ACL配置

最新推荐文章于 2024-06-13 10:50:11 发布
原创 最新推荐文章于 2024-06-13 10:50:11 发布 · 1.4k 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

什么是访问控制列表ACL?

访问控制列表ACL (Access Control List),是一张管理员手动添加的用于 数据包访问控制的 列表,路由器通过 逐项 读取列表中的条目来判断当前数据包是 放行还是丢弃。是一个路由器数据处理数据包的行为规范手册。

访问控制列表ACL分类:

搭建top

PC1的IP配置

PC2的IP配置

PC3的IP配置

PC4的IP配置

 

R1的配置:

[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24

[R1-GigabitEthernet0/0/1]ip add 192.168.2.254 24

[R1-GigabitEthernet0/0/2]ip add 192.168.12.1 24

查看以上配置

R1上面配置静态路由

[R1]ip route-static 192.168.3.0 24 g0/0/2 192.168.12.2

验证可以ping通

R2的配置:

[R2-GigabitEthernet0/0/0]ip add 192.168.12.2 24

[R2-GigabitEthernet0/0/1]ip add 192.168.3.254 24

查看以上配置

R2上面配置静态路由

[R2]ip route-static 192.168.1.0 24 g0/0/0 192.168.12.1

[R2]ip route-static 192.168.2.0 24 g0/0/0 192.168.12.1

PC2可以和PC4 ping通

PC1可以和PC4 ping通

 

接下来配置ACL

第一步:部署位置:可以部署在被控数据包的必经之路上;但部署在 靠近源 的位置且尽量 集中化 部署。

第二步:匹配对应流量

1.1 拒绝PC1通过PC4

[R1]acl 2000

[R1-acl-basic-2000]rule 5 deny source 192.168.1.12 0.0.0.0

放行其他流量

[R1-acl-basic-2000]rule permit source any

第三步:决定调用方向

在g/0/0接口上调用了acl

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

这时PC1和PC4就不通了

PC3和PC4可以通

PC2和PC4可以通

 

第四步:查看及测试

[R1]display traffic-filter applied-record

-----------------------------------------------------------

Interface                   Direction  AppliedRecord      

-----------------------------------------------------------

GigabitEthernet0/0/0        inbound    acl 2000

-----------------------------------------------------------

查看部署了哪些acl

[R1]dis acl all

-----------------------------------------------------------

 Total quantity of nonempty ACL number is 1

Basic ACL 2000, 2 rules

Acl's step is 5

 rule 5 deny source 192.168.1.12 0

 rule 10 permit (436 matches)

-----------------------------------------------------------

1.2 只允许PC1能访问PC4

先停掉之前的配置:

[R1]acl 2000

[R1-acl-basic-2000]undo rule 5

[R1-acl-basic-2000]undo rule 10

[R1-acl-basic-2000]undo rule 15

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]undo traffic-filter inbound

然后开始做配置

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 192.168.1.12 0.0.0.0

[R1-acl-basic-2000]rule 10 deny source any

 

[R1]int g0/0/2

[R1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000

PC1可以ping通PC4

PC2不可以ping通PC4

PC3不可以ping通PC4

 

My Precious
关注
acl配置
安静的一个人
07-18 4350
1 配置 基本acl配置案例 配置基本acl步骤 配置规则生效时间段 执行命令system-view,进入系统视图。 执行命令time-rangetime-name{start-timetoend-time{days} &<1-7> |fromtime1date1[totime2date2] },创建一个时间段。 创建基本ACL 执行命令acl{ [n...
ACL基本配置
飘雪冰峰的博客
05-28 6196
ACL 基本配置 OSPF 配置 这里以 R3 为例,展示 ospf 的配置。 在 AR3260 系列路由器中,可以正常配置 # R3 IP配置 <Huawei>system-view [Huawei]sysname R3 [R3]q <R3>undo terminal monitor # 屏蔽 terminal 端的打印信息 Info: Current terminal monitor is off. <R3> <R3>system-view En
配置ACL
weixin_64444995的博客
04-13 5649
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。 应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝。
ACL配置
A1813968的博客
06-13 7075
ACL(Access Control Lists,访问控制列表)是一种基于包过滤的访问控制技术,旨在根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。通过合理地配置和应用ACL规则,可以有效地控制网络中的数据流,保护网络免受未授权访问和攻击。数字命名方式使用aclnumber+数字(0~4294967294)进行命名,而字符串命名方式则使用acl name+字母+acl类型进行命名。在ACL中,每条规则由permit(允许)或deny(拒绝)语句组成,用于指定与该规则相对应的处理动作。
精选资源
第八次实验ACL配置实验.docx
05-17
ACL 配置实验报告 本实验报告的主要目的是了解并掌握路由器上的标准 ACL 配置,实现网段间互访的安全控制。通过本次实验,我们可以深入理解包过滤防火墙的工作原理,并掌握路由器上的标准 ACL 规则及配置。 一、...
华为s5700vlan划分和acl配置命令.docx
09-11
### 华为S5700交换机VLAN划分与ACL配置详解 #### 一、华为S5700交换机简介 华为S5700系列交换机是一款多功能、高性能的企业级接入层交换机,支持多种管理和安全特性,如IPv6、PoE+、集成Wi-Fi等,适用于中小型企业...
H3C路由器基本ACL配置案例.doc
12-15
H3C路由器基本ACL配置案例
华为ACL配置.zip
03-08
解压后的文件“华为ACL配置”应该包含网络设备的拓扑结构图,显示了设备间的连接关系,这对于理解流量如何在不同设备间流动至关重要。同时,设备代码部分提供了具体的ACL配置命令,可以复制到华为设备的CLI(命令行...
acl 服务器模块的部署
网络编程与服务器编程
01-21 237
一、概述       在文章 acl 服务器编程模型介绍,开发多线程进程池服务器程序---acl 服务器框架应用,快速创建你的服务器程序--single进程池模型 等文章中介绍了如何基于 acl 的 C 语言版编写服务器程序,而在 用 acl::master_aio 类编写高并发非阻塞服务器程序,使用 acl::master_proc 类编写多进程服务器程序,使用 acl::master_t...
简单的ACL配置
MA463841740的博客
03-12 728
hcia,简单的acl配置
Acl配置
最新发布
11-09
ACL(访问控制列表)是一种用于控制网络流量的机制,以下是关于ACL配置的相关信息。 ### 锐捷标准ACL配置示例 以下是一个锐捷标准ACL配置示例: ```plaintext ip access-list standard 10 //创建ACL为标准ACL,数字范围为10(标准ACL的数字范围是1 - 99,每一个数字编号都是不同的ACL) 10 deny 192.168.10.0 0.0.0.255 // 拒绝192.168.10.0的路由 20 permit any //放行所有未匹配到的路由,一定要敲,因为ACL默认拒绝,不敲的话不仅是192.168.10.0的路由被拒绝了,所有的路由包括192.168.20.0的路由也会被拒绝 ``` 此配置中,首先创建了编号为10的标准ACL,然后拒绝了`192.168.10.0/24`网段的流量,最后允许其他所有流量通过。如果不添加`permit any`语句,所有流量都将被拒绝,因为ACL默认是拒绝所有未明确允许的流量的 [^1]。 ### 配置时的错误处理 在配置ACL时可能会遇到错误提示,例如`Error: A simplified ACL has been applied in this view.`,出现此提示是因为之前在G4接口配置了outbound和inbound,而路由器的一个接口上只能在出入方向各使用一个ACL列表,所以需要删掉之前的配置 [^2]。 ### 通用配置思路 - **确定ACL类型**:ACL分为标准ACL和扩展ACL。标准ACL只能根据源IP地址进行过滤;扩展ACL可以根据源IP地址、目的IP地址、端口号、协议等更多信息进行过滤。 - **规划规则顺序**:ACL规则是按顺序匹配的,一旦匹配到某条规则,就不再继续匹配后续规则。所以规则的顺序非常重要,通常将最严格的规则放在前面。 - **应用到接口**:配置ACL后,需要将其应用到相应的接口上,并指定是入方向(inbound)还是出方向(outbound)。 ### 配置步骤示例(以锐捷设备为例) 1. **创建ACL**:使用`ip access-list`命令创建标准或扩展ACL。 2. **添加规则**:使用`deny`或`permit`命令添加具体的过滤规则。 3. **应用到接口**:在接口配置模式下,使用`ip access-group`命令将ACL应用到接口的入方向或出方向。 ### 配置示例代码(扩展ACL) ```plaintext ip access-list extended 100 10 deny tcp any any eq 80 // 拒绝所有TCP协议的80端口流量 20 permit ip any any // 允许其他所有IP流量 interface GigabitEthernet 0/1 ip access-group 100 in // 将ACL 100应用到G0/1接口的入方向 ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值