ACL--访问控制列表

最新推荐文章于 2025-10-04 02:00:53 发布
原创 最新推荐文章于 2025-10-04 02:00:53 发布 · 462 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#acl

访问控制列表(ACL)用于在网络中控制流量,基于源IP、目的IP、端口等信息筛选数据包。标准ACL仅根据源IP过滤,扩展ACL则更精确,考虑更多参数。处理原则包括匹配一次、顺序匹配、隐含拒绝所有及至少放行一条。配置时,标准ACL靠近目标调用,扩展ACL靠近源调用。示例中展示了标准和扩展ACL的创建与应用。学会使用ACL能有效管理网络流量。

 

目录

一、什么是访问控制列表

二、访问控制列表的处理原则

三、访问控制列表的分类

1、标准访问控制列表

2、扩展访问控制列表

四、基本命令操作

总结

一、什么是访问控制列表

作用:读取三四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。

三层头部信息:源、目IP

四层头部信息:TCP/UDP协议、源、目端口号

访问控制列表的调用方向:

入:流量将要进入本地路由器,将被本地路由器处理

出:已经被本地路由器处理过了,流量将离开本地路由器

策略做好后,在入接口调用和出口调用的区别:

入接口调用的话,是对本地路由器生效

出接口调用的话,对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效。

 

二、访问控制列表的处理原则

访问控制列表的处理原则:

1、路由条目只会匹配一次

2、路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配

3、ACL访问控制列表隐含一个拒绝所以

4、ACL 访问控制列表至少要放行一条路由条目

 

三、访问控制列表的分类

访问控制列表类型:

1、标准访问控制列表

只能基于源IP地址进行过滤

标准访问控制列表的列表号是2000-2999

调用原则:靠近目标

2、扩展访问控制列表

可以根据源、目IP地址,TCP/UDP协议,源、目端口号进行过滤相比较标准访问控制列表,流量控制的更加精准

调用原则:靠近源

附:AR上的单臂路由

[]int g0/0/0

[]undo shutdown

[]int g0/0/0.1

[]dot1q termination vid 10     封装方式为802.1q,g0/0/1划分进vlan10

[]ip add 192.168.10.1 24  设置IP地址和子网掩码长度

[]arp broadcast enable   开启arp广播功能

[]int g0/0/0.2   

[]dot1q termination vid 20     封装方式为802.1q,g0/0/1划分进vlan10

[]ip add 192.168.20.1 24    

[]arp broadcast enable

四、基本命令操作

标准访问控制列表

[]acl 2000    创建标准访问控制列表,列表号为2000

[]rule deny source 192.168.10.0 0.0.0.255  拒绝192.168.10.0网段(子网掩码为反掩码)

[]rule permit source any   放行其他路由条目

默认ACL的每条语句的行号间隔5

int g0/0/0.2

traffic-filter outbound/inbound acl  acl列表号

扩展访问控制列表

acl number 3000

rule deny tcp source 192.168.10.10 0 destination 202.10.100.100 0 destination-port eq 21/ftp  //

禁止PC1访问FTP服务

rule permit tcp destination-port eq ftp //放行其他客户机访问FTP服务

rule permit ip //放行其他客户机的网络流量

int g0/0/0.1

traffic-filter inbond acl 3000

总结

学会利用访问控制列表,控制网络流量

 

 

qjwthink
关注
ACL文件控制访问列表
vx XIxi_AL
08-16 1381
acl访问控制列表主要分为3类: 1、基本访问控制列表(2000-2999)只能针对source ip地址进行限制 2、告警访问控制列表(3000-3999)可以针对源ip、目的ip、源端口、目的端口进行限制 3、二层访问控制列表(4000-4999)可以针对二层数据帧进行控制 标准ACL...
ACL(基本访问控制列表
2401_86336757的博客
12-23 1795
数字型ACL和命名型ACL只是两种创建ACL的方法,并不是真正的ACL分类,真正的ACL分类是基于ACL规则定义方式划分的,能够实现不同功能,可以分别应用于不同场景。,二层协议类型等信息定义规则,因为二层ACL是基于二层数据帧进行过滤的,所以不能用于IP报文的过滤,二层ACL支持的过滤条件比较小,其过滤规则也比较简单。创建ACL时,通过名称来标识ACL,说明该ACL为命名型ACL,就像使用域名代替IP地址一样,命名型ACL方便记忆,命名型ACL的语法结构为 “(1)规则编号: 标识 ACL 规则。
基本的ACL
最新发布
fuhao0748的博客
10-04 1291
下,打开g0/0/1的接口,然后创建g0/0/1的子接口,然后终结vlan的流量并打上vid标签使子接口仅处理对应的vid的流量,再配置子接口的ip地址为网关以及子网掩码,然后打开子接口的arp广播。最后再配置g0/0/0接口的ip地址,然后打开接口。[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 #g0/0/1接口入方向启用ACL 2000规则,对进入该接口的数据包进行过滤控制,允许或拒绝匹配ACL规则的流量
访问控制列表ACL学习
01-03
本文档主要介绍了ACL分类及ACL书写匹配规则及使用方法。
路由器访问控制列表基础知识问答
weixin_34306446的博客
12-13 214
1、什么是访问控制列表访问控制列表在Cisco IOS软件中是一个可选机制,可以配置成过滤器来控制数据包,以决定该数据包是继续向前传递到它的目的地还是丢弃。 2、为什么要使用访问控制列表? 最初的网络只是连接有限的LAN和主机,随着路由器连接内部和外部的网络,加上互联网的普及,控制访问成为新的挑战,网络管理员面临两难的局面:如何拒绝不期望的访问而允许需要的访问...
ACL访问控制列表
weixin_50969780的博客
03-17 2693
一、产生背景 1.企业网络中的设备进行通信时, 需要保障数据传输的安全可靠和网络的性能稳定。 2.访问控制列表ACL(Access ControI List) 可以定义一系列不同的规则,设备根据这些规则对数据包进行分类, 并针对不同类型的报文进行不同的处理, 从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。 二、ACL概念以及如何实现 根据不同的规则,对数据包进行分类,对不同类型报文进行处理,实现对网络行为的控制,限制网络流量 2.匹配和不匹配 针对某个网段的数据流量
ACL---访问控制列表
m0_70717971的博客
10-27 423
ACL 访问控制列表
ACL --- 访问控制列表
weixin_49252364的博客
05-22 980
1,访问控制 --- 在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作 (permit--允许,deny---拒绝) 2, 抓取感兴趣流:ACL的另一个作用就是和其他服务结合,ACL负责按照事先制定的规则抓取流量,而其他服务对匹配到的流量执行相应的动作 ACL的匹配规则 ---- 自上而下,逐一匹配。匹配上就按照对应的动作来执行,而不在向下匹配。 思科体系的设备,ACL列表末尾隐含了一条拒绝所有的规则。 华为体系的设备,对ACL列表中匹配不到的流量不做任何处理...
访问控制列表ACL及配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制。ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
acl-2.2.53.tar.gz
12-17
ACL,全称Access Control List(访问控制列表),是计算机安全领域的一个重要概念,常用于管理文件系统的权限。在Linux和类Unix系统中,标准的权限系统通常只能提供用户、组和其他用户的简单权限设置,但ACL提供了更...
ACL--访问控制列表概述、组成、分类、应用
weixin_65685029的博客
01-26 3862
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。通过ACL来对报文进行过滤,可以根据业务需求来对这些报文进行允许或阻止的策略。ACL概述、ACL的组成、ACL分类、基于标准ACL和基础的高级ACL应用、基于端口的ACL
访问控制列表ACL)技术详解:原理、分类与配置指南(内附学习资料)
xx16755498979的博客
07-22 1053
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。8)一般情况下,标准或扩展ACL一旦编写,无法修改某一条,也无法删除某一条,也无法往中间插入新的条目,只能一直在最后添加新的条目。1)做流量控制,首先要先判断ACL写的位置(那个路由器?可以任意修改某一条,或删除某一条,也可以往中间插入某一条。然后写的时候要注意:将严格的控制写在前面。
ACL 访问控制列表
Linux_Rice的专栏
10-17 3564
ACL 求助编辑百科名片 访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查
32-访问控制列表ACL
网络安全
10-17 2274
1. ACL技术 访问控制列表(Access Control Lists,简称ACL)是一种包过滤技术,可以定义不同的规则策略,网络设备会根据ACL配置的规则策略来处理这些数据包,可用于实现网络流量限制,网络访问控制,提高网络安全性。 换句话说,ACL同时也是一种网络安全技术。 2. ACL实验部署 关于R1,R2,R3设备的IP地址配置,大家可以根据上图进行配置,这里就直...
常见的ACL访问控制列表
weixin_34290631的博客
09-09 327
常见的ACL分标准访问控制列表、扩展访问控制列表和命名访问控制列表,不同的场合应用不同的访问控制列表。 1、 标准访问控制列表 一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。 2、 扩展访问控制列表 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配...
访问控制列表——ACL
肥猫警长的博客
08-27 1874
话不多说,直接上内容,明天我想讲一下NAT,nat更有意思一点哈哈哈。 目录 一、ACL简介 ACL作用 访问控制列表的调用的方向: 访问控制列表的处理原则 访问控制列表类型: ACL实验过程 第一部分: 第二部分: 总结 一、ACL简介 ACL作用 读取三层、四层的头部信息,根据预先定义好的规则对流量进行筛选、过滤。 三层头部信息:源ip和目标ip 四层头部信息:TCPUDP协议、源端口号和目标端口号 访问控制列表的调用的方向: 入:流量将要进入本地路由器,将被.
IPv4 ACL访问列表简介、ACL的3种主要分类介绍与配置、以大白话介绍ACL通配符、ACL动作、定义方向、Rule序号。
Hades_Ling的优快云博客
12-19 3345
ACL访问控制列表(Access Control List)ACL可以对网络中报文流的精确匹配,通过与其它技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而保障网络环境的性能和网络服务质量的可靠性。ACL应用在功能/策略上时是不需要定义方向的,但应用在接口上时才需要定义方向。ACL的方向有inbound 入方向和outbound 出方向。如何判定入方向和出方向?基于数据流的走向定义应用的方向与ACL的匹配有何关联?
ACL--标准访问控制列表配置
06-21
ACL(Access Control List,访问控制列表)是一种网络访问控制机制,用于定义网络设备(如路由器、交换机)上数据包的过滤规则,根据数据包源地址、目的地址、端口号等信息,决定是否允许该数据包通过。标准访问控制列表配置通常应用于早期的网络设备,按照预定义的规则对入站或出站的数据包进行控制。 配置一个标准ACL一般包含以下几个步骤: 1. **创建ACL**: 使用命令行工具(如Cisco IOS的access-list或IPV4/IPv6命令)创建一个新的访问控制列表编号。 2. **添加条目**: 每条规则(entry)描述一个特定的流量条件,包括协议类型(比如TCP、UDP)、源/目标地址、端口范围等。例如,`access-list 100 deny tcp any host 192.168.1.100 eq 80` 表示阻止所有去往192.168.1.100主机的HTTP流量。 3. **应用ACL**: 在接口或接口组上应用创建好的ACL,指定数据包进出方向(inbound/outbound)。 4. **检查和测试**: 确认ACL已正确配置,并通过ping测试或者其他工具验证规则是否生效。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值