ACL的原理与配置

最新推荐文章于 2025-03-06 17:26:16 发布
原创 最新推荐文章于 2025-03-06 17:26:16 发布 · 3.1k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcp/ip #http

这篇博客详细介绍了访问控制列表(ACL)的概念,包括其简介、作用、调用方向、处理原则、类型和配置方法。ACL通过读取TCP/IP五层模型的第三层和第四层信息来过滤网络流量,主要用于数据包筛选。文章还探讨了标准ACL和扩展ACL的区别,并提供了配置实例,展示了如何使用ACL限制特定IP的FTP访问。

1.ACL的简介

2.ACL的作用 

3.ACL的调用方向

4.ACL的处理过程原则

5.ACL的类型

6.ACL的配置

1.ACL的简介

ACL——访问控制列表(Access Control list,ACL)是应用在路由器接口的指令列表(即规则),它读取的是TCP/IP五层模型的第三层、第四层的报文头信息,根据预先定义好的规则对报文进行过滤。

IP数据报报文结构

TCP报文结构

 ACL根据IP报头中的源地址、协议号、目标地址和TCP报头中的源端口、目标端口这5个元素来定义规则

2.ACL的作用 

作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。

三层头部信息:源、目IP

四层头部信息:TCP/UDP协议,源、目端口号

3.ACL的调用方向

访问控制列表的调用方向:入:流量将要进入本地路由器,将被本地路由器处理。

出:已经被本地路由器处理过了,流量将离开本地路由器。

策略做好后,在入接口调用和出接口调用的区别

入接口调用的话,是对本地路由器生效。

出接口调用的话,对本地路由器不生效,对流量将在数据转发过程中的下一台路由器生效。

注:所谓的接口的出和入的方向由流量走向决定

4.ACL的处理过程原则

访问控制列表的处理过程原则:

1.路由条目只会被匹配一次

2.路由条目在ACL访问列表中匹配的顺序是从上往下匹配

3.ACL访问控制列表隐含一个拒绝所有

4.ACL访问控制列表至少要放行一条路由条目

5.ACL的类型

1.标准控制列表

只能基于源IP地址进行过滤

标准访问控制列表的列表号是2000-2999

调用原则:靠近目标

2.扩展访问控制列表

可以根据源、目IP,TCP/UDP协议,源、目端口号进行过滤。

相比较标准访问控制列表,流量控制的更加精准。

扩展访问控制列表的列表号是:3000-3999

调用原则:靠近源

注:目前有两种主要的ACL:标准ACL和扩展ACL。
这两种ACL的区别是:标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。

在路由器配置中,标准ACL和扩展ACL的区别是由ACL的表号来体现的,上表指出了每种协议所允许的合法表号的取值范围。

6.ACL的配置

配置标准ACL

Client1:IP:192.168.10.10/24 网关:192.168.10.1
设置IP地址为192.168.10.10,子网掩码长度为24,网关为192.168.10.1
Client2:IP:192.168.20.10/24  网关:192.168.20.1
设置IP地址为192.168.20.10,子网掩码长度为24,网关为192.168.20.1
Client3:IP:192.168.10.20/24 网关:192.168.10.1
设置IP地址为192.168.10.20,子网掩码长度为24,网关为192.168.10.1
Client4:IP:192.168.20.20/24  网关:192.168.20.1
设置IP地址为192.168.20.20,子网掩码长度为24,网关为192.168.20.1
二层交换
[ ]vlan bat 10 20 创建vlan 10 20
[ ]int e0/0/1 进入接口e0/0/1
[ ]port link-type access  设置接口链路类型为access
[ ]port default vlan 10 将接口划分进对应vlan10
[ ]int e0/0/2 进入接口e0/0/2
[ ]port link-type access 设置接口链路类型为access
[ ]port default vlan 20 将接口划分进对应vlan20
[ ]int e0/0/3 进入接口e0/0/3
[ ]port link-type access 设置接口链路类型为access
[ ]port default vlan 10 将接口划分进对应vlan10
[ ]int e0/0/4 进入接口e0/0/4
[ ]port link-type access 设置接口链路类型为access
[ ]port default vlan 20 将接口划分进对应vlan20
[ ]int g0/0/1 进入接口g0/0/1
[ ]port link-type trunk 设置接口链路类型为trunk
[ ]port trunk allow-pass vlan all 设置白名单
路由
[ ]int g0/0/0 进入接口g0/0/0
[ ]undo shut 打开接口
[ ]int g0/0/0.1 进入子接口g0/0/0.1
[ ]dot1q termination vid 10 封装方式为802.1q,将子接口划分进vlan10
[ ]ip add 192.168.10.1 24 设置ip地址,子网掩码长度为24
[ ]arp broadcast enable 开启arp广播功能
[ ]int g0/0/0.2  进入子接口g0/0/0.2
[ ]dot1q termination vid 20 封装方式为802.1q,将子接口划分进vlan10
[ ]ip add 192.168.20.1 24 设置ip地址,子网掩码长度为24
[ ]arp broadcast enable 开启arp广播功能
[ ]acl 2000 创建标准访问控制列表,列表号2000
[ ]rule deny source 192.168.10.0 0.0.0.255 拒绝192.168.10.10网段(子网掩码为反掩码)
[ ]rule permit source any 放行其他路由条目
[ ]int g0/0/0.2 进入子接口g0/0/0.2
[ ]traffic-filter outbound acl 2000 选择在出接口上调用列表2000
验证:
Client1pingClient2 失败
Client1pingClient3 失败
Client1pingClient4 失败

配置扩展ACL 

Client1:192.168.10.10/24 网关:192.168.10.1
设置IP地址为192.168.10.10,子网掩码长度为24,网关为192.168.10.1
Client2:192.168.20.10/24  网关:192.168.20.1
设置IP地址为192.168.20.10,子网掩码长度为24,网关为192.168.20.1
Client3:192.168.10.20/24 网关:192.168.10.1
设置IP地址为192.168.10.20,子网掩码长度为24,网关为192.168.10.1
Client4:192.168.20.20/24  网关:192.168.20.1
设置IP地址为192.168.20.20,子网掩码长度为24,网关为192.168.20.1
服务器:202.10.100.100/24  网关:202.10.100.2
设置IP地址为202.10.100.100,子网掩码长度为24,网关为202.10.100.2
设置FTPserver端口号21,并且开启
二层SW1:
[ ]vlan bat 10 20创建vlan 10 20
[ ]int e0/0/1进入接口e0/0/1
[ ]port link-type access设置接口链路类型为access
[ ]port default vlan 10将接口划分进对应vlan10
[ ]int e0/0/2进入接口e0/0/2
[ ]port link-type access设置接口链路类型为access
[ ]port default vlan 20将接口划分进对应vlan20
[ ]int e0/0/3进入接口e0/0/3
[ ]port link-type access设置接口链路类型为access
[ ]port default vlan 10将接口划分进对应vlan10
[ ]int e0/0/4进入接口e0/0/4
[ ]port link-type access设置接口链路类型为access
[ ]port default vlan 20将接口划分进对应vlan20
[ ]int g0/0/1进入接口g0/0/1
[ ]port link-type trunk设置接口链路类型为trunk
[ ]port trunk allow-pass vlan all设置白名单
R1:
[ ]int g0/0/0进入接口g0/0/0
[ ]undo shut打开接口
[ ]int g0/0/0.1进入子接口g0/0/0.1
[ ]dot1q termination vid 10封装方式为802.1q,将子接口划分进vlan10
[ ]ip add 192.168.10.1 24设置ip地址,子网掩码长度为24
[ ]arp broadcast enable开启arp广播功能
[ ]int g0/0/0.2进入子接口g0/0/0.2
[ ]dot1q termination vid 20封装方式为802.1q,将子接口划分进vlan10
[ ]ip add 192.168.20.1 24设置ip地址,子网掩码长度为24
[ ]arp broadcast enable开启arp广播功能
[ ]int g0/0/1进入接口g0/0/1
[ ]ip add 12.1.1.1 24设置ip地址,子网掩码长度为24
[ ]undo shut打开接口
[ ]ip route-static 0.0.0.0 0 12.1.1.2设置静态路由,目的网段0.0.0.0子网掩码长度为0,下一跳入接口IP12.1.1.2
[ ]acl 3000创建访问控制列表,列表号3000
[ ]rule deny tcp source 192.168.10.10 0 destination 202.10.100.100 0 destination-port eq 21禁止PC1访问FTP服务
[ ]rule permit tcp source any destination any destination-port eq 21放行其他客户机访问FTP
[ ]rule permit ip source any destination any放行其他客户机的网络流量
[ ]int g0/0/0.1进入子接口g0/0/0.1
[ ]traffic-filter inbound acl 3000选择在入接口上调用列表3000
R2:
[ ]int g0/0/0进入接口g0/0/0
[ ]ip add 12.1.1.2 24设置ip地址,子网掩码长度为24
[ ]undo shut打开接口
[ ]int g0/0/1进入接口g0/0/1
[ ]ip add 202.10.100.2 24设置ip地址,子网掩码长度为24
[ ]undo shut打开接口
[ ]ip route-static 0.0.0.0 0 12.1.1.1设置静态路由,目的网段0.0.0.0子网掩码长度为0,下一跳入接口IP12.1.1.1
服务器
开启FTP服务
验证:
Client1登录服务器 失败
Client2登录服务器 成功
Client3登录服务器 成功
Client4登录服务器 成功

戒为良药~
关注
ACL的基本原理配置
ll945608651的博客
02-10 1万+
ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。
ACL原理配置ACL原理
10-17
ACL原理配置ACL原理)中兴售后工程师认证培训资料
ACL基本原理
weixin_30772105的博客
05-22 698
访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。 访问控制列表(ACL)的工作原理 ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。 ACl是一组规则的集合,它应用在路由器的...
ACL原理配置
qq_57093716的博客
12-15 669
了解ACL
HCIA-ACL原理配置MD版本
最新发布
07-07
掌握ACL配置应用不仅可以有效防御恶意流量和攻击,还能优化网络性能,提升网络资源的利用效率。随着网络环境的日益复杂,ACL的高级应用也逐渐成为网络工程师进阶的方向之一。了解和熟练掌握ACL原理配置,...
12 ACL原理配置.pptx
07-08
12 ACL原理配置
ACL原理配置
口袋里的梦想
09-19 568
【代码】ACL原理配置
ACL原理以及配置
热门推荐
zy748539的博客
05-23 2万+
一.什么是ACL?   访问控制列表(Access Control list,ACL)是应用在路由器接口的指令列表(即规则)。它读取的是TCP/IP五层模型的第三层、第四层的报文头信息,根据预先定义好的规则对报文进行过滤。 IP数据报报头结构 TCP报头结构   ACL根据IP报头中的源地址、协议号、目标地址和TCP报头中的源端口、目标端口这5个元素来定义规则。 ACL的作用   ACL的作用是用于控制设备之间的数据包的互通。 二.ACL的类型 基本ACL   编号范围2000-2999   参数:
ACL原理配置
zcien的博客
11-15 2447
ALC的原理配置,附实验
网络:ACL原理配置
m0_70893463的博客
06-06 5829
3000-3999 高级acl,可以匹配源ip和目标ip、源端口和目标端口、三层和四层的协议字段(三层:icmp,arp。四层:udp,tcp)虽然划分了vlan,但是不是流量控制,只是单纯的划分了广播域,而且通过三层交换机或者单臂路由还能实现不同vlan之间的通信,要求1:允许pc1访问pc3 pc1访问192.168.2.0/24(pc1能ping通pc3,其他pc不能)所以最后一位都是1是固定的,固定的位置是0,前面的都会变,所以结果是11111110 十进制为254。
计算机网络(ACL原理配置
Z的博客
06-07 2807
ACL : 访问控制协议(访问控制列表)作用:1.用来对做访问控制2.其结合其他协议,匹配范围(传输层:tcp、udp);ACL可以控制协议的流量是否可以通过。总结:ACL为访问控制,其确定流量是否能通过;=====》如果通过,则放行数据包;如果不通过则直接丢弃。
13.网工入门篇--------ACL原理配置
qq_31450765的博客
10-26 1339
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的规则对经过路由器或三层交换机的数据包进行过滤。通过 ACL,可以允许或拒绝特定的 IP 数据包通过设备,从而实现对网络访问的控制。在配置 ACL 时,如何根据不同的需求选择合适的 ACL 类型?在华为ensp模拟器中,如何创建一个简单的 ACL 配置案例?如何在华为ensp模拟器中测试 ACL配置效果?
网络基础学习(第八章):ACL原理配置
weixin_42054864的博客
06-06 2898
一、ACL访问控制列表1.1 ACL的两种作用:● 用来对数据包做访问控制(丢弃或者放行)● 结合其他协议,用来匹配范围1.2 访问控制列表● 读取第三层,第四层包头信息● 根据预先定义好的规则对包进行过滤1.3 访问控制列表在接口应用的方向● 出: 已经过路由器的处理,正离开路由器接口的数据包。● 入:已到达路由器接口的数据包,即将被被处理。注:数据是有去又回的,进的是进口,回来的时候就是出口,出的是出口,回来的时候就是进口。
访问控制列表(ACL)技术详解:原理、应用配置实践
zero_number的博客
03-06 3232
ACL 是一组配置在路由器、交换机或防火墙上的规则集合,用于根据数据包的特征(如源 IP、目标 IP、端口号、协议类型等)进行匹配,并决定放行(permit)或丢弃(deny)。它最早出现在网络设备的访问控制需求中,随着 IP 网络的发展,ACL 从简单的 IP 过滤演变为支持复杂条件的强大工具。ACL 的本质是对网络流量的精细筛选,类似“数字门禁”,确保只有符合条件的流量能够通过。ACL 的历史网络安全和管理的演进密切相关。
一节课带你学会ACL原理配置
2302_76410765的博客
03-21 625
一节课带你学会ACL原理配置
ZXR10 ACL原理配置详解
"RGUB_501_C1 G系列路由交换机ACL原理配置V1.1(48)" 访问控制列表(ACL)是网络管理中的重要工具,用于控制数据流的进出,以实现对网络流量的管理和限制。本文档主要介绍了ACL的基本原理配置步骤和应用实例。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值