访问控制列表

路由器ACL访问控制列表

烂漫一生 提交于 2019-12-06 09:35:50
实验名称:标准访问控制列表 实验拓扑: 实验步骤: (1) 连接主机,交换机,路由器实现全网互连 (2) 配置路由器的访问控制列表 (3) 验证 实验名称:命名标准访问控制列表 实验拓扑: 实验步骤: (1) 连接主机,交换机,路由器实现全网互连 (2) 配置交换机 (3) 验证 实验名称:扩展控制访问列表 实验拓扑: 实验步骤: (1) 连接主机,交换机,路由器,服务器实现全网互连 (2) 配置第一个路由器实现 pc6 能访问服务器的 www 服务不能 ping 通服务器,这个网段的其他主机都能完全访问服务器 (3) 验证 实验名称:命名扩展控制访问列表 实验拓扑: 实验步骤: (1) 连接主机,交换机,路由器,服务器实现全网互连 (2) 配置交换机 (3) 验证 转载于:https://blog.51cto.com/fengzhankui/1540236 来源: CSDN 作者: weixin_34380948 链接: https://blog.csdn.net/weixin_34380948/article/details/91820562

ACL(访问控制列表)

你说的曾经没有我的故事 提交于 2019-12-06 09:35:30
ACL(访问控制列表):是应用在路由器接口的指令列表。 其基本原理:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。 ACL可以分为以下两种基本类型: 1、标准访问控制列表:检查数据包的源地址。其结果基于源网络/子网/主机IP地址,来决定允许还是拒绝转发数据包。它实行1~99之间的数字作为代表。 2:扩展访问控制列表:对数据包的源地址与目标地址均进行检查。它也能建厂特定的协议、端口号以及其他参数。它使用1~199之间的数字作为表号。 访问控制列表的工作原理: ACL是一簇规则的集合,它应用在路由的某个接口上。对路由器而言,访问控制列表有两个方向: 出:已经过路由的处理,正离开路由接口的数据包。 入:已到达路由器接口的数据包,将被路由处理。 如果对接口应用了访问控制列表,也就是说该组应用了一组规则,那么路由器将对数据包应用该组规则进行顺序检查。 ·如果匹配第一条规则,则不在往下检查,路由器将决定该数据包允许通过或拒绝通过。 ·如果不匹配第一条规则,则依次往下检查,知道有任何一条规则配备,路由器将决定该数据包允许通过汇拒绝通过。 ·如果没有任何一条规则匹配则路由器根据默认规则将该数据包。 数据包要么被允许,要么被拒绝。 在ACL中,规则的放置顺序是很重要的

CCNA--ACL:访问控制列表

雨燕双飞 提交于 2019-12-06 09:32:50
ACL访问控制列表 作用:1、控制数据流量 2、抓取感兴趣流量 访问控制:当流量在路由器上的各个接口,进入或离开时,ACL对流量进行匹配,之后产生动态—允许或拒绝 【1】分类:标准ACL 扩展ACL 标准ACL:检查数据源IP地址 扩展ACL:检查数据协议、源目IP地址 (上层协议) ACL是一张表 每张ACL可包含多个条目 每个条目需要做permit/deny动作 允许 拒绝 【2】写法: 1、编号写法: 1-99 标准 100-199 扩展 一个编号为一张表 删除一条,整表消失 2、命名写法: 一个名字为一张表 可以使用序号随意的删除或插入 【3】匹配规则 从上向下匹配 一旦匹配不再向下查询 且每张ACL末尾存在隐藏拒绝所有 方向:in/out 【4】调用规则:尽早的进行策略,避免流量在网络无谓的传输;千万不能误删掉不限制的流量; 标准ACL使用位置 在最靠近目标的接口上调用 扩展ACL使用位置 在最靠近源的接口上调用 注:cisco ACL不检查本地数据流量 配置 编号写法: 【1】标准ACL配置 R2(config)#access-list 1 deny 1.1.1.1 R2(config)#access-list 1 deny host 1.1.1.1 R2(config)#access-list 1 deny 1.1.1.0 0.0.0.255 通配符作用跟反掩码一样

ACL访问控制列表——命名访问控制列表(实操!!!)

我是研究僧i 提交于 2019-12-06 09:32:40
命名访问控制列表可灵活的调整策略,前提是在标准访问列表以及扩展访问列表的基础上,可以使用no+ACL号删除策略.也可以使用ACL号+permit+ip追加ACL策略 实验环境 一台二层交换机 一台三层交换机 四台pc机 实验需求 允许vlan10中pc2可以访问pc1 拒绝vlan10中其他访问pc1 允许其他网段中的主机访问pc1 实验拓扑图 1,配置sw二层交换机 sw#conf t ##全局模式 sw(config)#vlan 10,20 ##创建vlan10,20 sw(config-vlan)#ex sw(config)#do show vlan-sw b ##查看vlan sw(config)#int range fa1/1 -2 ##进入接口f1/1和f1/2 sw(config-if-range)#sw mo acc ##创建接入链路 sw(config-if-range)#sw acc vlan 10 ##将接口放到vlan10中 sw(config-if-range)#ex sw(config)#int f1/3 ##进入f1/3接口,创建接入链路放到vlan20中 sw(config-if)#sw mo acc sw(config-if)#sw acc vlan 20 sw(config-if)#int f1/0 ##进入f1/0中创建trunk链路 sw

ACL访问控制列表的配置命令

北城以北 提交于 2019-12-06 09:24:31
配置范例: r3(config)#access-list 10 deny 12.1.1.0 0.0.0.255 //拒绝网络12.1.1.0 r3(config)#access-list 10 permit any //允许所有 r3(config)#interface serial 0 r3(config-if)#ip access-group 10 in //在接口下面应用ACL在s0口IN的方向 =========================================================================== 配置范例(需要注意的是,扩张的ACL需要使用这个IOS: unzip-c7200-advsecurityk9-mz.124-11.T.bin ): r3(config)#access-list 100 deny tcp 33.1.1.0 0.0.0.255 22.1.1.0 0.0.0.255 eq 23 r3(config)#access-list 100 permit ip any any r3(config)#interface serial 0 r3(config-if)#ip access-group 10 out //应用ACL 来源: CSDN 作者: piyajee 链接: https://blog.csdn.net

建立访问控制列表(cisco)

冷暖自知 提交于 2019-12-06 09:24:07
实验一 问题描述:用标准ACL实现172.16.1.0网段主机可以访问172.16.3.0网段的主机,172.16.2.0网段主机不能访问172.16.3.0网段的主机。 拓扑图 步骤1:配置各接口地址 Router(config)#hostname Router0 Router0(config)#int s0/0/1 Router0(config-if)#ip add 172.16.2.1 255.255.255.0 Router0(config-if)#clock rate 64000 Router0(config-if)#no sh Router0 (config-if)#exit Router0 (config) #int f0/1 Router0 (config-if)#ip add 172.16.1.1 255.255.255.0 Router0 (config-if)#no sh Router0 (config-if)#exit Router(config)#hostname Router1 Router1(config)#int f0/1 Router1(config-if)#ip add 172.16.3.1 255.255.255.0 Router1(config-if)#no sh Router1(config-if)#exit Router1(config)

访问控制列表

梦想的初衷 提交于 2019-12-06 09:23:49
ACL应用场景 ACL可以通过定义规则来允许或拒绝流量的通过。 ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。 设备可以依据ACL中定义的条件(例如源IP地址)来匹配入方向的数据,并对匹配了条件的数据执行相应的动作。 ACL分类 分类 编号 参数 基本ACL 2000–2999 源IP地址等 高级ACL 3000–3999 源IP地址、目的IP地址、 源端口、目的端口等 二层ACL 4000–4999 源MAC地址、目的MAC地址、以太帧协议类型等 基本ACL可以使用报文的源IP地址、分片标记和时间段信息来匹配报文,其编号取值范围是2000-2999。 高级ACL可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则,其编号取值范围是3000-3999。 二层ACL可以使用源/目的MAC地址以及二层协议类型等二层信息来匹配报文,其编号取值范围是4000-4999。 ACL规则 每个ACL可以包含多个规则,RTA根据规则来对数据流量进行过滤。 注意:华为没有隐含deny any any语句 一个ACL可以由多条“deny | permit”语句组成,每一条语句描述了一条规则

访问控制列表ACL配置命令

笑着哭i 提交于 2019-12-06 09:23:25
标准访问控制列表 配置标准ACL 实现拒绝pc2(IP地址为192.168.1.3)对Web Server pc3的访问 配置如下: 下面配置路由器端口的IP地址: R1>en R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#int f0/1 R1(config-if)#ip address 192.168.2.2 255.255.255.0 R1(config-if)#no shutdown R2>en R2#conf t R2(config)#int f0/0 R2(config-if)#ip add 192.168.2.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#int f0/1 R2(config-if)#ip add 192.168.3.1 255.255.255.0 R2(config-if)#no sh 配置静态路由条目 R1(config-if)#exit R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.1 R1(config)#do show ip

华为高级acl访问控制列表的基本使用

偶尔善良 提交于 2019-12-06 09:19:47
本文我为大家介绍华为高级acl的基本使用。 实验要求: 1)允许Client1访问Server1的Web服务; 2)允许Client1访问网络192.168.2.0/24; 3)禁止Client1访问其它网络; 4)仅允许R4远程访问路由器R3。 实验拓扑图如下: 首先我们Client1、Server1、PC1、R1、R2、R3、R4进行基本配置。 Client1配置如下: Server1配置如下: PC1配置如下: R1配置如下: [R1]interface g0/0/2 [R1-GigabitEthernet0/0/2]ip address 192.168.1.254 24 [R1-GigabitEthernet0/0/2]interface g0/0/0 [R1-GigabitEthernet0/0/2]ip address 192.168.1.254 24 [R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 R2配置如下: [R2]interface g0/0/1 [R2-GigabitEthernet0/0/1]ip address 192.168.12.2 24 [R2-GigabitEthernet0/0/1]interface g0/0/2 [R2-GigabitEthernet0/0/2]ip address 192

华为acl访问控制列表基本使用

无人久伴 提交于 2019-12-06 09:19:25
访问控制列表在企业当中特别常用,本文我们就来了解下华为访问控制列表ACL基本使用,入下图所示: 路由器R1基本配置如下: [R1]interface g0/0/1 [R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24 [R1]interface g0/0/2 [R1-GigabitEthernet0/0/1]ip address 192.168.2.254 24 [R1]interface g0/0/0 [R1-GigabitEthernet0/0/1]ip address 192.168.10.254 24 接下来我们配置华为基本的ACL,如下: [R1]acl 2000 [R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0 //拒绝192.1681.1主机流量 [R1-acl-basic-2000]rule 10 permit source any //允许其他主机流量 在应用acl之前PC1主机与服务器网络是互通的: 在R1的g0/0/1接口调用acl2000: [R1]interface g0/0/1 [R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 再来测试,PC1与server网络不通