ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

路由器“保安”----ACL(访问控制类表)

2021-01-14 19:58:00  阅读:179  来源: 互联网

标签:ACL R1 rule acl ---- 192.168 类表 数据包


ACL

一、ACL是什么?

1.1、概念

访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全,这里就引出了通信四元素:源地址,目标地址,源端口。目标端口,根据预先设置的规则对包进行过滤。

1.2、应用/作用

在这里插入图片描述

  1. 在入口上:数据包从入口进路由器,就会被路由器处理
  2. 在出口上:数据包在经过路由器处理后,才会让它从出口出去
    ACL两种作用:
    1.用来对数据包做访问控制(丢弃或者放行)
    2.结合其他协议,用来匹配范围

1.3、工作原理

在这里插入图片描述
PS:华为默认规则为放行所有

一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行

1.4、ACL的种类

基本acl (2000-2999) :只能匹配源ip地址。
高级acl (3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段(协议)。
*二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1Q优先级、二层协议类型等二层信息制定规解即可),
但是因为二层ACL使用MAC地址匹配,实际使用中会根据环境更换路由器,规则就要重设,所以常用的是基本和高级ACL

1.5、ACL的应用原则:

基本ACL,尽量用在靠近目的点
高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)

应用规则
1、一个接口的同一个方向,只能调用一个ACL
2、一个ACL里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

二、配置实验

在这里插入图片描述
通过ACL配置需求为:仅PC1可访问PC3;禁止192网段ping Server 1,允许client访问Server的Http(www)服务

配置如下:
先在R1添加各个接口对应网关,使全网互通
配置第一个需求:仅PC1访问PC3
[R1]acl number 2000
//创建基础ACL
[R1-acl-basic-2000]rule permit source 192.168.10.10 0
//允许PC1的IP地址通过 “0”为255.255.255.255反掩码(仅允许这个IP地址通过 不是允许网段 所以用32位子网掩码的反掩码)
[R1-acl-basic-2000]rule deny source any
//拒绝其他所有访问

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
//基本ACL在出接口引用
测试:
在这里插入图片描述
配置需求二:禁止192.168.10.0 网段ping Server,允许 Client 1访问 Server1的Http服务
[R1]acl 3000
//创建高级ACL规则
[R1-acl-adv-3000]rule deny icmp source 192.168.10.0 0.0.0.255 destination 192.16
8.30.10 0
//禁止192.168.10.0网段ping 192.168.30.10
[R1-acl-adv-3000]rule permit tcp source 192.168.10.30 0 destination 192.168.30.1
0 0 destination-port eq www
//允许client访问server的http服务,www对应的接口是80,使用destination-port eq 80 也可以
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
//在入接口引入高级ACL规则

最后测试:
在这里插入图片描述
PS:关于 一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
ACL里的第一个配置rule默认值为5;第二个为10,依次递进
在这里插入图片描述
如果需要在两条rule之间添加另一条,加上两条rule之间的数字即可
例如:rule 7 deny source 10.0.10.1 0

标签:ACL,R1,rule,acl,----,192.168,类表,数据包
来源: https://blog.csdn.net/bugggggggg/article/details/112626479

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有