ACL——访问控制列表

最新推荐文章于 2023-06-03 14:39:56 发布
转载 最新推荐文章于 2023-06-03 14:39:56 发布 · 429 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:http://blog.51cto.com/14367225/2420461
文章标签:

#网络

本文详细解析了访问控制列表(ACL)的概念及其在网络管理中的应用。包括标准ACL、扩展ACL及命名ACL的不同特点和配置方法,以及如何精确控制网络流量,确保网络安全。

ACL--access control list-访问控制列表

访问控制列表有什么作用?
①控制数据包
②匹配感兴趣流量

注意:我们平时的上网行为就是一个数据包的发送和接收过程,不同的上网行为对应不同的数据包。

数据包的五元组:
源IP地址 目的IP地址 协议 源端口 目的端口

QQ:电脑上的网卡IP地址 QQ服务器的地址 UDP 电脑上的任意端口 8000

PING:发送端的发送接口地址 接收端的接收接口地址 ICMP echo-request echo-reply

TELNET:发送端的发送接口地址 被TELNET的设备接收接口地址 TCP 本台设备上的任意端口 23

ACL的类型:三种

①标准的ACL:1-99,标准的ACL只能针对数据包的源IP地址进行控制,不能针对数据包的目的IP地址以及协议号进行控制。删除的时候只能针对一整张列表上的所有条目进行删除。可控性低。
A.通过标准的ACL实现PC不能访问R3:

IOU2(config)#access-list 1 deny host 172.16.1.1 --配置列表拒绝目标
IOU2(config)#access-list 1 permit any--末尾隐含拒绝所有,所以需要写一条匹配所有的语句。

IOU2(config)#int e0/0--进入接口调用ACL
IOU2(config-if)#ip access-group 1 in

B.使用标准ACL实现PC能够ping R3但是不能TELNET R3:

IOU3(config)#access-list 1 deny host 172.16.1.1
IOU3(config)#access-list 1 permit any 
IOU3(config)#line vty 0 4--只需要在VTY线路上调用ACL,针对从172.16.1.1这个源过来的所有数据流量
IOU3(config-line)#access-class 1 in --对于vty线路来说,所有的数据要想访问vty都属于in方向。

②拓展的ACL:100-199,拓展的ACL不仅能够针对数据包的源,还能够针对数据包的目的端以及协议-端口号进行控制。删除的时候只能针对一整张列表上的所有条目进行删除。可控性低。
A.通过拓展ACL实现PC能够ping R3但是不能TELNET R3:

IOU3(config)#access-list 101 deny tcp host 172.16.1.1 any eq  23--列表101 拒绝主机172.16.1.1到达本台设备上的所有地址的TELNET功能。(tcp 23端口就是代表telnet,这表写eq 23 或者 eq telnet都行)
IOU2(config)#access-list 101 permit  ip any any 
IOU2(config-if)#ip access-group 101 in

③命名的ACL:命名的ACL,是基于标准和拓展ACL的另外一种形式,删除的时候可以针对某一条单独的命令进行删除。可控性高。分为命名标准ACL和命名的拓展ACL。

IOU1(config)#ip access-list standard 1
IOU1(config-std-nacl)#permit 1.1.1.0 0.0.0.255
IOU1(config-std-nacl)#permit 1.1.3.0 0.0.0.255
IOU1(config-std-nacl)#permit 1.1.2.0 0.0.0.255 
IOU1(config-std-nacl)#no permit 1.1.3.0 0.0.0.255

A.命名的标准ACL:
通过命名的标准ACL实现PC能够ping R3但是不能TELNET R3:

IOU3(config)#ip access-list standard PC  
IOU3(config-std-nacl)#deny host 172.16.1.1 
IOU3(config-std-nacl)#permit any 

IOU3(config)#line vty 0 4
IOU3(config-line)#access-class PC in

B.命名的标准ACL:
通过命名的拓展ACL实现PC能够ping R3但是不能TELNET R3:

IOU3(config)#ip access-list extended PC 
IOU3(config-ext-nacl)#deny tcp host 172.16.1.1 any eq 23
IOU3(config-ext-nacl)#permit ip any any 

IOU3(config)#line vty 0 4
IOU3(config-line)#access-class PC in

ACL的使用规则:
访问控制列表是根据序号从上往下、有小到大依次执行的,所以最小的序列号一般在最上面。
②访问控制列表本质上是一个匹配工具,在全局模式下配置完成之后,需要进入接口(物理接口、远程的登录接口、回环接口、NAT)调用,否则无效。一个接口上分为两个方向(进、出),每个接口的每个方向上只能调用一个ACL。
③访问控制列表末尾隐含一条拒绝所有的语句,所以配置完ACL之后,需要再写一条允许所有语句,否则就只有列表中允许的那些条目能够通过。该拒绝所有的语句在列表中无法显示。(access-list 1 deny any)
④访问控制列表,匹配完网段以后,后面要跟上反掩码(通配符)。如果没有跟上反掩码的话,默认就是跟上0.0.0.0
⑤访问控制列表只能针对经过或者往返自己的数据包进行控制,不能够对自己产生的数据包进行控制。

将ACL置于网络中时:

①扩展 ACL 应靠近源地址

②标准 ACL 应靠近目的地址
ACL——访问控制列表

bashui2708
关注
8-0访问控制列表ACL
cindyandcandy的博客
07-03 543
访问控制列表ACL可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。ACL概述用于路由器接口:包过滤技术,读取第三层或第四层包头中的信息,从而达到访问控制目的。用于其他控制策略的匹配列表:通过包头部信息进行数据的匹配,匹配结果被其他控制策略调用并执行相应控制操作。ACL的作用...
云计算学习笔记——访问控制列表ACL
11-19 2813
第十一章访问控制列表ACL) 学习目标:理解ACL的基本原理会配置标准ACL 会配置扩展ACL 会配置命名ACL能够综合应用ACL 一、ACL概述 访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表(规则),用来告诉路由器,哪些数据包可以接收,哪些需要拒绝。基本原理:使用包过滤技术,在...
ACL-访问控制简介及配置
doubledSS的博客
04-27 1863
实用技术—ACLACL简介ACL的作用ACL的分类基本ACL的用法高级ACL的用法案例 ACL简介 全称:访问控制列表(Access Control List) 作用:在众多数据包里面抓取某一个数据流 ACL的作用 作用:ACL是一个流量匹配工具,本身没有过滤的作用,真正有过滤作用的一般是策略生效。 如何判断同一个流量 依靠数据包里面的五元组(SIP、DIP、Sport、Dport、协议)...
思科模拟器:acl网络访问控制 扩展设置 (100-199)
鲍海超
03-16 2433
思科模拟器:acl网络访问控制 扩展设置 (100-199)
ACL和NAT
cyj1261009240的博客
09-20 1514
acl和nat
关于ACL——访问控制列表的理论及配置方案
优快云_Rui_的博客
08-28 444
目录 ACL——访问控制列表 标准访问控制列表拓扑图 L2-SW1 R1 效果图 扩展访问控制列表拓扑图 总结 ACL——访问控制列表 作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。 三层头部信息:源、目标IP 四层头部信息:源、目标端口号 访问控制列表的调用方向: 入:流量将要进入本地路由器,将被本地路由器处理 出:已经被本地路由器处理过了,流量将离开本地路由器 策略做好后,在入接口调用和出接口调用的区别: 入接口调用的话,对本地路由器生效 .
ACL——标准访问控制列表
Yplayer001的博客
10-15 4702
1.ACL概述 (1)、ACL全称访问控制列表(Access Control List) (2)、基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息(如源地址、目的地址、协议口、端口号等),根据预先定义好的规则对包进行过滤,从而达到控制的目的 (3)ACL目的:限制网络流量、提高网络性能;提供对通信流量的控制手段;提供网络访问的基本安全手段 (4)、功能:网络中的结点分为资源...
ACL(Access Control List)——访问控制列表
PICACHU+++的博客
08-01 2096
ACL由一系列允许或拒绝的规则组成,设备可以根据这些规则对报文进行分类,然后对不同类型的报文采取不同的处理方式,其主要目的是为了实现对用户访问动作的控制,限制用户流量和防止网络攻击。...............
第五章 访问控制列表ACL——标准ACL实验
沐一清
09-02 4305
一、理论 1.简述ACL的作用。 ACL可以提供网络访问的基本手段。可用于Qos,控制数据流量。控制通信量。 2.简述标准ACL和扩展ACL的不同点。 标准ACL是检查源地址,而扩展ACL不仅仅检查源地址,还检查目的地址。 标准ACL允许或拒绝整个协议簇,而扩展ACL允许或拒绝特定协议或应用程序。扩展ACL比标准ACL更精细一些。 标准ACL的编号为1-99,而扩展ACL的编号是100-199。 ...
ACL访问控制列表
qq_47175413的博客
06-03 5540
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表,列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
ACL访问控制列表
dawn0718的专栏
05-14 8619
  ACL访问控制列表),是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。   访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。   通常用于对设备进行一些保护,比如限定具体的IP访问或者端口保护。   一般情况下,2000-2999 基本的访问控制列表,只能匹配源IP地址。3000-3999 高级的访问控制列表,可以匹配源IP、目的IP、源端口、目的端口。   需要注意的
Cisco access-list 访问控制列表配置全解
weixin_34219944的博客
06-08 1万+
ACL(Access Control List,访问控制列表)技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一...
扩展ACL配置 禁止外网用户用Telnet远程登录本路由器。
salmonwilliam的博客
12-25 7761
R1(config)# access-list 100 deny tcp any host 200.1.1.1 eq 23 R1(config)# access-list 100 deny tcp any host 192.168.0.1 eq 23 R1(config)# access-list 100 permit ip any any R1(config)# interface s0 ...
访问控制列表--标准ACL
热门推荐
青红造了个大白之成长记
07-05 2万+
访问控制列表(Access Control List,简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能,在现实中应用广泛。ACL根据功能的不同分为标准ACL和扩展ACL。标准ACL只能过滤报文的源IP地址;扩展ACL可以过滤源IP、目的IP、协议类型、端口号等。ACL的配置主要分为两个步骤:(1)根据需求编写ACL;(2)...
Cisco路由器access-list访问控制列表命令详解
weixin_34060299的博客
08-11 6476
CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。 标准型IP访问列表的格式   ---- 标准型IP访问列表的格式如下: ---- access-list[list number][permit|de...
ACL 应用之Telnet
qq_36963043的博客
06-27 2130
ACL 应用之Telnet 4.1 问题 如图配置IP地址,配置路由,确保各设备互通 拒绝 R1 远程管理 R3 仅允许 192.168.1.254 远程管理 R2 其他流量均可以互通 4.2 方案 搭建实验环境,如图-4所示。 图-4 4.3 步骤 实现此案例需要按照如下步骤进行。 1)配置终端设备 - Client 1 地址:192.168.1.1 掩码:255.255.255.0 网关:192.168.1.254 2)配置终端设备 – Client 2 地址:192.168.2.1
使用ACL访问控制列表进行策略路由
Breeze的博客
04-02 2万+
我们先来简单的讲解一下ACL访问控制列表ACL的本质,是对流量进行分组的策略,对数据流进行直接控制,或者用作决策。在ACL的一般应用中通常用来过滤有风险的流量分组或者放行安全的流量分组,拥有非常高的灵活性。 ACL访问控制列表相当于一些列的if、else if语句,从上到下依次匹配,当匹配成功便执行ACL的操作,而不继续进行匹配,一致匹配到ACL列表的末尾,在每个ACL访问控制列表的末尾都有一...
CCNA-ACL访问控制列表)技术
Slash的博客
02-23 2242
一、基本概念 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。 访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障 网络安全。 ACL是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收 还是拒...
lucene 按照匹配度排序_访问控制列表-细说ACL那些事儿(ACL匹配篇)
weixin_39955142的博客
11-24 336
1 、ACL匹配机制上一期提到,ACL在匹配报文时遵循“一旦命中即停止匹配”的原则。其实,这句话就是对ACL匹配机制的一个高度的概括。当然,ACL匹配过程中,还存在很多细节。比如,ACL不存在系统会怎么处理?ACL存在但规则不存在系统会怎么处理?为了对整个ACL匹配过程展开详细的介绍,小编画了一张ACL匹配流程图,相信对大家理解ACL匹配机制能有所帮助。从整个ACL匹配流程可以看出,报文与ACL规...
acl访问控制列表理论
最新发布
03-19
### ACL访问控制列表的理论基础与工作原理 #### 1. 定义与功能 访问控制列表(Access Control List, ACL)是一种用于在网络设备上实施流量过滤的技术。它能够基于源IP地址、目标IP地址、协议类型以及特定端口等参数来决定允许或拒绝某些数据包通过网络设备[^4]。 #### 2. 工作机制 ACL的核心工作机制在于读取并分析三层(网络层)和四层(传输层)的数据包头部信息,随后依据预设规则对其进行筛选处理[^3]。具体来说: - **匹配流程**:当数据包到达接口时,会按照ACL中的规则逐条进行匹配。如果找到符合条件的第一条规则,则执行相应的操作;如果没有发现任何匹配项,则默认触发隐含的“拒绝所有”规则,从而阻止该数据包通行。 - **方向性应用**:ACL需被绑定至指定接口上的入站(inbound)或者出站(outbound)方向方能生效。值得注意的是,在同一时刻同一个接口仅支持单一方向关联唯一的一张ACL表。 #### 3. 类型划分及其部署策略 根据实现复杂度的不同可将ACL分为两种主要类别——基本ACL与高级ACL,并针对它们各自的特点提出了合理的布署位置建议: - **基本ACL**:由于其设计局限只允许利用源IP作为判定条件之一,因此推荐尽可能靠近目的地部署以便更好地管理资源消耗情况[^2]^。 - **高级ACL**:相比而言具备更强大的灵活性因为它除了考虑上述因素外还可以兼顾诸如目的端口号之类的额外属性所以更适合安排于接近源头处以尽早拦截不必要的通信请求节约整体链路成本开销. #### 4. 实际运用技巧提示 为了提高实际场景下的效率及准确性这里给出几点实用性的指导方针: - 明确识别待管控的数据流向特征包括但不限于起始点终点坐标之后绘制直观示意图辅助决策确定潜在适用节点范围. - 登录选定的目标路由器着手构建详尽具体的准入准则体系确保覆盖全面无遗漏之处. - 将最终成型后的清单正式挂载到预定端口中去激活实时监控防护机能. ```python # 示例 Python 伪代码展示如何模拟简单 ACL 过滤逻辑 def apply_acl(packet, acl_rules): for rule in acl_rules: if match_rule(packet, rule): # 自定义函数检测单个packet是否满足rule条件 return execute_action(rule['action']) # 执行对应的动作如permit/deny return deny_packet() # 默认行为为deny def match_rule(packet, rule): pass # 根据实际情况填充比较算法细节 def execute_action(action_type): pass # 处理不同的动作类型 def deny_packet(): pass # 对未匹配成功的数据包采取措施 ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值