访问控制列表之基本ACL、高级ACL 、 高级ACL之ICMP、高级ACL之telnet
在学习ACL(访问控制列表)之前首先要理解一下三个问题:
一、ACL的作用,以及不同类型的ACL的区别是什么?
ACL的作用是:匹配感兴趣的数据包。
ACL分为基本ACL和 高级ACL,
基本ACL,只能匹配数据包的源IP地址,匹配数据不精准;
高级ACL,可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号,匹配数据包更加精准。
二、基本ACL和高级ACL在应用过程中的最佳调用位置:
基本ACL,匹配数据不精准,所以调用在距离目标设备近的端口上;
高级ACL,匹配数据精准,所以调用在距离源设备近的端口上;
三、ACL 的工作原理:
使用ACL在匹配数据包的过程中,会按照 rule 的号码从小到大依次匹配。
如果能匹配成功,则后续的条目不再进行检查;
如果匹配不成功,则继续匹配下面的 rule ;
如果所有的 rule 都没有匹配成功,则执行ACL最后一个隐含的条目
如果 acl 和 traffic-filter 结合使用,acl最后隐含的条目是:允许所有
如果 acl 和 其他工具结合在一起使用,acl 最后隐含的条目是:拒绝所有
下面是acl的经典案例(附ensp模拟器的配置命令),有兴趣的同学可以照着做几遍,基本就能够理解ACL的原理和用处了。
Top
- 理解ACL原理与类型
- 基本ACL配置
- 高级ACL配置
- 高级ACL之ICMP
- 高级ACL之Telnet
1 理解ACL原理与类型
1.1 需求
1)如图配置IP地址
2)PC1不能访问 Server
3)PC2允许访问 Server
4)允许其他所有的访问流量
1.2 方案
搭建实验环境,如图-1所示。
图-1
1.3 步骤
实现此案例需要按照如下步骤进行。
1)配置终端设备 - PC1
地址: 192.168.1.1
掩码: 255.255.255.0
网关: 192.168.1.254
2)配置终端设备 - PC2
地址: 192.168.2.1
掩码: 255.255.255.0
网关: 192.168.2.254
3)配置终端设备 - Server
地址: 192.168.100.1
掩码: 255.255.255.0
网关: 192.168.100.254
4)配置网络设备 - R1
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R1//更改设备名称
- [R1]interface gi0/0/1 //连接 PC1
- [R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24 //配置IP地址
- [R1-GigabitEthernet0/0/1]quit
- [R1]interface gi0/0/2 //连接 PC2
- [R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24 //配置 IP 地址
- [R1-GigabitEthernet0/0/2]quit
5)配置 ACL
- [R1]acl 2000 //创建基本 ACL
- [R1-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.255 //拒绝源为 PC1的流量
- [R1-acl-basic-2000]quit
- [R1]interface g0/0/0 //连接 Server1 的接口
- [R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 //调用在端口的出方向
- [R1-GigabitEthernet0/0/0]quit
6)测试
- display acl all //查看设备上所有的 ACL
- display acl 2000 //查看 ACL 2000 的内容
- PC1不能ping通Server1
- PC2可以ping通Server1
- PC1可以ping通 PC2
2 基本ACL配置
2.1 需求
1)如图配置IP地址
2)不允许“售后服务部”以任何的方式访问“财务部”服务器
3)售后服务器可以访问网络的任何其他设备
2.2 方案
搭建实验环境,如图-2所示。
图-2
2.3 步骤
实现此案例需要按照如下步骤进行。
1)配置终端设备 – PC1
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
2)配置终端设备 – PC2
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
3)配置终端设备 – 财务服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
4)配置网络设备 - R1
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R1//更改设备名称
- [R1]interface gi0/0/1 //连接 Client1
- [R1-GigabitEthernet0/0/1] ip address 192.168.1.254 24
- [R1-GigabitEthernet0/0/1] quit
- [R1]interface gi0/0/0 //连接 R2的接口
- [R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
- [R1-GigabitEthernet0/0/0] quit
- [R1]ip route-static 192.168.2.0 24 192.168.12.2 //去往PC2的路由条目
- [R2]ip route-static 192.168.3.0 24 192.168.12.2 //去往财务服务器的路由
5)配置网络设备 - R2
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R2//更改设备名称
- [R2]interface gi0/0/1 //连接 PC2
- [R2-GigabitEthernet0/0/1] ip address 192.168.2.254 24
- [R2-GigabitEthernet0/0/1] quit
- [R2]interface gi0/0/0 //连接 R1 的接口
- [R2-GigabitEthernet0/0/0] ip address 192.168.12.2 24
- [R2-GigabitEthernet0/0/0] quit
- [R2]interface gi0/0/2 //连接 服务器 的接口
- [R2-GigabitEthernet0/0/2] ip address 192.168.3.254 24
- [R2-GigabitEthernet0/0/2] quit
- [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往PC1的网段
6)配置网络设备 – SW1
- <Huawei>undo terminal monitor
- <Huawei>sysname SW1
- [SW1]vlan 10
- [SW1-vlan10]quit
- [SW1]interface GigabitEthernet 0/0/1
- [SW1-GigabitEthernet0/0/1]port link-type access
- [SW1-GigabitEthernet0/0/1]port default vlan 10
- [SW1-GigabitEthernet0/0/1]quit
- [SW1]interface GigabitEthernet 0/0/2
- [SW1-GigabitEthernet0/0/2]port link-type access
- [SW1-GigabitEthernet0/0/2]port default vlan 10
- [SW1-GigabitEthernet0/0/2]quit
7)配置网络设备 – SW2
- <Huawei>undo terminal monitor
- <Huawei>sysname SW2
- [SW2]vlan 20
- [SW2-vlan20]quit
- [SW2]interface GigabitEthernet 0/0/1
- [SW2-GigabitEthernet0/0/1]port link-type access
- [SW2-GigabitEthernet0/0/1]port default vlan 20
- [SW2-GigabitEthernet0/0/1]quit
- [SW2]interface GigabitEthernet 0/0/2
- [SW2-GigabitEthernet0/0/2]port link-type access
- [SW2-GigabitEthernet0/0/2]port default vlan 20
- [SW2-GigabitEthernet0/0/2]quit
8)配置控制策略并调用
- [R2]acl 2000 //创建基本ACL
- [R2-acl-basic-2000]rule 10 deny source 192.168.1.0 0.0.0.255 //拒绝PC1的网段
- [R2-acl-basic-2000]quit
- [R2]interface GigabitEthernet 0/0/2
- [R2-GigabitEthernet0/0/2]traffic-filter outbound acl 2000 //过滤出向流量
- [R2-GigabitEthernet0/0/2]quit
3 高级ACL配置
3.1 需求
1)如图配置IP地址,配置路由,确保各设备互通
2)售后部仅仅能访问 Server1上的Web服务,不能访问其他服务
3)售后部可以访问行政部的所有设备的任何服务
4)除了上述权限外,售后部不能访问网络中的其他任何地方
3.2 方案
搭建实验环境,如图-3所示。
图-3
3.3 步骤
实现此案例需要按照如下步骤进行。
1)配置终端设备 – 售后服务部
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
2)配置终端设备 – 行政部
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
3)配置终端设备 – Web服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
配置web服务:指定web服务器目录,启动 web 服务
4)配置网络设备 – R1
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R1//更改设备名称
- [R1]interface gi0/0/2 //连接售后服务部
- [R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
- [R1-GigabitEthernet0/0/2] quit
- [R1]interface gi0/0/0 //连接 R2的接口
- [R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
- [R1-GigabitEthernet0/0/0] quit
- [R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 //去往其他网段的默认路由
5)配置网络设备 – R2
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R2//更改设备名称
- [R2]interface gi0/0/2 //连接 行政部
- [R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
- [R2-GigabitEthernet0/0/2] quit
- [R2]interface gi0/0/1 //连接 R1 的接口
- [R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
- [R2-GigabitEthernet0/0/1] quit
- [R2]interface gi0/0/0 //连接 R3 的接口
- [R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
- [R2-GigabitEthernet0/0/0] quit
- [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往售后部的网段
- [R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 //去往服务器的网段
6)配置网络设备 – R3
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R3//更改设备名称
- [R3]interface gi0/0/2 //连接 Web服务器
- [R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
- [R3-GigabitEthernet0/0/2] quit
- [R3]interface gi0/0/1 //连接 R2 的接口
- [R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
- [R3-GigabitEthernet0/0/1] quit
- [R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 //去往其他网段的默认路由
7)在 R1 上配置并调用 ACL
- [R1] acl 3000
- [R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 80
- [R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
- [R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any
- [R1] interface gi0/0/2
- [R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 //在该接口入向调用ACL
4 高级ACL之ICMP
4.1 需求
1)如图配置IP地址
2)售后部仅仅能 ping 通 Server1上,不能访问其他服务
3)售后部可以访问行政部的所有设备的任何服务
4)除了上述权限外,售后部不能访问网络中的其他任何地方
4.2 方案
搭建实验环境,如图-4所示。
图-4
4.3 步骤
实现此案例需要按照如下步骤进行。
1)配置终端设备 – 售后服务部
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
2)配置终端设备 – 行政部
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
3)配置终端设备 – Web服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
配置web服务:指定web服务器目录,启动 web 服务
4)配置网络设备 – R1
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R1//更改设备名称
- [R1]interface gi0/0/2 //连接售后服务部
- [R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
- [R1-GigabitEthernet0/0/2] quit
- [R1]interface gi0/0/0 //连接 R2的接口
- [R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
- [R1-GigabitEthernet0/0/0] quit
- [R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 //去往其他网段的默认路由
5)配置网络设备 – R2
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R2//更改设备名称
- [R2]interface gi0/0/2 //连接 行政部
- [R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
- [R2-GigabitEthernet0/0/2] quit
- [R2]interface gi0/0/1 //连接 R1 的接口
- [R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
- [R2-GigabitEthernet0/0/1] quit
- [R2]interface gi0/0/0 //连接 R3 的接口
- [R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
- [R2-GigabitEthernet0/0/0] quit
- [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往售后部的网段
- [R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 //去往服务器的网段
6)配置网络设备 – R3
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R3//更改设备名称
- [R3]interface gi0/0/2 //连接 Web服务器
- [R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
- [R3-GigabitEthernet0/0/2] quit
- [R3]interface gi0/0/1 //连接 R2 的接口
- [R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
- [R3-GigabitEthernet0/0/1] quit
- [R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 //去往其他网段的默认路由
7)在 R1 上配置并调用 ACL
- [R1] acl 3000
- [R1-acl-adv-3000]rule 10 permit icmp source 192.168.1.1 0 destination 192.168.3.1 0
- [R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
- [R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any
- [R1] interface gi0/0/2
- [R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 //在该接口入向调用ACL
5 高级ACL之Telnet
5.1 需求
1)如图配置IP地址,配置路由,确保各设备互通
2)为了便于设备管理,为设备开启远程管理功能,登录密码:HCIE
3)仅仅允许 192.168.1.254 远程登录 R2,其他设备不可以
4)拒绝 R1的任何IP地址远程登录 R3,其他设备都可以
5.2 方案
搭建实验环境,如图-5所示。
图-5
5.3 步骤
实现此案例需要按照如下步骤进行。
1)配置终端设备 – 售后服务部
- 地址:192.168.1.1
- 掩码:255.255.255.0
- 网关:192.168.1.254
2)配置终端设备 – 行政部
- 地址:192.168.2.1
- 掩码:255.255.255.0
- 网关:192.168.2.254
3)配置终端设备 – Web服务器
- 地址:192.168.3.1
- 掩码:255.255.255.0
- 网关:192.168.3.254
- 配置web服务:指定web服务器目录,启动 web 服务
4)配置网络设备 – R1
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R1//更改设备名称
- [R1]interface gi0/0/2 //连接售后服务部
- [R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
- [R1-GigabitEthernet0/0/2] quit
- [R1]interface gi0/0/0 //连接 R2的接口
- [R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
- [R1-GigabitEthernet0/0/0] quit
- [R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 //去往其他网段的默认路由
5)配置网络设备 – R2
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R2//更改设备名称
- [R2]interface gi0/0/2 //连接 行政部
- [R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
- [R2-GigabitEthernet0/0/2] quit
- [R2]interface gi0/0/1 //连接 R1 的接口
- [R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
- [R2-GigabitEthernet0/0/1] quit
- [R2]interface gi0/0/0 //连接 R3 的接口
- [R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
- [R2-GigabitEthernet0/0/0] quit
- [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往售后部门的网段
- [R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 //去往服务器的网段
- [R2]user-interface vty 0 4
- [R2-ui-vty0-4]authentication-mode password //指定认证方式为密码认证
- Please configure the login password (maximum length 16):HCIE //配置密码为 HCIE
6)配置网络设备 – R3
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R3//更改设备名称
- [R3]interface gi0/0/2 //连接 Web服务器
- [R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
- [R3-GigabitEthernet0/0/2] quit
- [R3]interface gi0/0/1 //连接 R2 的接口
- [R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
- [R3-GigabitEthernet0/0/1] quit
- [R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 //去往其他网段的默认路由
- [R3]user-interface vty 0 4
- [R3-ui-vty0-4]authentication-mode password //指定认证方式为密码认证
- Please configure the login password (maximum length 16):HCIE //配置密码为 HCIE
7)在 R2 上配置并调用 ACL
- [R2]acl 2000
- [R2-acl-basic-2000]rule 10 permit source 192.168.1.254 0
- [R2-acl-basic-2000]quit
- [R2]user-interface vty 0 4
- [R2-ui-vty0-4]acl 2000 inbound
- [R2-ui-vty0-4]quit
8)在 R3 上配置并调用 ACL
- [R3]acl 2000
- [R3-acl-basic-2000]rule 10 deny source 192.168.1.254 0
- [R3-acl-basic-2000]rule 20 deny source 192.168.12.1 0
- [R3-acl-basic-2000]rule 30 permit source any
- [R3-acl-basic-2000]quit
- [R3]user-interface vty 0 4
- [R3-ui-vty0-4]acl 2000 inbound
- [R3-ui-vty0-4]quit
访问控制列表之基本ACL、高级ACL 、 高级ACL之ICMP、高级ACL之telnet相关推荐
- ACL(用访问控制列表实现包过滤)
ACL概述: ACL(AccessControlList,访问控制列表)是用来实现数据包识别功能的 ACL可以应用于诸多方面 →包过滤防火墙功能 →NAT(NetworkAddressTranslat ...
- 访问控制列表(ACL)
更多文章请移步:www.yanjun.pro 1.访问控制列表(ACL)简介 1.1.ACL 概述 访问控制列表 ACL(Access Control List)是由一条或多条规则组成的集合.所谓规则 ...
- ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。
目录 ACL的组成: 创建ACL访问控制列表的两种的方式: 1.数字命名: 2.字符串命名方式: ACL创建步骤: 1.先创建ACL列表: 进入acl列表: 2.配置ACL的一条条规则: 3.进入需要 ...
- Linux 访问文件的acl信息,linux文件权限管理与ACL访问控制列表
一.文件属性 1.文件属性: 文件属性操作 chown : change owner ,设置文件所有者 chgrp : change group ,设置文件的属组 文件属主修改: chown 格式 ...
- linux怎么给目录创建acl,LINUX-ACL文件访问控制列表
在 Linux下,对一个文件(或者资源)可以进行操作的对象被分为三类: file owner(文件的拥有者),group(组,可以不是文件拥有者所在的组), other (其他)而对于每一类别又分别定 ...
- linux源码acl,Linux自主访问控制机制模块详细分析之posix_acl.c核心代码注释与acl.c文件介绍...
原标题:Linux自主访问控制机制模块详细分析之posix_acl.c核心代码注释与acl.c文件介绍 2.4.4.6 核心代码注释 1 posix_acl_permission() int(stru ...
- setfacl 权限导出_Linux命令——setfacl 文件访问控制列表
setfacl Linux命令--setfacl 命令名 setfacl- 设置文件访问控制列表 setfacl,顾名思义就是设置文件的ACL规则. 而Acl(Access Control List) ...
- ACL访问控制列表(访问控制、抓取感兴趣流)详解及基本ACL和高级ACL的配置。
ACL --- 访问控制列表 1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作.(pemit 允许,deny 拒绝) 2. 抓取感兴趣流:ACL的另一个作用就是和其他服务 ...
- 新手必看的ACL基本访问控制列表及高级访问控制列表
[温馨提示]需要资料或者需要进群交流划到最底部 ACL原理 ACL是什么 为了过滤数据包,需要配置一些规则,规定什么样的数据包可以通过,什么样的数据包不能通过.这些规则就是通过访问控制列表(Acces ...
最新文章
- Atlas study:使用Accordion实现页面多个块状区域的显隐
- VTK:可视化算法之FireFlow
- (转)标准I/O缓冲:全缓冲、行缓冲、无缓冲 .
- Keil综合(03)map文件全解析
- 硬件基础知识---(12) PCB的生产流程
- android让图片旋转
- 设置控件输入的输入方式
- WPF Name与x:Name 使用
- java 生成kml 文件
- 会计软件属于什么计算机软件,会计核算软件属于什么_会计从业资格先学什么...
- ESP8266学习笔记(7)——JSON接口使用
- idea配置tomcat热部署
- 学校面试计算机老师试题及答案,计算机面试问题及答案 (共2篇).doc
- 华为HCIE认证改版(2021年5月30日正式改版升级)
- 软件定义的网络(下)
- PageHelper这种情况下有坑
- 候选码主属性非主属性
- python有什么好玩的库_python有什么好玩的库
- 不会有人运营独立站还不知道聊天机器人吧?五分钟带你深入了解AI聊天机器人!
- Qt编写的软件(2019/12/11)
热门文章
- 计算机网络:小明在家打开一个网址过程细致版(DNS缓存、DNS查询、TCP/IP协议、ARP协议、HTML渲染)
- 引领5G智慧全场景 荣耀V30系列抢跑2020年市场
- android环信接收透传,环信透传
- 粗略的了解Javascript
- jzojNOIP2014模拟 8.14总结
- css:字母hover文字加粗,盒子变宽,导致文字列表抖动
- vs code c语言安装视频,vscode怎样安装c语言环境
- 工业机器人应用编程考核设备
- xaxis python_Python Matplotlib.axes.Axes.invert_xaxis()用法及代码示例
- pomodoro源码