eNSP:访问控制列表 ACL |
您所在的位置:网站首页 › ensp访问控制列表命名代码 › eNSP:访问控制列表 ACL |
这里写目录标题
ACL :访问控制列表(Access Control List)ACL中的规则将ACL绑定到接口应用使用基本ACL使用高级ACL
ACL :访问控制列表(Access Control List)
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 ACL的作用就是根据条件对传输到接口的数据包进行过滤 ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 通过这段定义我们现在可以知道,上面我们提到的"条件"就是定义在ACL中的规则,一个ACL是一系列规则的集合,也就是在一个ACL中我们可以定义多条规则,也就相当于定义了多个条件来过滤接口上的数据包 创建ACL的格式:acl ACL编号 根据ACL的编号范围进行分类: 分类编号范围可依据的过滤参数基本ACL2000-2999源IP地址高级ACL3000-3999源IP地址、目的IP地址、 源端口、目的端口等"可依据的过滤参数"也就是我们可以依据数据包中的这些参数来定义规则 当我们使用基本ACL时,我们只能对源IP地址进行过滤 例如:不允许接口接收源IP地址为192.168.1.0网段的数据包 当我们使用高级ACL时,我们就可以对多个参数进行过滤 例如:不允许接口发送源IP地址为192.168.1.0网段,目的IP地址为192.168.1.2,目的端口为21的数据包 ACL中的规则ACL中有多条规则时,会逐条对数据包进行匹配,如果数据包不满足任意一条规则,则会正常向目的端发送,如果有一条规则和数据包相匹配,那么就会根据这条规则来判断是否允许发送该数据包 规则定义格式 基本ACL:rule 规则编号 deny/allow source 源IP地址网段 源IP反子网掩码 例如:rule 5 deny source 192.168.1.0 0.0.0.255 高级ACL:rule 规则编号 协议类型 source 源IP地址网段 源IP反子网掩码 destination 目的IP地址 0.0.0.0 destination-port eq 目的端口 例如:rule 10 tcp source 192.168.1.0 0.0.0.255 destination 172.16.0.1 0.0.0.0 destination-port eq 21 将ACL绑定到接口ACL的作用对象是接口,所以我们需要将配置好的ACL绑定到接口上 命令:traffic-filter 过滤方向 acl ACL编号 例如:traffic-filter outbound acl 2000 注意: 1.必须先进入接口再执行此命令 2.outbound是对发送的数据包进行过滤,还可以设置为inbound对接收的数据包进行过滤 应用 使用基本ACL目标:实现PC1不能访问服务器,PC2可以访问服务器 配置 R1 [R1]interface GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0]ip address 192.168.0.1 16 [R1-GigabitEthernet0/0/0]quit [R1]interface GigabitEthernet 0/0/1 [R1-GigabitEthernet0/0/1]ip address 172.16.1.1 24 [R1-GigabitEthernet0/0/1]qu [R1]acl 2000 [R1-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 [R1-acl-basic-2000]qu [R1]inter GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 #数据包的发送方向是从PC端到服务端,要过滤PC发送的数据包,对于g0/0/0接口来说,是接收数据包,所以使用inboundPC1 PC1访问服务器
配置 R1 [R1]interface GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0]ip address 192.168.0.1 16 [R1-GigabitEthernet0/0/0]qu [R1]interface GigabitEthernet 0/0/1 [R1-GigabitEthernet0/0/1]ip add 172.16.0.1 16 [R1-GigabitEthernet0/0/1]qu [R1]acl 3000 [R1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.2.12 0.0.0.0 #拒绝源IP地址网段为192.168.1.0,目标地址为172.16.2.12的数据包 [R1-acl-adv-3000]rule deny icmp source 192.168.2.0 0.0.0.255 destination 172.16.1.11 0.0.0.0 #拒绝源IP地址网段为192.168.2.0,目标地址为172.16.1.11的数据包 [R1-acl-adv-3000]qu [R1]interface GigabitEthernet 0/0/1 [R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000 #数据包发送方向为从PC端到服务器,对于g0/0/1接口来说,是将PC端的数据包从g0/0/1接口发送出去,所以在该接口使用outboundPC1 PC1访问服务器1 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |