前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >ACL-访问控制列表

ACL-访问控制列表

作者头像
全栈程序员站长
发布2022-09-15 15:42:27
5340
发布2022-09-15 15:42:27
举报
文章被收录于专栏:全栈程序员必看

大家好,又见面了,我是你们的朋友全栈君。

目录

一.概述

二.访问控制列表的调用的方向

三.策略做好后,在入接口调用和出接口调用的区别

四.访问控制列表的处理原则

五.访问控制表类型

总结


一.概述

作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤

三层头部信息:源、目的IP

四层头部信息:TCP/UDP协议、源、目的端口号

二.访问控制列表的调用的方向:

入:流量将要进入本地路由器,将被本地路由器处理

出:流量已经被本地路由器处理,将离开本地路由器

三.策略做好后,在入接口调用和出接口调用的区别

入接口调用:是对本地路由器生效

出接口调用:对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效

四.访问控制列表的处理原则:

1路由条目只会被匹配一次

2.路由条目在ACL访问控制列表中匹配的顺序是由上而下匹配

3.ACL访问控制列表隐含一个放行所有

4.ALC访问控制列表至少要放行一条路由条目

五.访问控制表类型

1.标准访问控制列表

只能基于源IP地址进行过滤

标准访问控制列表号2000-2999

调用原则:靠近目标

2扩展访问控制列表

可以根据源、目标IP,TCP/UDP协议,源、目标端口号进行过滤

相比较标准访问控制列表,流量控制的更加精准

扩展访问控制列表的列表号是3000-3999

调用原则:靠近源

A交换机

代码语言:javascript
复制
<Huawei>u t m
<Huawei>sys
[Huawei]sy A
[A]user-interface console 0
[A-ui-console0]idle-timeout 0 0
[A-ui-console0]q
[A]vlan b 10 20
[A]int e0/0/1
[A-Ethernet0/0/1]port link-type access 
[A-Ethernet0/0/1]port default vlan 10
[A-Ethernet0/0/1]int e0/0/2
[A-Ethernet0/0/2]port link-type access
[A-Ethernet0/0/2]port default vlan 20
[A-Ethernet0/0/2]int e0/0/3
[A-Ethernet0/0/3]port link-type access
[A-Ethernet0/0/3]port default vlan 10
[A-Ethernet0/0/3]int e0/0/4
[A-Ethernet0/0/4]port link-type access
[A-Ethernet0/0/4]port default vlan 20
[A-Ethernet0/0/4]int g0/0/1
[A-GigabitEthernet0/0/1]port link-type trunk 
[A-GigabitEthernet0/0/1]port trunk allow-pass vlan all

B路由器

代码语言:javascript
复制
<Huawei>u t m
<Huawei>sys
[Huawei]sy B
[B]user-interface console 0
[B-ui-console0]idle-timeout 0 0
[B-ui-console0]q
[B]int g0/0/0
[B-GigabitEthernet0/0/0]undo shutdown 
[B-GigabitEthernet0/0/0]int g0/0/0.1
[B-GigabitEthernet0/0/0.1]dot1q termination vid 10   封装方式为802.1q g0/0/0.1划分进vlan10
[B-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24      设置IP地址和掩码长度
[B-GigabitEthernet0/0/0.1]arp broadcast enable        开启ARP广播功能
[B-GigabitEthernet0/0/0.1]int g0/0/0.2
[B-GigabitEthernet0/0/0.2]dot1q termination vid 20  封装方式为802.1q g0/0/0.1划分进vlan20
[B-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24        设置IP地址和掩码长度
[B-GigabitEthernet0/0/0.2]arp broadcast enable        开启ARP广播功能
[B-GigabitEthernet0/0/0.2]q

设置完后。vlan10和vlan20可以通的

标准访问列表设置

代码语言:javascript
复制
[B]acl 2000                                           创建标准访问控制列表,列表号2000
[B-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255   拒绝192.168.10.0网段(子网掩码为反掩码,原掩码是255.255.255.0)
[B-acl-basic-2000]rule permit source any                    放行其他路由条目
[B-acl-basic-2000]q
[B]int g0/0/0.2	                                            
[B-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000       选择在g0/0/0.2出接口上调用列表2000

入接口为inbound

默认ACL每条语句的行号间隔5

vlan10和vlan20之间已经不通了

扩展访问控制列表

第一台路由器增加默认路由命令

代码语言:javascript
复制
[B]int g0/0/3
[B-GigabitEthernet0/0/0]ip add 12.1.1.1 24
[B-GigabitEthernet0/0/0]undo shutdown 
[B]ip route-static 0.0.0.0 0 12.1.1.2

第二台路由器

代码语言:javascript
复制
<Huawei>u t m
<Huawei>sys
[Huawei]sys C1
[C1]user-interface console 0
[C1-ui-console0]id 0 0
[C1-ui-console0]q
[C1]int g0/0/0
[C1-GigabitEthernet0/0/0]ip add 12.1.1.2 24
[C1-GigabitEthernet0/0/0]undo shutdown 
[C1-GigabitEthernet0/0/0]int g0/0/1
[C1-GigabitEthernet0/0/1]ip add 202.10.100.2 24
[C1-GigabitEthernet0/0/1]undo shutdown
[C1-GigabitEthernet0/0/1]q	
[C1]ip route-static 0.0.0.0 0 12.1.1.1

服务器配置

点击启动,在1号终端上ping服务器地址,然后填入服务器地址,点击登录,即可看到服务器上的目录,这里可以上传或者下载文件

这时在第一台路由器中输入

代码语言:javascript
复制
[B]acl 3000
[B-acl-adv-3000]rule deny tcp source 192.168.10.3 0.0.0.0 destination 202.10.10
0.10 0 destination-port eq 21     禁止PC1访问FTP服务
[B-acl-adv-3000]rule permit tcp source any destination any destination-port eq 
21                                放行其他客户机访问FTP服务
[B-acl-adv-3000]rule permit ip source any destination any   放行其他客户机的网络流量
[B]int g0/0/0.1
[B-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000    选择在入接口上调用列表3000

这时再去客户机1上连接服务器,就无法登录了

而其他机器登录正常

总结

了解acl访问控制列表

访问控制列表处理原则

访问控制表类型的两种类型

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/163454.html原文链接:https://javaforall.cn

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档