这里写目录标题

    • 使用基本ACL
    • 使用高级ACL
    • ACL :访问控制列表(Access Control List)
    • ACL中的规则
    • 将ACL绑定到接口
    • 应用


ACL :访问控制列表(Access Control List)

访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

ACL的作用就是根据条件对传输到接口的数据包进行过滤

ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。

通过这段定义我们现在可以知道,上面我们提到的"条件"就是定义在ACL中的规则,一个ACL是一系列规则的集合,也就是在一个ACL中我们可以定义多条规则,也就相当于定义了多个条件来过滤接口上的数据包

创建ACL的格式:acl ACL编号

根据ACL的编号范围进行分类:

分类编号范围可依据的过滤参数
基本ACL2000-2999源IP地址
高级ACL3000-3999源IP地址、目的IP地址、 源端口、目的端口等

"可依据的过滤参数"也就是我们可以依据数据包中的这些参数来定义规则

当我们使用基本ACL时,我们只能对源IP地址进行过滤
例如:不允许接口接收源IP地址为192.168.1.0网段的数据包

当我们使用高级ACL时,我们就可以对多个参数进行过滤
例如:不允许接口发送源IP地址为192.168.1.0网段,目的IP地址为192.168.1.2,目的端口为21的数据包

ACL中的规则

ACL中有多条规则时,会逐条对数据包进行匹配,如果数据包不满足任意一条规则,则会正常向目的端发送,如果有一条规则和数据包相匹配,那么就会根据这条规则来判断是否允许发送该数据包

规则定义格式

基本ACL:rule 规则编号 deny/allow source 源IP地址网段 源IP反子网掩码

例如:rule 5 deny source 192.168.1.0 0.0.0.255

高级ACL:rule 规则编号 协议类型 source 源IP地址网段 源IP反子网掩码 destination 目的IP地址 0.0.0.0 destination-port eq 目的端口

例如:rule 10 tcp source 192.168.1.0 0.0.0.255 destination 172.16.0.1 0.0.0.0 destination-port eq 21

将ACL绑定到接口

ACL的作用对象是接口,所以我们需要将配置好的ACL绑定到接口上

命令:traffic-filter 过滤方向 acl ACL编号
例如:traffic-filter outbound acl 2000
注意:
1.必须先进入接口再执行此命令
2.outbound是对发送的数据包进行过滤,还可以设置为inbound对接收的数据包进行过滤

应用

使用基本ACL

目标:实现PC1不能访问服务器,PC2可以访问服务器

配置

R1

[R1]interface GigabitEthernet 0/0/0[R1-GigabitEthernet0/0/0]ip address 192.168.0.1 16[R1-GigabitEthernet0/0/0]quit [R1]interface GigabitEthernet 0/0/1[R1-GigabitEthernet0/0/1]ip address 172.16.1.1 24[R1-GigabitEthernet0/0/1]qu[R1]acl 2000[R1-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255[R1-acl-basic-2000]qu[R1]inter GigabitEthernet 0/0/0[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000   #数据包的发送方向是从PC端到服务端,要过滤PC发送的数据包,对于g0/0/0接口来说,是接收数据包,所以使用inbound

PC1

PC2

服务器

访问测试

PC1访问服务器

PC2访问服务器

使用高级ACL


目标:实现PC1能够访问服务器1而不能访问服务器2,PC2能够访问服务器2但不能访问服务器1

配置

R1

[R1]interface GigabitEthernet 0/0/0[R1-GigabitEthernet0/0/0]ip address 192.168.0.1 16[R1-GigabitEthernet0/0/0]qu[R1]interface GigabitEthernet 0/0/1[R1-GigabitEthernet0/0/1]ip add 172.16.0.1 16[R1-GigabitEthernet0/0/1]qu[R1]acl 3000[R1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.2.12 0.0.0.0  #拒绝源IP地址网段为192.168.1.0,目标地址为172.16.2.12的数据包[R1-acl-adv-3000]rule deny icmp source 192.168.2.0 0.0.0.255 destination 172.16.1.11 0.0.0.0  #拒绝源IP地址网段为192.168.2.0,目标地址为172.16.1.11的数据包[R1-acl-adv-3000]qu[R1]interface GigabitEthernet 0/0/1[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000  #数据包发送方向为从PC端到服务器,对于g0/0/1接口来说,是将PC端的数据包从g0/0/1接口发送出去,所以在该接口使用outbound

PC1

PC2

服务器1

服务器2

访问测试

PC1访问服务器1

PC1访问服务器2

©著作权归作者所有:来自51CTO博客作者SmallSweets的原创作品,如需转载,请注明出处,否则将追究法律责任

更多相关文章

  1. eNSP:实现不同网段不同vlan主机之间的互访(配置三层交换)
  2. eNSP:hybrid接口配置实例
  3. 25个iptables常用示例
  4. macvlan Multus-CNI在OpenShift上的使用
  5. (unix domain socket)使用udp发送>=128K的消息会报ENOBUFS的错误
  6. 怎么评价欧盟统一充电接口?
  7. Mybatis Mapper接口动态代理实现原理及二次开发
  8. 「2020 新手必备 」极速入门 Retrofit + OkHttp 网络框架到实战,
  9. MySQL字符集和校对规则(Collation)

随机推荐

  1. 手把手教你在ubuntu下创建桌面快捷方式
  2. 在Linux里设置用户环境变量的方法
  3. 来点基础的--诡异的极客们的符号--流、管
  4. Linux Box上运行哪个SQL服务器?
  5. linux中创建公私钥
  6. 报告节选3:Linux比例近半 操作系统混战虚
  7. 继续问linux下c问题
  8. 嵌入式Linux系统工程师系列之ARM920T的MM
  9. find . -type f ! -name "*.o" 排除某类
  10. 解决找不到动态库libpthread.so