设为首页收藏本站
开启辅助访问

eNSP:访问控制列表 ACL

 您所在的位置:网站首页 ensp访问控制列表命名代码 eNSP:访问控制列表 ACL

eNSP:访问控制列表 ACL

2024-07-12 04:56| 来源: 网络整理| 查看: 265

这里写目录标题 ACL :访问控制列表(Access Control List)ACL中的规则将ACL绑定到接口应用使用基本ACL使用高级ACL

ACL :访问控制列表(Access Control List)

访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

ACL的作用就是根据条件对传输到接口的数据包进行过滤

ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。

通过这段定义我们现在可以知道,上面我们提到的"条件"就是定义在ACL中的规则,一个ACL是一系列规则的集合,也就是在一个ACL中我们可以定义多条规则,也就相当于定义了多个条件来过滤接口上的数据包

创建ACL的格式:acl ACL编号

根据ACL的编号范围进行分类:

分类编号范围可依据的过滤参数基本ACL2000-2999源IP地址高级ACL3000-3999源IP地址、目的IP地址、 源端口、目的端口等

"可依据的过滤参数"也就是我们可以依据数据包中的这些参数来定义规则

当我们使用基本ACL时,我们只能对源IP地址进行过滤 例如:不允许接口接收源IP地址为192.168.1.0网段的数据包

当我们使用高级ACL时,我们就可以对多个参数进行过滤 例如:不允许接口发送源IP地址为192.168.1.0网段,目的IP地址为192.168.1.2,目的端口为21的数据包

ACL中的规则

ACL中有多条规则时,会逐条对数据包进行匹配,如果数据包不满足任意一条规则,则会正常向目的端发送,如果有一条规则和数据包相匹配,那么就会根据这条规则来判断是否允许发送该数据包

规则定义格式

基本ACL:rule 规则编号 deny/allow source 源IP地址网段 源IP反子网掩码

例如:rule 5 deny source 192.168.1.0 0.0.0.255

高级ACL:rule 规则编号 协议类型 source 源IP地址网段 源IP反子网掩码 destination 目的IP地址 0.0.0.0 destination-port eq 目的端口

例如:rule 10 tcp source 192.168.1.0 0.0.0.255 destination 172.16.0.1 0.0.0.0 destination-port eq 21

将ACL绑定到接口

ACL的作用对象是接口,所以我们需要将配置好的ACL绑定到接口上

命令:traffic-filter 过滤方向 acl ACL编号 例如:traffic-filter outbound acl 2000 注意: 1.必须先进入接口再执行此命令 2.outbound是对发送的数据包进行过滤,还可以设置为inbound对接收的数据包进行过滤

应用 使用基本ACL

在这里插入图片描述

目标:实现PC1不能访问服务器,PC2可以访问服务器

配置

R1

[R1]interface GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0]ip address 192.168.0.1 16 [R1-GigabitEthernet0/0/0]quit [R1]interface GigabitEthernet 0/0/1 [R1-GigabitEthernet0/0/1]ip address 172.16.1.1 24 [R1-GigabitEthernet0/0/1]qu [R1]acl 2000 [R1-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 [R1-acl-basic-2000]qu [R1]inter GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 #数据包的发送方向是从PC端到服务端,要过滤PC发送的数据包,对于g0/0/0接口来说,是接收数据包,所以使用inbound

PC1 在这里插入图片描述 PC2 在这里插入图片描述 服务器 在这里插入图片描述 访问测试

PC1访问服务器 在这里插入图片描述 PC2访问服务器 在这里插入图片描述

使用高级ACL

在这里插入图片描述 目标:实现PC1能够访问服务器1而不能访问服务器2,PC2能够访问服务器2但不能访问服务器1

配置

R1

[R1]interface GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0]ip address 192.168.0.1 16 [R1-GigabitEthernet0/0/0]qu [R1]interface GigabitEthernet 0/0/1 [R1-GigabitEthernet0/0/1]ip add 172.16.0.1 16 [R1-GigabitEthernet0/0/1]qu [R1]acl 3000 [R1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.2.12 0.0.0.0 #拒绝源IP地址网段为192.168.1.0,目标地址为172.16.2.12的数据包 [R1-acl-adv-3000]rule deny icmp source 192.168.2.0 0.0.0.255 destination 172.16.1.11 0.0.0.0 #拒绝源IP地址网段为192.168.2.0,目标地址为172.16.1.11的数据包 [R1-acl-adv-3000]qu [R1]interface GigabitEthernet 0/0/1 [R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000 #数据包发送方向为从PC端到服务器,对于g0/0/1接口来说,是将PC端的数据包从g0/0/1接口发送出去,所以在该接口使用outbound

PC1 在这里插入图片描述 PC2 在这里插入图片描述 服务器1 在这里插入图片描述 服务器2 在这里插入图片描述 访问测试

PC1访问服务器1 在这里插入图片描述 PC1访问服务器2 在这里插入图片描述



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3