IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> ACL——访问控制列表 -> 正文阅读

[网络协议]ACL——访问控制列表


一、什么是ACL

1.作用

读取三层,四层头部信息,根据预先定义好的规则对流量进行筛选过滤。
三层头部信息:源、目IP
四层头部信息:TCP/UDP协议、源、目端口号

2.访问控制列表的调用方向

入:流量将要进入本地路由器,将被本地路由器处理
出:已经被本地路由器处理过了,流量将离开本地路由器

3.策略做好后在入接口调用和出接口调用的区别

入接口调用的话,是对本地路由器生效
出接口调用的话,对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效

4.访问控制列表的处理原则

1.路由条目只会被匹配一次
2.路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配
3.ACL访问控制列表隐含一个拒绝所有
4.ACL访问控制列表至少要放行一条路由条目

5.访问控制列表类型

1)标准访问控制列表

只能基于源IP地址进行过滤
标准访问控制列表的列表好是2000~2999
调用原则:靠近目标

2)扩展访问控制列表

可以根据源、目IP地址,TCP/UDP协议,源目端口号进行过滤
相比较标准访问控制列表,流量控制的更加准确
扩展访问控制列表的列表号是3000~3999
调用原则:靠近源

二、配置

1.标准访问控制列表

在这里插入图片描述
要求做到使用acl使vlan10不能与vlan20通信
L2-SW1:

	<>undo terminal monitor       关闭弹窗信息
	<>system-view                       进入系统视图
	[]sysname L2-SW1                  改名为L2-SW1
	[]user-interface console 0      进入console 0接口
	[console0]idle-time 0 0        设置会话永不超时
	q
	[]int e0/0/1                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 10            划分进vlan10
	[]int e0/0/2                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 20            划分进vlan20
	[]int e0/0/3                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 10            划分进vlan10
	[]int e0/0/4                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 20            划分进vlan20
	[]int g0/0/1                            进入接口
	[]port link-type trunk                   设置链路类型为trunk
	[]port trunk allow-pass vlan all   设置白名单允许所有vlan通过

R1:

	<>undo terminal monitor       关闭弹窗信息
	<>system-view                       进入系统视图
	[]sysname R1                       改名为R1 
	[]user-interface console 0      进入console 0接口
	[console0]idle-time 0 0        设置会话永不超时
	[]int g0/0/0                            进入接口
	[]undo shutdown                     开启接口
	[]int g0/0/0.1                           进入虚拟接口g0/0/0.1
	[]dot1q termination vid 10        封装方式为802.1q,划分就进vlan10
	[]ip add 192.168.10.1 24         设置IP地址和子网掩码长度
	[]arp broadcast enable              开启arp广播
	[]int g0/0/0.2                              进入虚拟接口g0/0/0.2
	[]dot1q termination vid 20        封装方式为802.1q,划分就进vlan20
	[]ip add 192.168.10.1 24           设置IP地址和子网掩码长度
	[]arp broadcast enable              开启arp广播
	q
	[]acl 2000                                 创建标准控制列表,列表号为2000
	[]rule deny source 192.168.10.0 0.0.0.255   拒绝192.168.10.0网段(子网掩码为反掩码)
	[]rule premit source any                放行其他路由条目
	[]int g0/0/0.2
	[]traffic-filter outbound acl 2000

pc机配置:
pc1:192.168.10.10 255.255.255.0 192.168.10.1
pc2:192.168.20.10 255.255.255.0 192.168.20.1
pc3:192.168.10.20 255.255.255.0 192.168.10.1
pc4:192.168.20.20 255.255.255.0 192.168.20.1
测试
进入client1 ping client2 ping不通
进入client1 ping client3 能 ping通
进入client1 ping client4 ping不通
进入client2 ping client3 ping不通
进入client2 ping client4 能 ping通
进入client3 ping client4 ping不通

2.扩展控制列表

在这里插入图片描述

要求做到使用扩展控制列表使client1不能与外服务器通信
L2-SW1:

	<>undo terminal monitor       关闭弹窗信息
	<>system-view                       进入系统视图
	[]sysname L2-SW1                  改名为L2-SW1
	[]user-interface console 0      进入console 0接口
	[console0]idle-time 0 0        设置会话永不超时
	q
	[]int e0/0/1                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 10            划分进vlan10
	[]int e0/0/2                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 20            划分进vlan20
	[]int e0/0/3                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 10            划分进vlan10
	[]int e0/0/4                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 20            划分进vlan20
	[]int g0/0/1                            进入接口
	[]port link-type trunk                   设置链路类型为trunk
	[]port trunk allow-pass vlan all   设置白名单允许所有vlan通过

R1:

	<>undo terminal monitor       关闭弹窗信息
	<>system-view                       进入系统视图
	[]sysname R1                       改名为R1
	[]user-interface console 0      进入console 0接口
	[console0]idle-time 0 0        设置会话永不超时
	q
	[]int g0/0/0                            进入接口
	[]undo shutdown                     开启接口
	[]int g0/0/0.1                           进入虚拟接口g0/0/0.1
	[]dot1q termination vid 10        封装方式为802.1q,划分就进vlan10
	[]ip add 192.168.10.1 24         设置IP地址和子网掩码长度
	[]arp broadcast enable              开启arp广播
	[]int g0/0/0.2                              进入虚拟接口g0/0/0.2
	[]dot1q termination vid 20        封装方式为802.1q,划分就进vlan20
	[]ip add 192.168.10.1 24           设置IP地址和子网掩码长度
	[]arp broadcast enable              开启arp广播
	q
	[]acl 3000                                 创建标准控制列表,列表号为2000
	[]rule deny tcp source 192.168.10.10 0.0.0.0  destination 202.10.100.100 0.0.0.0 		destination-port eq 21    禁止PC1访问FTP访问
	[]rule permit tcp source any destination any destination-port eq 21
	[]rule premit ip source any  destination any              
	[]int g0/0/0.1
	[]traffic-filter inbound acl 3000
	q
	[]int g0/0/1
	[]ip add 12.1.1.1 24
	[]undo shutdown
	q
	[]ip route-static 0.0.0.0 0 12.1.1.2

R2:

	<>undo terminal monitor       关闭弹窗信息
	<>system-view                       进入系统视图
	[]sysname R2                       改名为R2
	[]user-interface console 0      进入console 0接口
	[console0]idle-time 0 0        设置会话永不超时
	q
	[]int g0/0/0
	[]ip add 12.1.1.2 24
	[]undo shutdown
	[]int g0/0/1
	[]ip add 202.10.100.2 24
	[]undo shutdown
	q
	[]ip route-static 0.0.0.0 0 12.1.1.1

配置pc,和服务器
pc1:192.168.10.10 255.255.255.0 192.168.10.1
pc2:192.168.20.10 255.255.255.0 192.168.20.1
pc3:192.168.10.20 255.255.255.0 192.168.10.1
pc4:192.168.20.20 255.255.255.0 192.168.20.1
server1:202.10.100.100 202.10.100.2
测试
client1登入server1:登不上
client2登入server1:能登上
client3登入server1:能登上
client4登入server1:能登上

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-08-28 09:42:41  更:2021-08-28 09:42:47 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 21:29:08-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计