ACL

最新推荐文章于 2025-03-28 19:50:57 发布
原创 最新推荐文章于 2025-03-28 19:50:57 发布 · 305 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

ACL:Access Control List,访问控制列表

作用:

1、实现访问控制
2、抓取感兴趣流量供其他技术调用

工作原理:通过在路由器上手工定义一张ACL列表,表中包含有多种访问规则,然后将此表调用在路由的某个接口的某个方向上,

让路由器对收到的流量基于表中规则执行动作–允许、拒绝

ACL匹配规则:

至上而下按照顺序依次匹配,一旦匹配中流量,则不再查看下一条。

ACL的分类:

基本ACL:只能匹配数据包中的源IP地址
高级ACL:可以识别数据包中的源、目IP地址,源、目端口号以及协议号

ACL配置:

基本ACL:因为只能识别源IP,所以为了避免误删,调用时尽量靠近要求中的目标
[r2]acl ?
INTEGER<2000-2999> Basic access-list(add to current using rules)
INTEGER<3000-3999> Advanced access-list(add to current using rules)

[r2]acl 2000 //创建ACL 2000
[r2-acl-basic-2000]rule deny source 172.16.0.30 0 //拒绝单个IP
[r2-acl-basic-2000]rule deny source 172.16.0.30 0.0.0.255 //拒绝一个范围(网段)
[r2-acl-basic-2000]rule deny source any //拒绝所有
注:动作可以换成permit

[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //接口调用ACL

高级ACL:因为可以识别的更精确,所以调用时尽量靠近源

[r1]acl 3000
[r1-acl-adv-3000]rule deny tcp source 172.16.0.10 0 destination 172.16.0.1 0 destination-port eq 23
协议 源IP 目标IP 目标端口号

[r1]acl name vlan10 basic/advance 命名的配置方式

[r1]display acl all //查看所有的ACL列表
Total quantity of nonempty ACL number is 2

Advanced ACL 3000, 2 rules
Acl’s step is 5
rule 5 deny tcp source 172.16.0.10 0 destination 172.16.0.1 0 destination-port eq telnet
rule 10 deny icmp source 172.16.0.10 0 destination 172.16.0.66 0 (5 matches)

Advanced ACL vlan10 3999, 3 rules
Acl’s step is 5
rule 5 deny ip source 1.1.1.1 0
rule 10 deny ip source 1.1.1.2 0
rule 15 deny ip source 1.1.1.3 0
序号

注:在配置ACL规则时,设备会自动生成5+的序号来排序。
可以基于序号添加和删除规则

Telnet服务:远程登录服务

基于TCP 23端口工作,基于C/S架构
[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa //使用用户名密码的方式

[r1]aaa
[r1-aaa]local-user zhaobin privilege level 15 password cipher qwer1234

实验

实验配图在这里插入图片描述

实验步骤

1、配置每个点的IP地址
2、将此图全网打通
3、点击打开R1命令窗口在这里插入图片描述
输入
[R1]acl 3000在这里插入图片描述
[R1-acl-adv-3000]rule deny tcp source 172.16.1.1 0 destination 172.16.2.2 0 destination-port eq 23
在这里插入图片描述
[R1-acl-adv-3000]rule deny icmp source 172.16.1.1 0 destination 172.16.1.254 0
在这里插入图片描述
[R1-acl-adv-3000]rule deny tcp source 172.16.1.2 0 destination 172.16.1.254 0 destination-port eq 23在这里插入图片描述
[R1-acl-adv-3000]rule deny icmp source 172.16.1.2 0 destination 172.16.2.2 0在这里插入图片描述
[R1-acl-adv-3000]qu
在这里插入图片描述
[R1]interface GigabitEthernet 0/0/0
在这里插入图片描述
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000在这里插入图片描述
4、实验完成
telnet 172.16.2.2

zhangzekai2000
关注
HCIA--ACL
Ambition_57的博客
11-12 555
ACL:Access Control List,访问控制列表 作用: 1、实现访问控制 2、抓取感兴趣流量供其他技术调用 工作原理: 通过在路由器上手工定义一张ACL列表,表中包含有多种访问规则,然后将此表调用在路由的某个接口的某个方向上, 让路由器对收到的流量基于表中规则执行动作–允许、拒绝 ACL匹配规则: 至上而下按照顺序依次匹配,一旦匹配中流量,则不再查看下一条。 ACL的分类: 基本AC...
HCIA---ACL
qq_43613197的博客
11-14 461
HCIA---ACL目录基本概念工作原理ACL 匹配规则ACL 的分类ACL 基本配置Telnet 服务 目录 基本概念 ACL:Access Control List,访问控制列表。是一种策略工具。 作用: (1)实现访问控制 (2)抓取感兴趣流量供其他技术调用 工作原理 通过在路由器上手工定义一张 ACL 列表,表中包含有多种访问规则,然后将此表调用在路由的某个接口的某个方向上,让路由器对收到...
HCIA---ACL 实验
qq_43613197的博客
11-14 588
HCIA---ACL 实验目录搭建拓扑图实验要求配置过程配置IP地址、静态路由配置ACL并调用配置账号验证实验结果 目录 搭建拓扑图 实验要求 1.PC1不能ping R1,但是可以登陆R1;不能登陆R2,但是可以ping R2; 2.PC2不能ping R2,但是可以登陆R2;不能登陆R1,但是可以ping R1。 配置过程 配置IP地址、静态路由 R1: system-view [Huawe...
HCIA【ACL
miss_copper的博客
03-28 586
ACL 介绍
HCIA —— ACL
weixin_51562484的博客
11-05 220
ACL 访问控制列表
H3C通过配置ACL实现单向访问示例-HCL模拟器工程文件
02-27
在网络技术中,访问控制列表(ACL)是一种根据定义好的规则允许或拒绝数据包通过路由器或交换机的接口的工具。通过使用ACL,网络管理员可以对网络流量进行细粒度的控制,从而增强网络安全性和管理性。H3C是一家领先...
ACL访问控制列表,基于流量抓取
10-19
ACL,即访问控制列表,是网络管理中一种重要的安全机制,用于实现对网络流量的精细化控制。ACL的基本工作原理是通过一系列预定义的规则来决定数据包是否可以通过网络设备,以此来分配带宽资源,保障局域网的安全。 ...
基于ACL会议模板的Latex双栏中文模板
02-23
在本文中,我们将深入探讨如何使用基于ACL会议模板的LaTeX双栏中文模板来创建专业且规范的学术论文。ACL(Association for Computational Linguistics)是计算语言学领域的重要会议,其提供的模板旨在确保论文格式的...
H3C交换机 典型配置举例-6W100-ACL典型配置举例
08-04
"H3C交换机典型配置举例-6W100-ACL典型配置举例" 本文将详细介绍H3C交换机中的ACL(Access Control List,访问控制列表)典型配置举例,包括允许指定的主机访问网络和拒绝指定的主机访问网络两种配置举例。 首先,...
ACL在网络安全的应用仿真-网络安全论文-计算机论文.docx
06-07
**ACL在网络安全的应用** 访问控制列表(ACL,Access Control List)是网络管理中不可或缺的工具,主要用于实现网络访问控制和安全防护。它基于OSI模型的第三层(网络层),通过对数据包的过滤来实现对网络流量的...
HCIA实验[ACL]
WEINIHM的博客
12-24 1272
高级ACL实验
[HCIA]ACL实验
YT自己啊的博客
10-09 495
1.实验拓扑 2.实验要求 1)PC1可以telnetR1,不可以pingR1,可以pingR2,不可以telnetR2 2)PC2与PC1相反 3.实验分析 首先决定用高级ACL才能达到实验要求 telnet基于TCP协议 ping基于ICMP协议 4.实验过程 1)PC1 可以telnetR1不能ping ...
HCIA —ACL路由实验
weixin_52714299的博客
12-16 277
acl路由实验 1,先将三个路由的IP地址如图所示配齐, 2,根据DHCP将pc上的IP自动获取出来 3,在根据RIP协议达到全网可达 4,R1能远程登录R3 ,但不能ping通 (1),设置远程登录 (2),在R2上设置 (3)R1测试 4.R2ping不通R3,但R3能ping通R2 根据这个指令 看看成功了嘛 这样所有的过程都完了。 注,不足:指令记不住,不知道用那种办法。理解能力差 好:能够完整做出了来,能够正确理解。 ...
【HCIA】ACL访问控制列表
dqforgive的博客
08-07 385
ACL访问控制列表 1、访问控制:在路由器流量进或出的接口上匹配流量,之后进行控制 2、定义感兴趣流量:ACL的限制手段--允许-permit 拒绝-deny 匹配规则:自上而下逐一匹配,上条匹配按上条进行,不再查看下条 Cisco在末尾隐含一条拒绝所有;华为在末尾隐含一条允许所有 ACL的分类 1、标准ACL:仅匹配流量中的源IP地址 2、拓展ACL:匹配流量中源/目标地址,目标端口号或者目标协议号 ACL的写法 1、编号 2、命名 命名 1、标准acl`因为只匹配流量中的源IP地址,故调用时为避免误删,
HCIA (ACL访问控制列表)
weixin_68256171的博客
08-09 448
ACL(访问控制列表)是由一条或多条规则组成的集合。每条规则描述报文匹配条件(报文的源地址、目的地址、端口号等)的判断语句,设备基于这些规则进行报文匹配,可以过滤出特定的报文。
HCIA--ACL和远程登陆实验
one piece的博客
02-09 653
【代码】HCIA--ACL和远程登陆实验。
HCIA~ACL原理与配置
m0_45912044的博客
03-19 1287
ACL原理与配置
NAT地址转换
Yang_sean的博客
07-17 3250
一、背景 随着Internet的发展和网络应用的增多,IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题,但目前众多的网络设备和网络应用仍是基于IPv4的,因此在IPv6广泛应用之前,一些过渡技术的使用是解决这个问题的主要技术手段。 二、NAT原理和类别 网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地
网工的日常修养---链路聚合+ACL(HCIA)
SHIxiaojieya的博客
12-06 1269
点到点的两个设备之间,多根链路逻辑的捆绑在一起,当STP进行拓扑计算时,此时会按照聚合后的链路计算物理端口的速率可以叠加,最多可以8跟同事捆绑1.提升带宽2.增加网络的高可用性 收敛时间极快3.负载分担–>三层路由[逐流->五元组]
acl
最新发布
07-16
### ACL 配置指南与访问控制列表设置方法 访问控制列表(ACL)是一种用于控制网络流量或系统资源访问权限的机制。其配置方式因设备类型、操作系统和应用场景的不同而有所差异。以下为针对不同环境的 ACL 配置方法及设置说明。 #### 网络设备中的 ACL 配置 在路由器或交换机中,ACL 被广泛用于控制数据包的转发。以华为设备为例,配置高级 ACL 的基本命令如下: ```bash acl number 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.0.0.255 rule 10 deny ip source any destination any ``` 该配置创建了一个编号为 `3000` 的高级 ACL,允许来自 `192.168.1.0/24` 网络的数据包访问 `10.0.0.0/24` 网络,并拒绝所有其他 IP 流量。创建 ACL 后,需将其绑定到具体接口以生效: ```bash interface GigabitEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 ip access-group 3000 in ``` 此操作将 ACL 应用于 `GigabitEthernet0/0/1` 接口的入站方向,控制进入该接口的流量 [^2]。 在思科设备中,标准 ACL 的配置方式如下: ```bash access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 deny any ``` 随后将其应用到指定接口: ```bash interface s1/0 ip access-group 1 in ``` 此配置将 ACL `1` 应用于串口 `s1/0` 的入站方向,控制从该接口进入路由器的流量 [^2]。 #### 文件系统中的 ACL 设置 在 Linux 文件系统中,可以通过 `setfacl` 命令设置更细粒度的访问控制。例如,为用户 `john` 添加对某个文件的读写权限: ```bash setfacl -m u:john:rw /path/to/file ``` 此外,还可以设置组权限: ```bash setfacl -m g:developers:rx /path/to/dir ``` 上述命令允许 `developers` 组的成员对指定目录具有读和执行权限。使用 `getfacl` 命令可查看当前文件或目录的 ACL 设置: ```bash getfacl /path/to/file ``` 这将显示文件或目录的所有 ACL 条目 [^1]。 #### 云服务中的 ACL 配置 在云存储服务中,如 AWS S3,ACL 用于控制对象和存储桶的访问权限。例如,通过 JSON 策略文件设置存储桶的公共读权限: ```json { "Version": "2012-10-17", "Statement": [ { "Sid": "PublicReadGetObject", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::example-bucket/*" } ] } ``` 该配置允许所有用户读取 `example-bucket` 中的对象 [^3]。 #### 应用程序中的 ACL 实现 在应用程序中,如使用 Spring Boot 框架时,可以通过 Spring Security 的 ACL 模块实现基于对象的访问控制。例如,使用注解控制方法级别的访问权限: ```java @PreAuthorize("hasPermission(#document, 'read')") public void readDocument(Document document) { // 方法逻辑 } ``` 此注解确保调用该方法的用户必须对 `document` 对象具有 `read` 权限 [^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值