ACL访问控制实验——CISCO

原创 已于 2022-08-13 15:13:11 修改 · 6.7k 阅读 · 62 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全

于 2022-08-11 01:44:35 首次发布
本文深入讲解访问控制列表(ACL)的基础概念及应用方法,包括标准ACL与扩展ACL的区别,命名ACL的优势及其配置语法,并探讨了如何利用ACL实现网络流量控制与安全保障。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

访问控制列表的定义       

访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,也可以配置在防火墙上,一般称为策略。借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
        访问控制列表(Access Control ListsACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
        访问控制列表具有许多作用,如限制网络流量、提高网络性能;通信流量的控制,例如ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量;提供网络安全访问的基本手段;在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

ACL作用

ACL可以限制网络流量、提高网络性能。
ACL提供对通信流量的控制手段。
ACL是提供网络安全访问的基本手段。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞

ACL分类

标准ACL:

表号为1-99

只能基于源IP地址对包进行过滤

扩展ACL:

表号为100-199

以源IP地址、目的IP地址、源端口号、目的端口号、协议号作为过滤标准,可以精确的限制到某一种具体的协议。

ACL原理

ACL表的条目是由动作和条件组成的
当数据满足条件时,执行动作
当数据不满足条件时,检测下一个条目
ACL表是严格自上而下检查的
ACL表必须应用在接口的inout方向才会生效
一个接口的一个方向只能调用一个ACL表

标准ACL语法

access-list  表号  permit/deny   IP或源网段  反子网掩码

access-list   1   deny   192.168.1.0   0.0.0.255    (000的反掩码表示严格匹配1网段的包)# 并且给拒绝的是网段

access-list 1 permit any                     # 允许所有流量通过

access-list   1   deny   host 192.168.1.3        #拒绝单个主机通过

标准ACL完整应用

acc 1 deny 192.168.1.0 0.0.0.255    # 拒绝1网段的流量通过

acc 1 permit any         # 还得加一个允许所有通过

查看acl表

show access-list  //查看所有ACL
show access-list <表号>  //查看某个ACL

之后将ACL应用到接口

int f0/0

ip access-list  <表号> in/out

注:一个接口的一个方向只能调用一个ACL表。

拓扑

需求

1.0网段拒绝3.0网段的访问

部署

配置PC16终端地址

配置PC18地址

配置PC17

之后配置路由器各个接口地址以及配置跨段路由;可参考前面的nat笔记,此处时间问题不再列出

配置R5路由

Router(config)#access-list 1 deny 192.168.3.0 0.0.0.255

 Router(config)#access-list 1 permit any

之后可以查看创建的acl表

Router(config)#do show acc

‘’

之后将其表应用接口使其生效

Router(config)#int f0/0                 # 应用于所选接口的最末端的接口使其影响最小

Router(config-if)#ip access-group 1 out      # 流量方向为出方向所以为out

效果测试

此时我们可以发现主机不可达 (访问控制效果生效)

扩展ACL

access-list 表号 permit/deny  协议  源IP或源网段  反子网掩码  目标IP或源网段  反子网掩码  <eq 端口号>

access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255  # 拒绝1网段的所有主机访问2网段

access-list 100 permit ip host 192.168.1.2 192.168.2.0 0.0.0.255  # 允许1.2的主机访问2网段

access-list 100 permit tcp 192.168.1.2 0.0.0.0 192.168.2.254 0.0.0.0 eq 80  #允许1.2的主机访问服务器的80端口;可简写为:access-list 100 permit tcp host 192.168.1.2 host  192.168.2.254 eq 80

拓扑

需求

192.168.5.254只允许PC18(3.2)访问;允许1.0网段全部访问;其他主机都拒绝

部署

先配置服务器地址

 

下面三条命令创建ACL表

Router(config)#access-list 100 permit ip host 192.168.3.2 host 192.168.5.254

Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.5.254

Router(config)#access-list 100 deny ip any host 192.168.5.254

将建的acl控制表应用到路由器7的F0/1接口(出)

Router(config-if)#ip access-group 100 out

效果图

我们可以看到没应用规则前其他主机也是可以访问的

应用acl规则之后主机不可达

命名ACL

命名ACL是以列表名称代替列表编号来定义ACL,同样包括标准和扩展两种列表。命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目,这样可以使网络管理员方便修改ACL

命名ACL分类

命名标准ACL

命名扩展ACL

命名ACL优点

方便记忆
命名控制列表就是给控制列表取个名字,而不是使用访问控制列表号。
方便管理

        通过命令访问控制列表可以很方便的管理ACL规则,可以随便添加、插入和删除规则,而无需删除整个访问控制列表了

语法

命名标准ACL

Router(config)#ip access-list standard vlan10

Router(config-std-nacl)#permit 192.168.1.0 0.0.0.255

Router(config-std-nacl)#deny 192.168.2.0 0.0.0.255

命名扩展ACL

Router(config)#ip access-list extended WW

Router(config-ext-nacl)#permit tcp host 192.168.1.2 host 192.168.5.254 eq telnet

Router(config-ext-nacl)#permit tcp host 192.168.2.3 host 192.168.5.254 eq www

Router(config-ext-nacl)#permit icmp host 192.168.3.2 host 192.168.5.254

Router(config-ext-nacl)#deny ip any any

ACL综合实验-cisco packet tracer_cisco acl实验(1)
2401_84970989的博客
05-12 697
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
思科 Cisco Access Control List ,简称ACL访问控制列表
weixin_48824655的博客
08-15 2339
Access Control List ,简称ACL访问控制列表
ACL实验-访问控制列表(access control list)----思科实验
Impt_gofly的博客
12-05 5693
这次实验,我们做的是ACL实验,基于上次的静态路由配置 ---------------------->静态路由配置 —访问控制列表(ACL)是应用在路由器接口的指令列表,用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。ACL是路由器中不可缺少的另一大功能,主要应用在边界路由器和防火墙路由器。 实验拓扑图: 一.实现不同网段间主机通信 这里直接在上次实验的基础上让全部主机能够通信。: ...
思科网络设备(交换机、路由器、防火墙)常用命令整理
最新发布
LiBai'S BLOG
05-21 1004
思科网络设备(交换机、路由器、防火墙)的常用命令整理。
Cisco:标准ACL实验配置实验以及知识讲解
qq_45345433的博客
05-13 7497
Cisco:标准ACL实验配置实验以及知识讲解 访问控制列表,实现网络流量限制,提供流量控制,为网络提供基本的安全层 目录Cisco:标准ACL实验配置实验以及知识讲解一、ACL的基本概念二、访问控制列表的类型1、标准访问控制列表2、扩展访问控制列表3、命名访问控制列表三、实验一:配置标准ACL实现流量控制1、网络拓扑图搭建2、R1、R2、R3的IP地址接口配置2、标准ACL配置 一、ACL的基本概念 ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的指令列表。这
ACL组网实验思科
qq_65150735的博客
05-21 3592
几个小的ACL组网测试实验
思科ACL访问控制列表配置命令教程
2301_76845656的博客
05-25 9868
访问控制列表ACL概念访问控制列表简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上。
第五章 访问控制列表ACL——标准ACL实验
沐一清
09-02 4231
一、理论 1.简述ACL的作用。 ACL可以提供网络访问的基本手段。可用于Qos,控制数据流量。控制通信量。 2.简述标准ACL和扩展ACL的不同点。 标准ACL是检查源地址,而扩展ACL不仅仅检查源地址,还检查目的地址。 标准ACL允许或拒绝整个协议簇,而扩展ACL允许或拒绝特定协议或应用程序。扩展ACL比标准ACL更精细一些。 标准ACL的编号为1-99,而扩展ACL的编号是100-199。 ...
Cisco路由交换技术实验6——访问控制列表(ACL)
baidu_41602911的博客
06-18 1044
实验6——访问控制列表(ACL) 实例一 标准访问控制列表 基本配置 包括路由端口,路由协议配置 配置标准访问控制列表 R1(config)#access-list [列表编号] permit [网络号+掩码反码] //当特定主机时,host+IP地址 //当全部允许时,any R1(config)#access-list [列表编号] deny [网络号+掩码反码] R1(config)#in...
计算机网络实验——路由器基本配置实验报告
09-20
- **访问控制列表(ACL)**:设置访问控制列表以限制特定网络流量,增强网络安全。 - **NAT(网络地址转换)**:配置NAT以解决IP地址短缺问题,同时保护内部网络不受外部访问。 4. **实验报告撰写** 实验报告应...
计算机网络实验——Cisco Packet Tracer 实验
Tosharapova的博客
12-24 1万+
文章目录Cisco Packet Tracer 实验一、直接连接两台 PC 构建 LAN二、 Cisco Packet Tracer 实验 本部分实验共有 15 个,需使用 Cisco Packet Tracer 软件完成。 一、直接连接两台 PC 构建 LAN 将两台 PC 直接连接构成一个网络。注意:直接连接需使用交叉线。 进行两台 PC 的基本网络配置,只需要配置 IP 地址即可,然后相互 ping 通即成功。 二、 ...
Cisco:标准ACL实验配置实验
05-13
访问控制列表,实现网络流量限制,提供流量控制,为网络提供基本的安全
思科交换机访问控制列表ACL
01-04
详细描述交换机访问控制列表配置,使得对交换机访问控制列表有个明确的了解
ACL访问控制列表实验
逐梦的博客
03-14 1872
ACL访问控制列表实验知识点: http://blog.csdn.net/qq_39414668/article/details/79532063 标准访问控制列表: 拓扑图: 实验步骤: 1.给PC0和服务器配IP、掩码、网关 2.配置路由器——接口配IP、掩码、设置ACL、将ACL应用在端口上 enable configure terminal interface...
acl访问控制列表实验
weixin_33816946的博客
04-14 226
实验拓扑图如上 1.配置IP地址R1与R3 Loopback0=x.x.x.x/24 IP=192.168.yx.x/242.用rip宣告,测通信 3. R1与R3配置VTY与特权口令cisco,测试能否TELNET 配置R1 R1(config)#int s0/3/0R1(config-if)#clo rat 64000R1(config-if)#ip a...
ACL 访问控制列表 实验
m0_72279717的博客
04-30 2778
1、ACL - Access Control List - 访问控制列表。2、ACL是一系列有序的语句。(1)有序:ACL有序号,执行时按顺序查找并匹配。默认先写的语句序号靠前。--- 所以注意书写规则的顺序,精确的规则放在前面。如果查完了列表没有匹配的条件,则默认拒绝所有 deny all。--- 所以全是deny的ACL中,最后一条应该写上permit any。等同于 access-list 10 permit any。这里的255.255.255.255是。
华为ACL访问控制列表)实验
热门推荐
朝锡相处
10-31 1万+
拓扑1台S5700,一台S3700,4台PC,ACL实验
ACL访问控制列表访实验
m0_64441215的博客
01-24 2533
技术背景: 需要一个工具实现流量过滤ACL是由一系列和语句组成的有序规则的ACL是一个, 能对报文进行匹配和区分.
ACL访问控制列表之实验
DAHA2的博客
04-13 343
实验要求:全网互通 配置ACL使得VLAN10和VLAN20不通 配置ACL是R1不能访问webserver 配置交换机SW1 [SW1]vlan batch 10 20 [SW1]int e0/0/1 [SW1-Ethernet0/0/1]p l a [SW1-Ethernet0/0/1]p d v 10 [SW1-Ethernet0/0/1]int e0/0/2 [SW1-Ethernet0/0/2]p l a [SW1-Ethernet0/0/2]p d v 20 [SW1-Ethernet0/
cisco访问控制列表实验
01-04
### Cisco ACL 配置与测试 #### 实验环境搭建 为了完成Cisco ACL的配置与测试,首先需要构建一个简单的网络拓扑结构。在这个例子中,有两台路由器(R1, R2),以及两个PC终端(pc1, pc2)[^2]。 - **R1接口配置** ```shell int G 0/0/1 ip address 192.168.2.1 255.255.255.0 exit int g 0/0/0 ip address 192.168.1.1 255.255.255.0 ``` - **R2接口配置** ```shell int g 0/0/0 ip address 192.168.2.2 255.255.255.0 ``` - **PC端口配置** - PC1: ```shell int g 0/0/0 ip address 192.168.1.10 255.255.255.0 ``` - PC2: ```shell int g 0/0/0 ip address 192.168.1.11 255.255.255.0 ``` 接着,在R2上设置一条指向R1所在网段(192.168.1.0/24)的静态路由,以便于不同子网间的通信能够正常工作: ```shell [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.2.1 ``` #### 访问控制列表(ACL)创建 现在来定义一个扩展型IP标准访问列表(access-list),用于阻止来自特定主机向另一指定目标发送ICMP回显请求(ping命令): ```shell access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo ``` 这条语句表示拒绝源地址为`192.168.10.10`的目标地址为`172.16.1.1`之间的ping操作[^1]。 注意这里的IP地址并不匹配上述实验环境中所使用的IP范围;实际应用时应调整这些数值以适应具体的网络布局需求。 #### 应用ACL到接口 为了让刚才建立好的ACL生效,还需要将其绑定至相应的物理或逻辑接口之上。假设希望限制从LAN侧发起的数据流,则可以在进入方向(inbound direction)施加此规则给连接内网用户的GigabitEthernet0/0/0接口: ```shell int GigabitEthernet0/0/0 ip access-group 199 in exit ``` 此时任何尝试通过该链路传输并符合前述条件的数据包都将被丢弃而不做进一步处理。 #### 测试验证 最后一步就是检验配置效果了。可以利用ping工具来进行简单测试——比如让位于同一局域网内的PC机互相试探连通状况,观察是否有预期的行为发生。如果一切顺利的话,当试图从某一台机器ping另一个特定目的地址时应该会收到超时提示而不是正常的回应消息。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值