ftp时,已经不能访问了。因为我们的ACL控制列表只允许访问http服务。

(13)我们再用win10-1主机分别去ping另外两台主机,只能与win10-2主机互通,因为ACL访问控制列表允许win10-1主机访问192.168.2.0网段的所有服务。

实例三:命名访问控制列表的配置

拓扑图如下:

通过命名访问控制列表,允许vlan10中的PC2主机可以访问PC1主机,拒绝vlan10中其它主机访问PC1主机,允许其它所有网段中主机访问PC1主机。

(1)进行sw的相关配置。

sw#conf t   //切换全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
sw(config)#no ip routing   //关闭路由功能
sw(config)#vlan 10,20   //创建vlan
sw(config-vlan)#exit   //退出
sw(config)#int range f1/1 -2   //进入接口f1/1、f1/2
sw(config-if-range)#sw mo acc   //接口模式设为access模式
sw(config-if-range)#sw acc vlan 10   //将接口添加到vlan10
sw(config-if-range)#exit   //退出
sw(config)#int f1/3   //进入接口f1/3
sw(config-if)#sw mo acc   //接口模式设为access模式
sw(config-if)#sw acc vlan 20   //将接口添加到vlan20
sw(config-if)#exit   //退出
sw(config)#do show vlan-sw b   //查看vlan表

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/0, Fa1/4, Fa1/5, Fa1/6
                                                Fa1/7, Fa1/8, Fa1/9, Fa1/10
                                                Fa1/11, Fa1/12, Fa1/13, Fa1/14
                                                Fa1/15
10   VLAN0010                         active    Fa1/1, Fa1/2
20   VLAN0020                         active    Fa1/3
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
sw(config)#int f1/0   //进入接口f1/0
sw(config-if)#sw mo t   //设置接口模式为trunk模式
*Mar  1 00:03:20.511: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunk
sw(config-if)#sw t en dot1   //设置数据封装类型为dot1q
sw(config-if)#exit   //退出

(2)进行sw-3的基础配置。

sw-3#conf t   //进入全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
sw-3(config)#int f1/1   //进入接口
sw-3(config-if)#no switchport    //接口转为二层接口
*Mar  1 00:05:39.675: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/1, changed state to up
sw-3(config-if)#ip add 192.168.100.1 255.255.255.0   //配置IP地址和子网掩码
sw-3(config-if)#no shut   //开启接口
sw-3(config-if)#exit   //退出
sw-3(config)#vlan 10,20   //创建vlan
sw-3(config-vlan)#exit   //退出
sw-3(config)#int vlan 10   //进入vlan10
sw-3(config-if)#ip add 192.168.10.1 255.255.255.0   //配置IP地址和子网掩码
sw-3(config-if)#no shut   //开启vlan
sw-3(config-if)#exit   //退出
sw-3(config)#int vlan 20   //进入vlan20
sw-3(config-if)#ip add 192.168.20.1 255.255.255.0   //配置IP地址和子网掩码
sw-3(config-if)#no shut   //开启vlan
sw-3(config-if)#exit   //退出
sw-3(config)#int f1/0   //进入接口
sw-3(config-if)#sw mo t   //设置接口模式为trunk模式
*Mar  1 00:08:40.075: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunk
*Mar  1 00:08:40.575: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up
*Mar  1 00:08:40.583: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up
sw-3(config-if)#sw t en dot1   //设置数据封装类型为dot1q
sw-3(config-if)#exit   //退出
sw-3(config)#do show ip route   //查看路由表
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.10.0/24 is directly connected, Vlan10
C    192.168.20.0/24 is directly connected, Vlan20
C    192.168.100.0/24 is directly connected, FastEthernet1/1
sw-3(config)#

(3)分别给PC1、PC2、PC3、PC4主机配置IP地址。

PC1>
PC1> ip 192.168.100.100 192.168.100.1
Checking for duplicate address...
PC1 : 192.168.100.100 255.255.255.0 gateway 192.168.100.1

PC1> 
PC2>
PC2> ip 192.168.10.10 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.10 255.255.255.0 gateway 192.168.10.1

PC2> 
PC3>
PC3> ip 192.168.10.20 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.20 255.255.255.0 gateway 192.168.10.1

PC3> 
PC4>
PC4> ip 192.168.20.20 192.168.20.1
Checking for duplicate address...
PC1 : 192.168.20.20 255.255.255.0 gateway 192.168.20.1

PC4> 

(4)用PC2主机去ping其它所有主机,都能互通。

PC2> ping 192.168.100.100
192.168.100.100 icmp_seq=1 timeout
84 bytes from 192.168.100.100 icmp_seq=2 ttl=63 time=11.281 ms
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=15.939 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=13.957 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=14.960 ms

PC2> ping 192.168.10.20
84 bytes from 192.168.10.20 icmp_seq=1 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=2 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=3 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=4 ttl=64 time=0.642 ms
84 bytes from 192.168.10.20 icmp_seq=5 ttl=64 time=0.000 ms

PC2> ping 192.168.20.20
192.168.20.20 icmp_seq=1 timeout
84 bytes from 192.168.20.20 icmp_seq=2 ttl=63 time=17.046 ms
84 bytes from 192.168.20.20 icmp_seq=3 ttl=63 time=12.324 ms
84 bytes from 192.168.20.20 icmp_seq=4 ttl=63 time=17.953 ms
84 bytes from 192.168.20.20 icmp_seq=5 ttl=63 time=15.786 ms

PC2> 

(5)在sw-3上配置命名访问控制列表。

sw-3(config)#
sw-3(config)#ip access-list standard test0   //添加命名访问控制列表test0
sw-3(config-std-nacl)#permit host 192.168.10.10   //允许PC2主机IP通过
sw-3(config-std-nacl)#deny 192.168.10.0 0.0.0.255   //拒绝192.168.10.0网段所有IP通过
sw-3(config-std-nacl)#permit any   //允许所有
sw-3(config-std-nacl)#exit   //退出
sw-3(config)#do show access-lists   //查看ACL列表
Standard IP access list test0
    10 permit 192.168.10.10
    20 deny   192.168.10.0, wildcard bits 0.0.0.255
    30 permit any
sw-3(config)#int f1/1   //进入接口
sw-3(config-if)#ip access-group test0 out   //将ACL应用到接口(出口)
sw-3(config-if)#exit   //退出
sw-3(config)#

(6)用PC2、PC3、PC4主机分别去ping主机PC1的IP地址。PC3主机不能与PC1互通,因为192.168.10.0网段只有PC2主机IP能通过sw-3.

PC2> ping 192.168.100.100
192.168.100.100 icmp_seq=1 timeout
192.168.100.100 icmp_seq=2 timeout
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=20.944 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=19.954 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=11.286 ms

PC2> 
PC3> ping 192.168.100.100
*192.168.10.1 icmp_seq=1 ttl=255 time=9.073 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=9.978 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=11.641 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=4 ttl=255 time=1.995 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=5 ttl=255 time=1.713 ms (ICMP type:3, code:13, Communication administratively prohibited)

PC3> 
PC4> ping 192.168.100.100
84 bytes from 192.168.100.100 icmp_seq=1 ttl=63 time=20.944 ms
84 bytes from 192.168.100.100 icmp_seq=2 ttl=63 time=17.947 ms
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=19.947 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=20.075 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=19.639 ms

PC4> 

(7)我们在test0命名访问控制列表中,添加允许PC3的IP地址访问PC的规则,再用PC3去ping主机PC1,结果可以互通。

sw-3(config)#
sw-3(config)#ip access-list standard test0    //进入ACL的子模式
sw-3(config-std-nacl)#12 permit host 192.168.10.20   //添加允许规则
sw-3(config-std-nacl)#exit   //退出
sw-3(config)#do show access-lists   //查看ACL列表
Standard IP access list test0
    10 permit 192.168.10.10 (5 matches)
    12 permit 192.168.10.20
    20 deny   192.168.10.0, wildcard bits 0.0.0.255 (10 matches)
    30 permit any (5 matches)
sw-3(config)#
PC3> ping 192.168.100.100
192.168.100.100 icmp_seq=1 timeout
192.168.100.100 icmp_seq=2 timeout
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=17.954 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=15.538 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=15.956 ms

PC3> 

(8)将上一步添加的允许规则删除,再用PC3去ping主机PC1,结果又不能互通。

sw-3(config)#
sw-3(config)#ip access-list standard test0   //进入ACL列表子模式
sw-3(config-std-nacl)#no 12   //删除编号为12的规则
sw-3(config-std-nacl)#exit   //退出
sw-3(config)#do show access-lists   //查看ACL列表
Standard IP access list test0
    10 permit 192.168.10.10 (5 matches)
    20 deny   192.168.10.0, wildcard bits 0.0.0.255 (10 matches)
    30 permit any (5 matches)
sw-3(config)#
PC3> ping 192.168.100.100
*192.168.10.1 icmp_seq=1 ttl=255 time=9.578 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=3.993 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=1.692 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=4 ttl=255 time=2.686 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=5 ttl=255 time=14.020 ms (ICMP type:3, code:13, Communication administratively prohibited)

PC3> 

原文地址:https://blog.51cto.com/14449541/2444011

时间: 2024-12-24 04:48:03

ACL访问控制列表(标准、拓展、命名控制列表)的配置实例的相关文章

ACL访问控制列表(标准性、扩展性、命名性)

ACL访问控制列表 访问控制列表的工作原理: 出:已经过路由器处理正离开路由器接口的数据包. 入:已达到路由器接口的数据包,将被路由器处理. ACL对数据流的处理流程: 路由器将对数据包进行匹配,路由器将决定该数据包的通过或拒绝,拒绝后将下一跳匹配共匹配三次直到最后拒绝丢弃. ACL类型 标准访问:根据数据包的源iP地址来允许或拒绝.列表号1~99. 扩展访问:根据数据包的源IP地址.目的IP地址.指定协议.端口和标志来允许或拒绝.列表号100~199. 命名访问:允许使用标准访问或扩展访问,用

ACL访问控制列表——标准IP访问列表(理论+实验)

ACL访问控制列表的功能 1.限制网络流量.提高网络性能2.提供对通信流量的控制手段3.提供网络访问的基本安全手段4.在网络设备接口处,决定哪种类型的通信流量被转发.哪种类型的通信流量被阻塞 ACL的工作原理 1.访问控制列表在接口应用的方向出方向:已经过路由器的处理,正离开路由器接口的数据包入方向:已达到路由器接口的数据包,将被路由器处理列表应用到接口方向与数据方向有关 ACL规则 1. 从上到下依次匹配 2. 一旦被某条ACL匹配,则停止查找 3. 依照上两条规则,ACL的精确或者严格规则写

“TI门外汉”网路知识笔记十一 访问控制列表ACL(1标准访问列表)

访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包.ACL适用于所有的被路由协议,如IP.IPX.AppleTalk等. ACL的作用: ACL可以限制网络流量.提高网络性能. ACL提供对通信流量的控制手段. ACL是提供网络安全访问的基本手段. ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞. 3P 原则: 在路由器上应用 ACL 的一般规则.您可以为每种协议 (per protocol).每个方向 (per

ACL访问控制列表——命名访问控制列表(实操!!!)

命名访问控制列表可灵活的调整策略,前提是在标准访问列表以及扩展访问列表的基础上,可以使用no+ACL号删除策略.也可以使用ACL号+permit+ip追加ACL策略 实验环境 一台二层交换机 一台三层交换机 四台pc机 实验需求 允许vlan10中pc2可以访问pc1 拒绝vlan10中其他访问pc1 允许其他网段中的主机访问pc1 实验拓扑图 1,配置sw二层交换机 sw#conf t ##全局模式 sw(config)#vlan 10,20 ##创建vlan10,20 sw(config-v

标准ACL访问控制列表

首先创建拓扑图如下所示: 第一步:先在R1上面配置两个端口的IP地址和到达10.0网段.20.0网段的静态路由 第二步:在SW上配置中继链路并创建VTP客户模式,然后再把接口加入相应的vlan 第三步:做SWL三层交换的中继链路和VTP服务模式 配置vlan10和vlan20并配置IP地址作为网关使用,还有默认路由 第四步:打开VPCS配置3台PC机的IP地址 第五步:设置ACL访问控制列表语句,要查看设置用show access-lists 应用到相应的接口,注意是in方向还是out方向 用V

ACL——访问控制列表

ACL--access control list-访问控制列表 访问控制列表有什么作用?①控制数据包②匹配感兴趣流量 注意:我们平时的上网行为就是一个数据包的发送和接收过程,不同的上网行为对应不同的数据包. 数据包的五元组:源IP地址 目的IP地址 协议 源端口 目的端口 QQ:电脑上的网卡IP地址 QQ服务器的地址 UDP 电脑上的任意端口 8000 PING:发送端的发送接口地址 接收端的接收接口地址 ICMP echo-request echo-reply TELNET:发送端的发送接口地

路由器ACL访问控制列表

实验名称:标准访问控制列表 实验拓扑: 实验步骤: (1)      连接主机,交换机,路由器实现全网互连 (2)      配置路由器的访问控制列表 (3)      验证 实验名称:命名标准访问控制列表 实验拓扑: 实验步骤: (1)      连接主机,交换机,路由器实现全网互连 (2)      配置交换机 (3)      验证 实验名称:扩展控制访问列表 实验拓扑: 实验步骤: (1)      连接主机,交换机,路由器,服务器实现全网互连 (2)      配置第一个路由器实现pc

ACL 访问控制列表

3W1H学习方法(what.why.where.how) What:ACL访问控制列表是应用在路由器接口的质量列表(即规则) Why:为了实现网络安全对数据流量进行控制 Where:路由器.三层交换 原理:ACL是一组规则的集合,它应用在路由器的某个接口上.对路由器而言,是分出站和进站方向的.出站指的是已经过路由器的处理,正离开路由器的数据 包:进站是指,刚刚到达路由器将要处理的数据包.如果对应的接口应用了ACL,也就是说明该接口应用了一组规则,路由器将按照这组规则的顺序对数据包检 查. ACL

配置ACL访问控制列表

ACL访问控制列表理论部分:在学习过程中我们知道了网络的联通和通信,但是在实际环境中网络管理员经常会面临为难的局面,如必须拒绝那些不希望访问的连接,同时又要允许正常的访问.那么这时就诞生了ACL(访问控制列表)下面我们先看看ACL 的原理.1.ACL是使用包过滤技术,在路由器上读取第三层和四层包头的信息,根据预定好的规则进行过滤,达到访问控制的目的2.ACL的三种模式:?标准ACL (根据数据包的源IP地址来允许或者拒绝数据包,表号是1~99)?扩展ACL (根据数据包的源IP地址,目的IP地址