IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> ACL(标准/扩展访问控制列表) -> 正文阅读

[网络协议]ACL(标准/扩展访问控制列表)

目录

一 定义及作用

二 ACL的处理原则?

调用ACL的出入接口区别

?处理原则

三 ACL分类

四 案例

拓扑图

?步骤

五 总结


一 定义及作用

定义:它是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

作用:读取三层四层信息,根据预先定义好的规则对流量进行过滤,筛选。

三层信息包括(源目IP) 四层信息包括(tcp/udp协议 源目端口号)

mark


二 ACL的处理原则?

调用ACL的出入接口区别

出:已经被本地路由器处理过了,流量将离开本地路由器;

入:流量将要进入本地路由器,将被本地路由器处理;

策略做好后,在入接口调用和出接口调用的区别:

(1)入接口调用的话,是对本地路由器生效;

(2)出接口调用的话,对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效;

所谓的接口的出和入方向和流量的走向有关系。
mark

?处理原则

1.ACL是从上至下逐条匹配,一旦匹配成功则不再向下匹配。

2.ACL包含的规则是 分为华为ACL隐含规则是允许所有,思科的是拒绝所有

3.路由器的一个接口一个方向最多只可以应用一个ACL,但是可以有N条条目。

mark


三 ACL分类

(1)标准访问控制列表:

只能基于源IP地址进行过滤;

标准访问控制列表的列表号是:2000--2999

调用原则:靠近目标

(2)扩展访问控制列表:

可以根据源、目IP地址,TCP/IP协议,源、目端口号进行过滤;

相比较标准访问控制列表,流量控制的更加精确;

扩展访问控制列表的列表号是:3000--3999

调用原则:靠近源
?


四 案例

拓扑图

?步骤

配置二层交换机

二层交换机SW1:
[ ]vlan bat 10 20     //创建vlan10,vlan20
[ ]int e0/0/1       //进入接口e0/0/1
[ ]port link-type access      //设置接口链路类型为access
[ ]port default vlan 10      //将接口划分进vlan10
[ ]int e0/0/2       //进入接口e0/0/2
[ ]port link-type access         //设置接口链路类型为access
[ ]port default vlan 20          //将接口划分进vlan20
[ ]int e0/0/3             //进入接口e0/0/3
[ ]port link-type access        //设置接口链路类型为access
[ ]port default vlan 10         //将接口划分进vlan10
[ ]int e0/0/4         //进入接口e0/0/4
[ ]port link-type access        //设置接口链路类型为access
[ ]port default vlan 20        //将接口划分进vlan20
[ ]int g0/0/1        //进入接口g0/0/1
[ ]port link-type trunk         //设置接口链路类型为trunk
[ ]port trunk allow-pass vlan all      //将所有vlan纳入trunk白名单中

配置r1

路由器R1:
[ ]int g0/0/0      //进入接口g0/0/0
[ ]undo shutdown       //开启g0/0/0接口
[ ]int g0/0/0.1         //进入接口g0/0/0.1
[ ]dot1q termination vid 10    //将接口划分进vlan10,封装方式为802.1q
[ ]ip add 192.168.10.1 24       //设置IP和子网掩码长度
[ ]arp broadcast enable        //开启ARP广播功能
[ ]int g0/0/0.2        //进入接口g0/0/0.2
[ ]dot1q termination vid 20        //将接口划分进vlan20,封装方式为802.1q
[ ]ip add 192.168.20.1 24         //设置IP和子网掩码长度
[ ]arp broadcast enable         //开启ARP广播功能
[ ]acl 2000     //创建标椎访问控制列表,列表号2000
[ ]rule deny source 192.168.10.0 0.0.0.255       //拒绝92.168.10.0网段(子网掩码为反掩码)
[ ]rule permit source any       //放行其他路由条目
[ ]int g0/0/0.2    //进入接口g0/0/0.2
[ ]traffic-filter outbound acl 2000     //出接口下调用ACL 2000
 
[ ]int g0/0/1     //进入接口g0/0/1
[ ]undo shutdown      //开启g0/0/1接口
[ ]ip add 10.10.10.1 24      //设置IP和子网掩码长度
[ ]ip route-static 0.0.0.0 0 10.10.10.2       //添加默认路由:网段为0.0.0.0,
子网掩码长度为0,下一跳入接口ip为10.10.10.2
[ ]acl 3000       //创建标椎访问控制列表,列表号3000
[ ]rule deny tcp source 192.168.10.10 0.0.0.0 destination 20.20.20.100 0.0.0.0 
destination-port eq 21//禁止PC1访问FTP服务
[ ]rule permit tcp source any destination any destination-port eq 21     //放行其他客户机访问FTP服务
[ ]rule permit ip source any destination any     //放行其他客户机的网络流量
[ ]int g0/0/0.1      //进入接口g0/0/0.1
[ ]traffic-filter inbound acl 3000      //入接口下调用ACL 2000

设置服务器IP地址,子网掩码和网关:20.20.20.20? 255.255.255.0 ?20.20.20.2

测试实验结果


五 总结

1、访问控制列表(ACL)是一种基于包过滤的访问控制技术;

2、访问控制列表(ALC)是一种策略;

3、接口的出和入方向和流量的走向有关系;

4、访问控制列表实验要注意禁止流量后要放行流量;

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-08-29 09:42:12  更:2021-08-29 09:43:40 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 20:16:12-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计