标准ACL配置的示例分析-创新互联
小编给大家分享一下标准ACL配置的示例分析,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!
创新互联建站长期为上千余家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为山阳企业提供专业的成都做网站、成都网站制作,山阳网站改版等技术服务。拥有十余年丰富建站经验和众多成功案例,为您定制开发。访问控制列表(一)
结构:
一.访问控制列表概述:
访问控制列表(ACL)
1.读取第三层、第四层包头信息
2.根据预先定义好的规则对包进行过滤
二.访问控制类表的工作原理
访问控制列表在接口应用的方向:
出:已经过路由器的处理,正离开路由器接口的数据包
入:已达到路由器接口的数据包,将被路由器处理
列表应用到接口方向与数据方向有关
访问控制列表的处理过程:
ACL规则:匹配为自上而下逐条匹配,默认隐含的拒绝是拒绝所有(any)
白名单:
允许 1.2
允许 1.3
拒绝所有(不写)
黑名单:
拒绝 1.2
拒绝 1.3
允许所有(必须写)
三.ACL访问控制列表的类型:
标准访问控制列表:
1.基于IP地址过滤数据包
2.标准访问控制列表的访问控制列表号是1~99
扩展访问控制列表:
1.基于源IP、目标IP地址、指定协议、端口和标志来过滤数据包
2.扩展访问控制列表的访问控制列表号是100~199
命名访问控制列表(包含标准和扩展):
1.命名访问控制列表允许在标准和扩展访问控制列表中使用名称待敌表号
可灵活调整策略
四.标准访问控制列表的配置
创建ACL:
Router(config)#access-list accsee-list-number { permit允许数据包通过 | deny拒绝数据包通过 } source [ source-wildcard ]可对源IP进行控制
删除ACL:
Router(config)#no access-list access-list-number
应用实例:
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0 允许192.168.1.0/24和主机192.168.2.2的流量通过
隐含的拒绝语句:
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255
关键字:
host/any
Demo1:标准ACL的配置实例
交换机: sw#conf t sw(config)#no ip routing sw(config)#int f1/0 sw(config-if)#speed 100 sw(config-if)#dup full
路由器: R1#conf t R1(config)#int f0/0 R1(config-if)#ip add 192.168.10.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#int f0/1 R1(config-if)#ip add 192.168.20.1 255.255.255.0 R1(config-if)#no shut
客户机配置IP地址: PC1> ip 192.168.10.2 192.168.10.1 Checking for duplicate address... PC1 : 192.168.10.2 255.255.255.0 gateway 192.168.10.1 PC2> ip 192.168.10.3 192.168.10.1 Checking for duplicate address... PC1 : 192.168.10.3 255.255.255.0 gateway 192.168.10.1 PC3> PC3> ip 192.168.20.2 192.168.20.1 Checking for duplicate address... PC1 : 192.168.20.2 255.255.255.0 gateway 192.168.20.1
验证互通: PC1> ping 192.168.20.2 192.168.20.2 icmp_seq=1 timeout 84 bytes from 192.168.20.2 icmp_seq=2 ttl=63 time=15.676 ms 84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=17.680 ms 84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=21.956 ms 84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=12.700 ms PC2> ping 192.168.20.2 192.168.20.2 icmp_seq=1 timeout 192.168.20.2 icmp_seq=2 timeout 84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=17.735 ms 84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=14.069 ms 84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=14.960 ms //此时全网段互通
全局模式下在R1上定义规则
R1(config-if)#access-list 1 deny host 192.168.10.2 R1(config)#do show access-list R1(config)#access-list 1 permit any R1(config)#int f0/0 R1(config-if)#ip access-group 1 in
PC1pingPC3显示管理员拒绝:
PC1> ping 192.168.20.2 *192.168.10.1 icmp_seq=1 ttl=255 time=20.233 ms (ICMP type:3, code:13, Communication administratively prohibited) *192.168.10.1 icmp_seq=2 ttl=255 time=4.913 ms (ICMP type:3, code:13, Communication administratively prohibited) *192.168.10.1 icmp_seq=3 ttl=255 time=12.927 ms (ICMP type:3, code:13, Communication administratively prohibited) *192.168.10.1 icmp_seq=4 ttl=255 time=12.965 ms (ICMP type:3, code:13, Communication administratively prohibited) *192.168.10.1 icmp_seq=5 ttl=255 time=13.958 ms (ICMP type:3, code:13, Communication administratively prohibited)
PC1pingPC2可以连通:
PC1>ping 192.168.10.3 84 bytes from 192.168.10.3 icmp_seq=1 ttl=64 time=0.000 ms 84 bytes from 192.168.10.3 icmp_seq=2 ttl=64 time=0.975 ms 84 bytes from 192.168.10.3 icmp_seq=3 ttl=64 time=0.997 ms 84 bytes from 192.168.10.3 icmp_seq=4 ttl=64 time=0.000 ms 84 bytes from 192.168.10.3 icmp_seq=5 ttl=64 time=1.731 ms
以上是“标准ACL配置的示例分析”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注创新互联行业资讯频道!
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
网站名称:标准ACL配置的示例分析-创新互联
网页地址:http://cdiso.cn/article/dcoceo.html