了解ACL及其配置方法
目录
- 一.ACL概念
- 二.ACL作用
- 三.访问控制列表的调用方向
- 3.1、入接口
- 3.2、出接口
- 四.入接口调用与出接口调用的区别
- 五.访问控制列表的处理原则
- 六.访问控制列表类型
- 6.1、标准访问控制列表
- 6.2、扩展访问控制列表
- 七.ACL配置
- 7.1、项目测试拓扑图
- 7.2、Client客户机设置
- 7.3、二层交换机设置
- 7.4、路由器设置
- 7.5、服务器设置
- 7.6、测试ACL配置
一.ACL概念
ACL——访问控制列表
ACL:访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
二.ACL作用
读取三层,四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。
三层头部信息:源、目标IP;四层头部信息:TCP/UDP协议、源、目标端口号
三.访问控制列表的调用方向
3.1、入接口
流量将要进入本地路由器,将被本地路由器处理
3.2、出接口
已经被本地路由器处理过了,流量将离开本地路由器
四.入接口调用与出接口调用的区别
策略做好后,在入接口调用和在出接口调用的区别
入接口调用的话,是对本地路由器生效
出接口调用的话,是对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效
五.访问控制列表的处理原则
1.路由条目只会被匹配一次
2.路由条目在ACL访问列表中匹配的顺序是从上往下匹配
3.ACL访问控制列表隐含一个拒绝所有
4.ACL访问控制列表至少要放行一个路由条目
六.访问控制列表类型
6.1、标准访问控制列表
只能基于源IP地址进行过滤;标准访问控制列表的列表号是2000-2999 调用原则:靠近目标
6.2、扩展访问控制列表
可以根据源、目的IP地址,TCP/UDP协议,源、目的端口号进行过滤;相比较标准访问控制列表,流量控制的更加精准;扩展访问控制列表的列表号是3000-3999 调用原则:靠近源
七.ACL配置
7.1、项目测试拓扑图
项目测试目的:用标准访问控制列表让VLAN10的客户机不能访问vlan20的客户机、用扩展ACL访问控制列表禁止Client访问FTP服务器
本次项目测试使用eNSP软件
7.2、Client客户机设置
7.3、二层交换机设置
LSW1:
<Huawei>sys
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sys
[Huawei]sysname SW1
[SW1]user-int
[SW1]user-interface c
[SW1]user-interface co
[SW1]user-interface console 0
[SW1-ui-console0]idle-t
[SW1-ui-console0]idle-timeout 0 0
[SW1-ui-console0]q
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port l
[SW1-GigabitEthernet0/0/1]port link-type tr
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port tr
[SW1-GigabitEthernet0/0/1]port trunk allo
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SW1-GigabitEthernet0/0/1]q
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]port l
[SW1-Ethernet0/0/1]port link-type acc
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]q
[SW1]vlan bat 10 20
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]port l
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port de
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/1]int e0/0/2
[SW1-Ethernet0/0/2]port l
[SW1-Ethernet0/0/2]port link-type acc
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port de
[SW1-Ethernet0/0/2]port default vlan 20
[SW1-Ethernet0/0/2]int e0/0/3
[SW1-Ethernet0/0/3]port l
[SW1-Ethernet0/0/3]port link-type acc
[SW1-Ethernet0/0/3]port link-type access
[SW1-Ethernet0/0/3]port de
[SW1-Ethernet0/0/3]port default vlan 10
[SW1-Ethernet0/0/3]int e0/0/4
[SW1-Ethernet0/0/4]port l
[SW1-Ethernet0/0/4]port link-type acc
[SW1-Ethernet0/0/4]port link-type acc
[SW1-Ethernet0/0/4]port link-type access
[SW1-Ethernet0/0/4]port de
[SW1-Ethernet0/0/4]port default vlan 20
7.4、路由器设置
AR2:
<Huawei>ter
<Huawei>terminal mo
<Huawei>terminal monitor
Info: Current terminal monitor is on.
<Huawei>sys
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sys
[Huawei]sysname R1
[R1]user-in
[R1]user-interface co
[R1]user-interface console 0
[R1-ui-console0]idle-
[R1-ui-console0]idle-timeout 0 0
[R1-ui-console0]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]undo sh
[R1-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]int g0/0/0.1
[R1-GigabitEthernet0/0/0.1]dotq
[R1-GigabitEthernet0/0/0.1]dot1
[R1-GigabitEthernet0/0/0.1]dot1q ter
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10
[R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24
Aug 27 2021 16:53:31-08:00 R1 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
on the interface GigabitEthernet0/0/0.1 has entered the UP state.
[R1-GigabitEthernet0/0/0.1]arp br
[R1-GigabitEthernet0/0/0.1]arp broadcast en
[R1-GigabitEthernet0/0/0.1]arp broadcast enable
[R1-GigabitEthernet0/0/0.1]int g0/0/0.2
[R1-GigabitEthernet0/0/0.2]dot1
[R1-GigabitEthernet0/0/0.2]dot1q ter
[R1-GigabitEthernet0/0/0.2]dot1q termination v
[R1-GigabitEthernet0/0/0.2]dot1q termination vid 20
[R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24
Aug 27 2021 16:54:01-08:00 R1 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IP
on the interface GigabitEthernet0/0/0.2 has entered the UP state.
[R1-GigabitEthernet0/0/0.2]arp br
[R1-GigabitEthernet0/0/0.2]arp broadcast en
[R1-GigabitEthernet0/0/0.2]arp broadcast enable
[R1-GigabitEthernet0/0/0.2]q
[R1]ac
[R1]acl 2000
[R1-acl-basic-2000]rule de
[R1-acl-basic-2000]rule deny so
[R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255
[R1-acl-basic-2000]rule per
[R1-acl-basic-2000]rule permit sou
[R1-acl-basic-2000]rule permit source any
[R1-acl-basic-2000]q
[R1]int g0/0/0.2
[R1-GigabitEthernet0/0/0.2]traffic
[R1-GigabitEthernet0/0/0.2]traffic-filterou
[R1-GigabitEthernet0/0/0.2]traffic-filter ou
[R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000
[R1-GigabitEthernet0/0/0.2]
Aug 27 2021 17:46:04-08:00 R1 %%01IFPDT/4/IF_STATE(l)[2]:Interface GigabitEthern
et0/0/1 has turned into UP state.
[R1-GigabitEthernet0/0/0.2]q
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 10.1.1.1 24
Aug 27 2021 18:41:36-08:00 R1 %%01IFNET/4/LINK_STATE(l)[3]:The line protocol IP
on the interface GigabitEthernet0/0/1 has entered the UP state.
[R1-GigabitEthernet0/0/1]ip add 10.1.1.1 24
Error: The address already exists.
[R1-GigabitEthernet0/0/1]undo sh
[R1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]q
[R1]ip rou
[R1]ip route-st
[R1]ip route-static 0.0.0.0 0 10.1.1.2
[R1]acl 3000
[R1-acl-adv-3000]rule de
[R1-acl-adv-3000]rule deny tc
[R1-acl-adv-3000]rule deny tcp sou
[R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0 des
[R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0 destination 201.20.100.1000 des
[R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0 destination 201.20.100.1000 destination-port eq 21
[R1-acl-adv-3000]rule pe
[R1-acl-adv-3000]rule permit tcp
[R1-acl-adv-3000]rule permit tcp sour
[R1-acl-adv-3000]rule permit tcp source any de
[R1-acl-adv-3000]rule permit tcp source any destination any de
[R1-acl-adv-3000]rule permit tcp source any destination any destination-port eq
21
[R1-acl-adv-3000]rule pe
[R1-acl-adv-3000]rule permit ip sou
[R1-acl-adv-3000]rule permit ip source an
[R1-acl-adv-3000]rule permit ip source any de
[R1-acl-adv-3000]rule permit ip source any destination any
[R1-acl-adv-3000]dis this
[V200R003C00]
#
acl number 3000 rule 5 deny tcp source 192.168.10.10 0 destination 201.20.100.100 0 destination
-port eq ftp rule 10 permit tcp destination-port eq ftp rule 15 permit ip
#
return
[R1-acl-adv-3000]q
[R1]int g0/0/0.1
[R1-GigabitEthernet0/0/0.1]traff
[R1-GigabitEthernet0/0/0.1]traffic-filter in
[R1-GigabitEthernet0/0/0.1]traffic-filter inbound ac;
[R1-GigabitEthernet0/0/0.1]traffic-filter inbound ac
[R1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000
AR3:
<Huawei>undo te
<Huawei>undo terminal m
<Huawei>undo terminal monitor
Info: Current terminal monitor is off.
<Huawei>sys
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sys
[Huawei]sysname R2
[R2]user-i
[R2]user-interface co
[R2]user-interface console 0
[R2-ui-console0]id
[R2-ui-console0]idle-timeout 0 0
[R2-ui-console0]q
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 10.1.1.2 24
[R2-GigabitEthernet0/0/0]undo s
[R2-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 201.20.100.2 24
[R2-GigabitEthernet0/0/1]q
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]undo s
[R2-GigabitEthernet0/0/1]undo sh
[R2-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R2-GigabitEthernet0/0/1]q
[R2]ip rou
[R2]ip route-s
[R2]ip route-static 0.0.0.0 0 10.1.1.1
7.5、服务器设置
7.6、测试ACL配置
标准访问控制检测VLAN10不能访问VLAN20:
用扩展ACL访问控制列表禁止Client访问FTP服务器:
原本VLAN10客户机是可以像vlan20客户机一样在服务器上上传文件并下载
设置完扩展ACL访问控制表后就访问不了
了解ACL及其配置方法相关推荐
- 操作篇 了解学习NAT实验(关于静态NAT、动态NAT、EasyIP、端口映射的配置方法))
文章目录 前言 NAT工作原理 NAT分类 一:实验环境 1.1:实验原理 1.2实验目的 1.3华为NAT实验拓扑图 二:实验过程 配置SW1 配置AR1: 配置AR2: 前言 随着Internet ...
- vlan 优科r500_ruckus 常用配置方法
1.AP.AC跨三层组网配置方法 (1) 1.1.DHCP Server Option 43配置方法 (1) 1.2.为AP手工指定AC地址配置方法 (5) 1.3.简单操作方法 (6) 2.控制器A ...
- 各型号交换机端口镜像配置方法和命令
各型号交换机端口镜像配置方法和命令 "Port Mirror"即端口镜像,端口镜像为网络传输提供了备份通道.此外,还可以用于进行数据流量监测.可以这样理解:在端口A和端口B之间建立 ...
- 用 Keepalived+HAProxy 实现高可用负载均衡的配置方法
1. 概述 软件负载均衡技术是指可以为多个后端服务器节点提供前端IP流量分发调度服务的软件技术.Keepalived和HAProxy是众多软负载技术中的两种,其中Keepalived既可以实现负载均衡 ...
- haproxy代理https配置方法【转】
haproxy代理https配置方法[转] 记得在之前的一篇文章中介绍了nginx反向代理https的方法,今天这里介绍下haproxy代理https的方法: haproxy代理https有两种方式: ...
- ACL访问控制列表(访问控制、抓取感兴趣流)详解及基本ACL和高级ACL的配置。
ACL --- 访问控制列表 1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作.(pemit 允许,deny 拒绝) 2. 抓取感兴趣流:ACL的另一个作用就是和其他服务 ...
- Git之深入解析如何借助Git的配置方法和钩子机制来自定义Git需求
一.前言 到目前为止,我们已经了解了 Git 基本的运作机制和使用方式,学习了许多 Git 提供的工具简单且有效地使用它,可以高效地帮助我们工作,提升我们的效率. 如果还不清楚 Git 的基础使用流程 ...
- ACL的配置以及翻转掩码
1.配置ACL要点 访问列表要指明过滤什么协议: 按顺序匹配访问列表: 一般限制性的访问列表应该放在前面: 在访问列表的最后隐性定义了deny any--所有每个访问列表应该至少包含一条permit声 ...
- 鸟哥的Linux私房菜(基础篇)- 第十四章、Linux 账号管理与 ACL 权限配置
第十四章.Linux账号管理与 ACL 权限配置 最近升级日期:2009/09/09 要登陆 Linux 系统一定要有账号与口令才行,否则怎么登陆,您说是吧?不过,不同的使用者应该要拥有不同的权限才行 ...
最新文章
- python random 随机生成一个数
- Java Execution Process
- postgres 物理格式
- php获取随机字符串的几种方法
- java jdbc6_Java学习-JDBC
- vb中picturebox透明时看到下面的picturebox中图片
- 死亡搁浅运送系统服务器,死亡搁浅订单23寻物系统服务器流程介绍-死亡搁浅订单23寻物系统服务器怎么做_牛游戏网...
- ipv6 neutron应用(一)
- Java:处理PDF
- 冰点文库下载器的使用
- sql建表与gp建表语句
- MacQQ消息防撤回
- 计算机做游戏软件视频,游戏主播用什么视频剪辑软件
- FDD与TDD工作原理
- 阿里云体验有礼:使用RDS和ECS搭建个人博客
- SpringBoot之自定义starter
- python flask豆瓣微信小程序案例
- C primer plus 复习题答案(上)
- BPM、BPMN介绍
- html+css+js+快速入门
热门文章
- 【mykit-data】 数据库同步工具
- 从zookeeper的下载安装到环境配置,轻松入门zookeeper!
- 漫画:什么是 “灰犀牛事件” ?
- mysql frm 没有myd_为什么MySQL表只对应一个.frm文件,没有.MYD和.MYI文件_MySQL
- 超硬核!腾讯运维岗面试必问11题,我说的,不信就来看看
- 爬虫学习-第一弹-批量下载二次元好图
- php编程 地位,4月编程语言排行榜_4月编程语言排行榜:java地位无可撼动,Python跌出前三...
- UESTC--1251--谕神的密码(贪心)
- 光伏逆变器市场现状及未来发展趋势
- 毕业设计 单片机红外测距系统设计与实现 - 嵌入式