基本的访问控制列表 ACL

访问控制列表ACL（Access Control List）是由permit或deny语句组成的一系列有顺序的规则集合，这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类，路由设备根据这些规则判断哪些数据包可以通过，哪些数据包可以拒绝。
基本的ACL可以使用报文的源IP地址、时间段信息来定义规则，编号范围2000~2999.一个ACL可以由多条“deny/permit”语句组成，每一条语句描述一条规则，每条规则则有一个Rule-ID。Rule-ID可以由用户进行配置，也可以由系统自动根据步长生成，默认步长为5，Rule-ID默认按照配置先后顺序分配0、5、10、15等，匹配顺序按照ACL的Rule-ID的顺序，从小到大进行配置。

R1为分支机构A管理员所在的IT部门网关，R2为分支机构A用户部门的网关，R3为分支机构A去往总部出口的网关设备，R4为总部核心路由。整网运行OSPF协议，斌并在区域0内。通过远程方式管理核心路由R4，要求只能由R1所连的PC（使用环回接口模拟）访问R4，其它设备均为不能访问。

接口IP配置不赘述。
//所有路由器运行OSPF协议，通告相应网段至区域0。
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255

[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255

[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0

[R4]ospf 1
[R4-ospf-1]area 0
[R4-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0
[R4-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255

//在R1的路由表上查看OSPF路由信息。
[R1]dis ip routing-table protocol ospf
Route Flags: R - relay, D - download to fib

Public routing table : OSPF
Destinations : 4 Routes : 4

OSPF routing table status :
Destinations : 4 Routes : 4

Destination/Mask Proto Pre Cost Flags NextHop Interface

3.3.3.3/32 OSPF 10 1 D 10.0.13.3 GigabitEthernet0/0/0
4.4.4.4/32 OSPF 10 2 D 10.0.13.3 GigabitEthernet0/0/0
10.0.23.0/24 OSPF 10 2 D 10.0.13.3 GigabitEthernet0/0/0
10.0.34.0/24 OSPF 10 2 D 10.0.13.3 GigabitEthernet0/0/0
//可以看到R1已经学习到了相关网段的路由条目，测试R1的环回口与R4的环回口之间的连通信。

[R1]ping 4.4.4.4
PING 4.4.4.4: 56 data bytes, press CTRL_C to break
Reply from 4.4.4.4: bytes=56 Sequence=1 ttl=254 time=60 ms
Reply from 4.4.4.4: bytes=56 Sequence=2 ttl=254 time=30 ms
Reply from 4.4.4.4: bytes=56 Sequence=3 ttl=254 time=30 ms
Reply from 4.4.4.4: bytes=56 Sequence=4 ttl=254 time=30 ms
Reply from 4.4.4.4: bytes=56 Sequence=5 ttl=254 time=30 ms

— 4.4.4.4 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 30/36/60 ms

//配置基本的访问控制，在路由器上配置telnet，配置用户密码为huawei。
[R4]user-int vty 0 4
[R4-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei

//在R1上建立Telnet连接。
telnet 4.4.4.4
Press CTRL_] to quit telnet mode
Trying 4.4.4.4 …
Connected to 4.4.4.4 …
Login authentication
Password:
//观察到R1可以成功登录R4。再尝试在R2上建立连接。

telnet 4.4.4.4
Press CTRL_] to quit telnet mode
Trying 4.4.4.4 …
Connected to 4.4.4.4 …
Login authentication
Password:
//发现R2也可以访问R4。现在配置标准的ACL来实现访问过滤，禁止普通员工设备登录。

//基本的ACL可以针对数据包的源IP地址进行过滤，在R4上使用 acl 命令创建一个编号型ACL，基本ACL范围是2000~2999。
//在ACL视图下，使用 rule 命令配置ACL规则，指定规则ID为5，允许数据包源地址为1.1.1.1的报文通过，反掩码全0。
//使用rule命令配置第二条规则，指定规划ID为10，拒绝任意源地址的数据包通过。
[R4]acl 2000
[R4-acl-basic-2000]rule 5 permit source 1.1.1.1 0
[R4-acl-basic-2000]rule 10 deny source any

//ACL配置中，第一条规则的规则ID为5，并不是1；第二条定义为10，也不与5连续，这样配置是方便后续的修改或插入新的条目。并且在配置的时候也可以不采用手工方式指定规则ID，ACL会自动分配规则ID，第一条为5，第二条为10，第三条为15，依此类推，即默认步长为5，该步长参数也是可以修改的。

//ACL配置完成后，在VTY中调用。使用inbound参数，即在R4的数据入方向上调用。
[R4]user-int vty 0 4
[R4-ui-vty0-4]acl 2000 inbound

//在R1的环回口地址1.1.1.1 测试访问4.4.4.4的连通信。
telnet -a 1.1.1.1 4.4.4.4
Press CTRL_] to quit telnet mode
Trying 4.4.4.4 …
Connected to 4.4.4.4 …
Login authentication
Password:

//R2无法访问R4，即ACL配置已经生效。
telnet -a 2.2.2.2 4.4.4.4
Press CTRL_] to quit telnet mode
Trying 4.4.4.4 …
Error: Can’t connect to the remote host

//R4上使用 display acl all 命令查看设备上所有的访问控制列表。
[R4]dis acl all
Total quantity of nonempty ACL number is 1

Basic ACL 2000, 2 rules
Acl’s step is 5
rule 5 permit source 1.1.1.1 0 (2 matches)
rule 10 deny (10 matches)

//有两个规则rule 5 permit source 1.1.1.1 0 和 rule 10 deny source any ，已经将R2拒绝访问。现需要R3使其环回接口3.3.3.3访问R4。
[R4]acl 2000
[R4-acl-basic-2000]rule 15 permit source 3.3.3.3 0

//R3无法访问R4。
telnet -a 3.3.3.3 4.4.4.4
Press CTRL_] to quit telnet mode
Trying 4.4.4.4 …

//由于规则10的条目是拒绝所有行为，后续所有的允许规则都不会被匹配。若要此规则生效，必须添加在拒绝所有的规则ID之前。
[R4]acl 2000
[R4-acl-basic-2000]undo rule 15
[R4-acl-basic-2000]rule 8 permit source 3.3.3.3 0

//R3再次访问R4。
telnet -a 3.3.3.3 4.4.4.4
Press CTRL_] to quit telnet mode
Trying 4.4.4.4 …
Connected to 4.4.4.4 …
Login authentication
Password:

基本的访问控制列表 ACL相关推荐

访问控制列表(ACL)基本的配置以及详细讲解
[网络环境] 网络时代的高速发展,对网络的安全性也越来越高.西安凌云高科技有限公司因为网络建设的扩展,因此便引入了访问控制列表(ACL)来进行控制,作为网络管理员我们应该怎么来具体的实施来满足公司 ...
cisco 访问控制列表ACL笔记
访问控制列表ACL 标准访问列表 router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 router(config-if)#ip acce ...
pid控制从入门到精通pdf_网络工程师从入门到精通通俗易懂系列 | 访问控制列表ACL原来还可以这样理解，果断收藏！...
访问控制列表-ACL 两大功能流量控制匹配感兴趣流量 ACL的3P规则在每一个接口的每一个方向上,只能针对每种第三层协议应用一个ACL · 每种协议一个 ACL :要控制接口上的流量,必须为接口 ...
计算机网络访问控制列表,南昌大学计算机网络实验-访问控制列表ACL
南昌大学实验报告学生姓名: 学号: 专业班级: 实验类型:■ 验证 □ 综合 □ 设计 □ 创新实验日期: 实验成绩: 实验4:访问控制列表ACL配置实验一.实验目的对路由器的访问控制列表A ...
oracle ora-24247 ACL,ORACLE 11G 存储过程发送邮件（job），ORA-24247：网络访问被访问控制列表 (ACL) 拒绝...
ORA-24247:网络访问被访问控制列表 (ACL) 拒绝需要先使用 DBMS_NETWORK_ACL_ADMIN.CREATE_ACL 创建访问控制列表(ACL), 再使用 DBMS_NETWO ...
【华为HCNA】访问控制列表ACL实例配置
[华为HCNA]访问控制列表ACL实例配置 ACL的概念访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进 ...
h3c使用acl控制ftp访问_H3C访问控制列表(ACL)实例精华
4.访问控制列表(ACL) (1)标准 RouterA [H3C]interface e0/0 [H3C-ethernet e0/0]ip address 192.168.1.1 255.255.25 ...
由于 web 服务器上此资源的访问控制列表(acl)配置或加密设置，您无权查看此目录或页面。...
场景:IIS中遇到无法预览的有关问题(HTTP 异常 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置 IIS中遇到无法预览的问题(HTTP ...
配置 Linux 的访问控制列表(ACL)
配置 Linux 的访问控制列表(ACL) 使用拥有权限控制的Liunx,工作是一件轻松的任务.它可以定义任何user,group和other的权限.无论是在桌面电脑或者不会有很多用户的虚拟Linux ...
windows访问控制列表ACL
文章目录术语定义分类 DACL SACL 安全对象(so) & 安全描述符(sd) 安全对象安全描述符 SECURITY_DESCRIPTOR结构体 windows访问控制列表 --A ...

基本的访问控制列表 ACL

基本的访问控制列表 ACL相关推荐

最新文章

热门文章