| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> ACL--访问控制列表 -> 正文阅读 |
|
[网络协议]ACL--访问控制列表 |
目录 ? 一、ACLACL--访问控制列表 1、作用读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤 三层头部信息:源、目IP 四层头部信息:TCP/UDP协议,源、目端号 2、访问控制列表的调用方向入:流量将要进入本地路由器,将被本地路由器处理 出:已经被本地路由器处理过了,流量将离开本都路由器 3、策略做好后,在入接口调用和出接口调用的区别入接口调用:是对本地端口生效 出接口调用:对本地路由器不生效,流量将在数据转发过程中的下一台路由器中生效 4、访问控制列表的处理原则1.路由条目只会被匹配一次 2.路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配 3.ACL访问控制列表隐含一个拒绝所有 4.ACL访问控制列表至少要放行一条路由条目 5、访问控制列表的类型1.标准访问控制列表 只能基于源IP地址进行过滤 标准访问控制列表的列表号:2000~2999 调用原则:靠近目标 2.扩展访问控制列表 可根据源、目IP地址,TCP/UDP协议,源、目端号进行过滤 相比较标准访问控制列表,流量控制的更加标准 .扩展访问控制列表的列表号:3000~3999 调用原则:靠近源 二、标准访问控制列表拓扑实验新建一台交换机、一台路由器和四台PC,如下图连接起来,并启动 PC机IP地址、子网掩码与网关 PC1:192.168.10.10? ?255.255.255.0? ?192.168.10.1 PC2:192.168.20.10? ?255.255.255.0? ?192.168.20.1 PC3:192.168.10.20? ?255.255.255.0? ?192.168.10.1 PC4:192.168.20.20? ?255.255.255.0? ?192.168.20.1 ? SW1设置: <Huawei>undo terminal monitor ? ? ?关闭弹窗 ? ? ?R1设置: ?设置完成后,不同vlan间是可以通信的 ?R1标准访问控制列表设置 [R1]acl 2000? ? 创建标准访问控制列表 ,列表号为2000 [R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255? ?拒绝192.168.10.0网段 [R1-acl-basic-2000]rule permit source any? ? 放行其他路由条目 [R1-acl-basic-2000]int g0/0/0.2? ? ??进入虚拟接口g0/0/0.2 [R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000? ? 选择在出接口上调用列表2000 ? 不同vlan间通信测试 不同vlan间已近不能通信了 ?三、扩展访问控制列表拓扑实验在标准访问控制列表的拓扑图的基础上加一台路由器和服务器 ?延续标准访问控制列表的设置继续设置 R1: [R1]int g0/0/1? ? ? ? ?进入接口g0/0/1? [R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24? ?设置接口g0/0/1 IP地址与子网掩码长度 [R1]ip route-static 0.0.0.0 0 12.1.1.2? ?添加默认路由目的网段0.0.0.0,子网掩码长度0,下一跳入接口ip12.1.1.2 R2: <Huawei>undo terminal monitor? ? ? 关闭弹窗 <Huawei>system-view? ? ? ? ? ? ? ? ? ? ?进入系统视图 [Huawei]sysname R2? ? ? ? ? ? ? ? ? ? ? 更改名字为R2 [R2]user-interface console 0 [R2-ui-console0]idle-timeout 0 0? ? 永不超时 [R2]int g0/0/0? ? ? 进入接口 g0/0/0 [R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24? ?设置接口 g0/0/0IP地址与子网掩码长度 [R2-GigabitEthernet0/0/0]undo shutdown? ? ? ?开启接口 g0/0/0 [R2]int g0/0/1? ? ? 进入接口 g0/0/1 [R2-GigabitEthernet0/0/0]ip add 202.10.100.2? 24? ?设置接口 g0/0/1IP地址与子网掩码长度 [R2-GigabitEthernet0/0/0]undo shutdown? ? ? ?开启接口 g0/0/1 [R2]ip route-static 0.0.0.0 0 12.1.1.1? ? ?添加默认路由目的网段0.0.0.0,子网掩码长度0,下一跳入接口ip2.1.1.1? 服务器配置 IP地址:202.10.100.100? ?255.255.255.0? ?202.10.100.2 ? 服务信息里选择Ftpserver,配置文件目录 ? R1: [R1]acl 3000? ? ? ? ?创建扩展访问控制列表 ,列表号为3000 [R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0.0.0.0 destination 202.10.1 [R1-acl-adv-3000]rule permit tcp source any destination any destination-port eq? [R1-acl-adv-3000]rule permit ip source any destination any? ?放行其他客户机的网络流量 [R1]int g0/0/0.1? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?进去虚拟接口 g0/0/0.1 [R1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000? ? ? ? ? ?选择在入接口上调用列表3000 ?测试 PC1登录不上FTP服务器 四:总结知道ACL访问控制列表 ?了解访问控制列表的调用方向、访问控制列表的处理原则、访问控制列表的类型 |
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/28 20:59:38- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |