cisco的访问控制列表ACL的基本使用(大白话版)(基于cisco packet tracer)
最近在写计算机网络的课设,碰到了这个问题,打算把它写下来,以便以后参考。
一,ACL有啥用?
百度百科上的解释:访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机。
它可以控制用户对于网络的访问,可以被用在路由器或者交换机上。可以在路由器上设置一个访问控制列表,使得与这个路由器相连的某个主机或者某个地址范围内主机不能访问该路由器。打个不恰当的比喻,把路由器当做一个关卡,把与它相连的主机看做一个城市,设置访问控制列表就是告诉这个关卡里的守卫--哪些城市的人可以通过,哪些不可以。
二,如何设置ACL?
1,语法:
Access-list access-list-number {deny | permit} source [source-wildcard] [log]
access-list命令参数的含义如下:
(1) access-list-number:访问控制列表号,标准访问控制列表的号码范围是1~99。
(2) deny:如果满足条件,数据包被拒绝从该入口通过。
(3) permit:如果满足条件,数据包允许从该入口通过。
(4) source:数据包的源网络地址,源网络地址可以是具体的地址或any(任意),如果源地址是单个IP地址时,将"source"改成"host",后再写IP地址即可。
(5) Source-wildcard:源地址通配符掩码,可选项。通配符掩码是一个32比特位的数字字符串,使用1或0来表示,它被用"."分成4组,每组8位。在通配符掩码位中,0表示"检查相应的位",而1表示不检查相应位。通配符掩码相当于子网掩码的反码。
(6) Log:可选项,生成日志信息,记录匹配permit或deny语句的包。
可以通过在"access-list"命令前加"no"的形式,来删除一个已经建立的标准ACL。
2,实例:
单看语法有点懵,下面就通过一系列实例来说明它的基本使用。
如图,在这个网络里有4个部门(车间部门,研发部门,收费部门,行政部门),这四个部门各有自己的一些电脑(每个部门的所有电脑仅用一台主机表示)。它们通过交换机与路由器Router0相连。这个路由器是这个网络通向外界(外界互联网用cloud-pt表示)的唯一通道。
我想实现“只有收费部门的所有电脑(它们的IP地址范围是192.168.1.48--192.168.1.63)可以与外界相连,其余部门的电脑都不能与外界相连,但是整个网络内的所有主机或者服务器之间都可以相连。”的目标。接下来就说说如何实现这个目标。
第一步,按照如图的图形结构连好这些设备,并设置好IP地址,网关等基本参数。
检验第一步:在各个设备之间发送数据包(在“cisco packet tracer”软件中点击下图中不带纸张的信封按钮,按提示操作即可)测试连接是否成功:
列表的第二项均为successfu,说明它们之间互连是成功的。
第二步,设置ACL。
点开Router0,并进入命令行界面并进入全局模式,如图:
然后输入代码:access-list 1 permit 192.168.1.48 0.0.0.15
这句话的意思是建立一个名为“1”的ACL (也即:access-list),它允许192.168.1.48--192.168.1.63的IP地址(至于为什么是这个范围,还要看本文章的第3点--ACL的源地址通配符掩码的具体使用(包括子网划分))通过路由器的X端口。但是这个X端口还没确定。
第三步,应用ACL:
要确定X端口的话,应该采用语句:interface fastethernet 0/0 进入路由器的fastethernet 0/0端口。然后,再输入语句ip access-group 1 in,表示让access-list组里面的1号ACL应用到fastethernet 0/0端口的in方向(也即,接口流入方向)。这里面的语法是:
ip access-group access-list-number {in|out}
(1) Ip:定义所用的协议。
(2) access-list-number:访问控制列表的号码。
(3) in |out:定义ACL是被应用到接口的流入方向(in),还是接口的流出方向(out)。
3,ACL的源地址通配符掩码的具体使用(包括子网划分):
设有如下的语句:
access-list 1 permit 192.168.1.48 0.0.0.15
关于这条语句,它的前半部分的含义我们已经了解了(在第2点里面有讲),关键是后面两组数字的含义是啥。
首先,你需要知道的是,第一组数字代表一个网址,后面的一组数字代表其前面网址的一个匹配。它们结合起来就能匹配一组IP地址,这组IP地址就是这条ACL语句适用的IP范围。
其次,将第一组数据按二进制展开得:
1100 0000 . 1010 1000 . 0000 0001 . 0011 0000
将第二数据按二进制展开得:
0000 0000 . 0000 0000 . 0000 0000 . 0000 1111
将第二组数所有的0 都与 第一组数据的对应位置上的数 “按位异或”,也即:填原数
其余位置可以任意填0或1(规则就是碰到0就填原数,碰到1就任意)。
那么就得到了如下的数:
1100 0000 . 1010 1000 . 0000 0001 . 0011 XXXX(其中X代表任意的0或者1)
那么这组数表示的范围就是前面那个ACL的语句作用的IP地址范围,也即:
192.168.1.48--192.168.1.63。
为了熟练地使用这个源地址通配符掩码,我们来做几个练习题:
写出下列ACL语句的作用范围:
1,access-list 1 permit 192.168.1.0 0.0.0.7
2,access-list 1 permit 192.168.1.8 0.0.0.7
3,access-list 1 permit 192.168.1.8 0.0.0.63
4,access-list 1 permit 192.168.1.64 0.0.0.63
5,access-list 1 permit 192.168.1.1 0.0.0.0
6,access-list 1 permit 192.168.0.0 0.0.7.255
7,access-list 1 permit 192.168.1.23 0.0.0.5
答案:
1, 192.168.1.0--192.168.1.7
2, 192.168.1.8--192.168.1.15
3, 192.168.1.0--192.168.1.63
4, 192.168.1.64--192.168.1.127
5, 只表示192.168.1.1一个IP
6, 192.168.0.0--192.168.7.255
7, 只表示192.168.1.23 , 192.168.1.22 , 192.168.1.18 , 192.168.1.19
三,参考资料:
通配符及反掩码的详解 (网络中ACL )_冷鞘-的博客-CSDN博客_0.0.254.255反掩码
如有错误,敬请指正。
cisco的访问控制列表ACL的基本使用(大白话版)(基于cisco packet tracer)相关推荐
- cisco 访问控制列表ACL笔记
访问控制列表ACL 标准访问列表 router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 router(config-if)#ip acce ...
- 基于时间的访问控制列表ACL
实验名称 基于时间的访问控制列表ACL 一. 实验目的 1.掌握时间范围的建立及修改设备的时间: 2.掌握基于时间的访问控制列表ACL命令的使用. 二.实验仪器设备或材料 Cisco PT Gns3 ...
- 访问控制列表(ACL)基本的配置以及详细讲解
[网络环境] 网络时代的高速发展,对网络的安全性也越来越高.西安凌云高科技有限公司因为网络建设的扩展,因此便引入了访问控制列表(ACL)来进行控制,作为网络管理员我们应该怎么来具体的实施来满足公司 ...
- pid控制从入门到精通pdf_网络工程师从入门到精通通俗易懂系列 | 访问控制列表ACL原来还可以这样理解,果断收藏!...
访问控制列表-ACL 两大功能 流量控制 匹配感兴趣流量 ACL的3P规则 在每一个接口的每一个方向上,只能针对每种第三层协议应用一个ACL · 每种协议一个 ACL :要控制接口上的流量,必须为接口 ...
- 计算机网络访问控制列表,南昌大学计算机网络实验-访问控制列表ACL
南昌大学实验报告 学生姓名: 学 号: 专业班级: 实验类型:■ 验证 □ 综合 □ 设计 □ 创新 实验日期: 实验成绩: 实验4:访问控制列表ACL配置实验 一.实验目的 对路由器的访问控制列表A ...
- oracle ora-24247 ACL,ORACLE 11G 存储过程发送邮件(job),ORA-24247:网络访问被访问控制列表 (ACL) 拒绝...
ORA-24247:网络访问被访问控制列表 (ACL) 拒绝 需要先使用 DBMS_NETWORK_ACL_ADMIN.CREATE_ACL 创建访问控制列表(ACL), 再使用 DBMS_NETWO ...
- 【华为HCNA】访问控制列表ACL实例配置
[华为HCNA]访问控制列表ACL实例配置 ACL的概念 访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进 ...
- h3c使用acl控制ftp访问_H3C访问控制列表(ACL)实例精华
4.访问控制列表(ACL) (1)标准 RouterA [H3C]interface e0/0 [H3C-ethernet e0/0]ip address 192.168.1.1 255.255.25 ...
- 由于 web 服务器上此资源的访问控制列表(acl)配置或加密设置,您无权查看此目录或页面。...
场景:IIS中遇到无法预览的有关问题(HTTP 异常 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置 IIS中遇到无法预览的问题(HTTP ...
最新文章
- NCBI|转录组原始数据上传
- 一系列视频教程 收藏
- 毕业后的五年拉开大家差距的原因在哪里
- 一个例子说明如何在DataSnap中使用FireDAC
- java跳转语句包含goto_Java 的跳转语句中 _______( 包含 / 不包含 )goto 语句。_学小易找答案...
- .net webconfig 配置说明123
- python os模块 常用命令
- 大数据分析的价值体现
- arduino analogread_Arduino编程语言教程,Arduino和单片机的区别
- 新扬天电脑所配USB键盘功能键驱动问题注意事项
- Unity 脚本入门教程
- 矩阵分析与应用-1.8-广义逆矩阵
- 大学生应该懂得。。。葡萄酒知识
- 汇总 | 嵌入式软硬件领域各种“黑科技”
- SolidWorks弹簧扣与弹簧扣凹槽使用技巧
- arm搭建云手机教程_云手机解决方案对比:arm服务器与安卓板机
- VS 一个解决方案里面建立多个项目
- 运行剑灵与服务器断开,剑灵与服务器断开链接1000\3000的解决办法
- 将 VBS WScript.Echo 输出写入文本
- 2021年下半年软件设计师考试评估解析