IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> ACL_访问控制列表 -> 正文阅读

[网络协议]ACL_访问控制列表

目录

ACL_访问控制列表

一、ACL

二、实战

标准访问控制列表

?扩展访问控制列表

?三、总结


ACL_访问控制列表

一、ACL

ACL——访问控制列表

作用
读取第三层,第四层包头信息
根据预先定义好的规则对流量进行筛选,过滤

三层头部信息:源,目标IP
四层头部信息:源,目标端口号,TCP/UDP协议

访问控制列表的调用的方向
入:流量将要进入本地路由器,将被本地路由器处理
出:已经被本地路由器处理过了,流量将离开本地路由器

策略做好后,在入接口调用和出接口调用的区别
入接口调用的话:在本地路由器生效
出接口调用的话:对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效


访问控制列表的处理原则
1.路由条目只会被匹配一次
2.路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配的
3.ACL访问控制列表隐含一个拒绝所有
4.ACL访问控制列表至少要放行一条路由条目

访问控制列表的类型

标准访问控制列表
只能基于源IP地址过滤数据包
标准访问控制列表的访问控制列表号是2000-2999
调用原则:靠近目标

扩展访问控制列表
可以基于源IP地址,目的IP地址,TCP/UDP协议,目标端口号过滤数据包
扩展访问控制列表的访问控制列表号是3000-3999
相比较标准访问控制列表,流量控制的更加精确
调用原则:靠近源

二、实战

标准访问控制列表

1.规划好需要配置的设备

图-1?

?2.对设备进行配置

L2-SW1

图-2?

?图-3

?R1

图-4?

?图-5

Client1

图-6?

Client2

图-7?

?Client3

图-8?

??Client4

图-9?

?扩展访问控制列表

?1.规划需要配置的设备

图-10?

2.对设备进行配置

L2-SW1

?图-11

?图-12

R1

图-13?

图-14?

?

R2

图-15

Server

图-16?

?Client1

图-17

Client2

图-18

?Client3

图-19

??Client4

图-20

?三、总结

?标准访问控制列表

L2-SW1
[]vlan batch 10 20 ? //创建vlan10 20
[]interface e0/0/1 ? //进入接口e0/0/1
[]port link-type access ? //设置接口类型为access?
[]port default vlan 10 ? //接口划分进vlan10
[]interface e0/0/2 ? //进入接口e0/0/2
[]port link-type access ? //设置接口类型为access?
[]port default vlan 20 ? //接口划分进vlan20
[]interface e0/0/3 ? //进入接口e0/0/3
[]port link-type access ? //设置接口类型为access?
[]port default vlan 10 ? //接口划分进vlan10
[]interface e0/0/4 ? //进入接口e0/0/4
[]port link-type access ? //设置接口类型为access?
[]port default vlan 20 ? //接口划分进vlan20
[]interface g0/0/1 ? //进入接口g0/0/1
[]port link-type trunk ? ?//设置接口类型为trunk
[]port trunk allow-pass vlan all ? //设置白名单
R1
[]interface g0/0/0 ? //进入接口g0/0/0?
[]undo shutdown ? //开启接口g0/0/0?
[]interface g0/0/0.1 ? //进入子接口g0/0/0.1
[]dot1q termination vid 10 ? //子接口g0/0/0.1封装进vlan10
[]ip address 192.168.10.1 24 ? //设置IP地址和子网掩码长度为24
[]arp broadcast enable ? ?//开启ARP广播功能
[]interface g0/0/0.2 ? //进入子接口g0/0/0.2
[]dot1q termination vid 20 ? //子接口g0/0/0.2封装进vlan20
[]ip address 192.168.20.1 24 ? //设置IP地址和子网掩码长度为24
[]arp broadcast enable ? ?//开启ARP广播功能
[]acl number 2000 ? //创建标准访问列表 2000
[]rule deny source 192.168.10.0 0.0.0.255 ? //设置拒绝访问192.168.10.0网段和反掩码
[]rule permit source any ? //放行其它路由条目
[]interface g0/0/0.2 ? //进入子接口g0/0/0.2
[]traffic-filter outbound acl 2000 ? //选择在出接口上调用列表2000

PC1
IP:192.168.10.10
子网掩码:255.255.255.0
网关:192.168.10.1
PC2
IP:192.168.20.10
子网掩码:255.255.255.0
网关:192.168.20.1
PC3
IP:192.168.10.20
子网掩码:255.255.255.0
网关:192.168.10.1
PC4
IP:192.168.20.20
子网掩码:255.255.255.0
网关:192.168.20.1

扩展访问控制列表

L2-SW1
[]vlan batch 10 20 ? //创建vlan10 20
[]interface e0/0/1 ? //进入接口e0/0/1
[]port link-type access ? //设置接口类型为access?
[]port default vlan 10 ? //接口划分进vlan10
[]interface e0/0/2 ? //进入接口e0/0/2
[]port link-type access ? //设置接口类型为access?
[]port default vlan 20 ? //接口划分进vlan20
[]interface e0/0/3 ? //进入接口e0/0/3
[]port link-type access ? //设置接口类型为access?
[]port default vlan 10 ? //接口划分进vlan10
[]interface e0/0/4 ? //进入接口e0/0/4
[]port link-type access ? //设置接口类型为access?
[]port default vlan 20 ? //接口划分进vlan20
[]interface g0/0/1 ? //进入接口g0/0/1
[]port link-type trunk ? ?//设置接口类型为trunk
[]port trunk allow-pass vlan all ? //设置白名单
R1
[]interface g0/0/0 ? //进入接口g0/0/0?
[]undo shutdown ? //开启接口g0/0/0?
[]interface g0/0/0.1 ? //进入子接口g0/0/0.1
[]dot1q termination vid 10 ? //子接口g0/0/0.1封装进vlan10
[]ip address 192.168.10.1 24 ? //设置IP地址和子网掩码长度为24
[]arp broadcast enable ? ?//开启ARP广播功能
[]interface g0/0/0.2 ? //进入子接口g0/0/0.2
[]dot1q termination vid 10 ? //子接口g0/0/0.2封装进vlan20
[]ip address 192.168.20.1 24 ? //设置IP地址和子网掩码长度为24
[]arp broadcast enable ? ?//开启ARP广播功能
[]interface g0/0/1 ?//进入接口g0/0/1?
[]undo shutdown ? //开启接口g0/0/1?
[]ip address 12.1.1.1 24 ? //设置IP地址和子网掩码长度为24
[]ip route-static 0.0.0.0 0 12.1.1.2 ? //添加默认路由目的网段为0.0.0.0,子网掩码长度为0,下一跳IP地址为12.1.1.2
[]acl number 3000 ?//创建标准访问列表 3000
[]rule deny tcp source 192.168.10.10 0 destination 202.10.100.100
?0 destination-port eq 21 ? ?//禁止PC1访问FTP服务
[]rule permit tcp source any destination any destination-port eq?
21 ? ? ?//放行其它客户机访问FTP服务
[]rule permit ip source any destination any ? //放行其它客户机的网络流量
[]interface g0/0/0.1 ? //进入子接口g0/0/0.1
[]traffic-filter inbound acl 3000 ? //选择在入接口上调用列表3000
R2
[]interface g0/0/0 ? //进入接口g0/0/0?
[]undo shutdown ? //开启接口g0/0/0?
[]ip address 12.1.1.2 24 ? //设置IP地址和子网掩码长度为24
[]interface g0/0/1 ? //进入接口g0/0/1?
[]undo shutdown ? //开启接口g0/0/1?
[]ip address 202.10.100.2 24 ? //设置IP地址和子网掩码长度为24
[]ip route-static 0.0.0.0 0 12.1.1.1 ? //添加默认路由目的网段为0.0.0.0,子网掩码长度为0,下一跳IP地址为12.1.1.1

PC1
IP:192.168.10.10
子网掩码:255.255.255.0
网关:192.168.10.1
PC2
IP:192.168.20.10
子网掩码:255.255.255.0
网关:192.168.20.1
PC3
IP:192.168.10.20
子网掩码:255.255.255.0
网关:192.168.10.1
PC4
IP:192.168.20.20
子网掩码:255.255.255.0
网关:192.168.20.1
服务器
IP:202.10.100.100
子网掩码:255.255.255.0
网关:202.10.100.2

?

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-08-29 09:42:12  更:2021-08-29 09:43:44 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 20:32:47-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计