IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> acl访问控制列表 -> 正文阅读

[网络协议]acl访问控制列表

一.acl技术

???????ACL——访问控制列表
作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。

三层头部信息四层头部信息
源、目IP源、目端口号TCP/UDP协议

访问控制列表的调用的方向:

流量将要进入本地路由器,将被本地路由器处理已经被本地路由器处理过了,流量将离开本地路由器

策略做好后,在入接口调用和出接口调用的区别:

入接口调用出接口调用
对本地路由器生效对本地路由器不生效,流量将在数据转发过程中的下一台设备生效。

访问控制列表的处理原则:
1.路由条目只会被匹配一次
2.路由条目在ACL访问控制列表中匹配的顺序是从上往下四配
3.ACL访问控制列表隐含个拒绝所有
4.ACL访问控制列表至少要放行一条路由条目

访问控制列表类型:

标准访问控制列表扩展访问控制列表
只能基于源IP地址进行过滤可以根据源、目IP地址,TCP/UDP协议,源、目端口号进行过滤相比较标准,访问控制列表,流量控制的更加精准
标准访问控制列表的列表号是2000- 2999扩展访问控制列表的列表号是3000- 3999
调用原则:靠近目标调用原则:靠近源

二.设置简单的acl命令

标准访问控制列表

???????如图所示拓扑结构:要让vlan10的客户机不能访问vlan20的客户机:
设置
C1:192.168.10.10 255.255.255.0 192.168.10.1 ,划分为vlan10
C2:192.168.20.10 255.255.255.0 192.168.20.1 ,划分为vlan20
C3:192.168.10.20 255.255.255.0 192.168.10.1 ,划分为vlan10
C4:192.168.20.20 255.255.255.0 192.168.20.1 ,划分为vlan20
在这里插入图片描述
二层交换机SW1:

[ ]vlan batch 10 20                                            //创建多个vlan
[ ]int e0/0/1                                                  //进入e0/0/1接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 10                                        //将接口划分到VLAN10
[ ]int e0/0/2                                                  //进入e0/0/2接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 20                                        //将接口划分到VLAN20
[ ]int e0/0/3                                                  //进入e0/0/3接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 10                                        //将接口划分到VLAN10
[ ]int e0/0/4                                                  //进入e0/0/4接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 20                                        //将接口划分到VLAN20
[ ]int g0/0/1                                                  //进入g0/0/1端口
[ ]port link-type trunk                                        //设置端口类型为trunk
[ ]port trunk allow-pass vlan all                              //设置白名单

路由器R1上的单臂路由命令:

[ ]int g0/0/0                                                  //进入接口g0/0/0
[ ]undo shut                                                   //开启接口
[ ]int g0/0/0.1                                                //进入子接口g0/0/0.1
[ ]dot1q termination vid 10                                    //封装方式为802.1q,g0/0/0.1划分进vlan10
[ ]ip add 192.168.10.1 24                                      //设置IP和掩码长度
[ ]arp broadcast enable                                        //开启ARP广播功能
[ ]int g0/0/0.2                                                //进入子接口g0/0/0.2
[ ]dot1q termination vid 20                                    //封装方式为802.1q,g0/0/0.2划分进vlan20
[ ]ip add 192. 168. 20.1 24                                    //设置IP和掩码长度
[ ]arp broadcast enable                                        //开启ARP广播功能

路由器R1标准访问控制列表:

[ ]acl 2000                                                    //创建标准访问控制列表,列表号为2000
[ ]rule deny source 192.168.10.0  0.0.0.255                    //拒绝192.168.10.0网段(子网掩码为反掩码)
[ ]rule permit source any                                      //放行其他路由条目
[ ]int g0/0/0.2                                                //进入子接口g0/0/0.2
[ ]traffic-filter outbound acl 2000                            //选择在出接口上调用

此时vlan10的客户机不能访问vlan20的客户机,其余都可以进行通信。

扩展访问控制列表

???????如图所示拓扑结构:要让客户机C1不能访问服务器S1
设置
C1:192.168.10.10 255.255.255.0 192.168.10.1 ,划分为vlan10
C2:192.168.20.10 255.255.255.0 192.168.20.1 ,划分为vlan20
C3:192.168.10.20 255.255.255.0 192.168.10.1 ,划分为vlan10
C4:192.168.20.20 255.255.255.0 192.168.20.1 ,划分为vlan20
在这里插入图片描述
二层交换机SW1:

[ ]vlan batch 10 20                                            //创建多个vlan
[ ]int e0/0/1                                                  //进入e0/0/1接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 10                                        //将接口划分到VLAN10
[ ]int e0/0/2                                                  //进入e0/0/2接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 20                                        //将接口划分到VLAN20
[ ]int e0/0/3                                                  //进入e0/0/3接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 10                                        //将接口划分到VLAN10
[ ]int e0/0/4                                                  //进入e0/0/4接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 20                                        //将接口划分到VLAN20
[ ]int g0/0/1                                                  //进入g0/0/1端口
[ ]port link-type trunk                                        //设置端口类型为trunk
[ ]port trunk allow-pass vlan all                              //设置白名单

路由器R1:

[ ]int g0/0/0                                                  //进入接口g0/0/0
[ ]undo shut                                                   //开启接口
[ ]int g0/0/0.1                                                //进入子接口g0/0/0.1
[ ]dot1q termination vid 10                                    //封装方式为802.1q,g0/0/0.1划分进vlan10
[ ]ip add 192.168.10.1 24                                      //设置IP和掩码长度
[ ]arp broadcast enable                                        //开启ARP广播功能
[ ]int g0/0/0.2                                                //进入子接口g0/0/0.2
[ ]dot1q termination vid 20                                    //封装方式为802.1q,g0/0/0.2划分进vlan20
[ ]ip add 192. 168. 20.1 24                                    //设置IP和掩码长度
[ ]arp broadcast enable                                        //开启ARP广播功能
[ ]int g0/0/1                                                  //进入接口g0/0/1
[ ]undo shut                                                   //开启接口
[ ]ip add 12.1.1.1 24                                          //设置IP和掩码长度
[ ]ip route-static 0.0.0.0 0 12.1.1.2                          //添加默认路由目的网段0.0.0.0 ,子网掩码长度0,下一跳入接口ip12.1.1.2

路由器R2:

[ ]int g0/0/0                                                  //进入接口g0/0/0
[ ]undo shut                                                   //开启接口
[ ]ip add 12.1.1.2 24                                          //设置IP和掩码长度
[ ]int g0/0/1                                                  //进入接口g0/0/1
[ ]undo shut                                                   //开启接口
[ ]ip add 202.10.100.2 24                                      //设置IP和掩码长度
[ ]ip route-static 0.0.0.0 0 12.1.1.1                          //添加默认路由目的网段0.0.0.0 ,子网掩码长度0,下一跳入接口ip12.1.1.1

服务器S1:
本机地址:202.10.100.100 子网掩码:255.255.255.0 网关:202.10.100.2

此时四台客户机都可以访问服务器,因此继续设置:

路由器R1:

[ ]acl 3000                                                    //创建扩展访问控制列表,列表号为3000
[ ]rule deny tcp source 192.168.10.10 0 destination 202.10.100.100 0 destination-port eq 21      //禁止客户机C1访问FTP服务
[ ]rule permit tcp any destination any destination-port eq 21  //放行其他客户机访问FTP服务
[ ]rule permit ip source any destination any    //放行其他客户机的网络流量
[ ]dis this                                                    //执行
[ ]int g0/0/0.1                                                //进入子接口g0/0/0.1
[ ]traffic-filter inbound acl 3000                             //选择入接口上调用

此时客户机C1不能访问服务器,其他客户机可以访问服务器。

三.总结

???????outbound ——出接口;inbound ——入接口
???????默认ACL的每条语句的行号间隔5,所以可以插入语句:

[ ]rule 数字 deny source IP地址  反掩码                        //拒绝某网段(子网掩码为反掩码)
  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-08-29 09:42:12  更:2021-08-29 09:43:38 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/25 23:01:09-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码