访问控制列表ACL的配置与使用
访问控制列表ACL的配置与使用
访问控制列表,即Access Control List,以下简称ACL,是路由器、交换机等网络设备上最常用的功能之一。可以说大多数的网络协议都跟ACL有着千丝万缕的联系,所以要弄清楚ACL的用法非常重要。
实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。
ACL的基本原理:
1、ACL由若干条件,并按照一定的顺序而成,同时每个条件都对应了一个策略:允许或者禁止。
2、收到一个数据帧之后,ACL会按照从上到下的顺序逐一匹配:
●一个条件不匹配就查看下一个;
●任意一个条件匹配后就按照指定的策略执行,并跳出匹配;
●所有条件都不匹配时,默认禁止,即deny。
根据条件描述的不同,我们通常可以将IP ACL分为基本型和扩展型两种。
其中基本型只能就数据包的源ip地址进行匹配;
而扩展型ACL就可以对源IP、目的IP、协议号(判断tcp/udp/icmp等)、源端口号、目的端口号、QoS 参数(tos、precedence)等参数来进行定义,同时在匹配时,还可以根据路由器系统时间(time-range)来变化、还可以选择是否生成日志(log)等,功能非常强大。
显然标准型ACL功能非常简单,而扩展型ACL功能非常强大;但是功能越强大,匹配的越详细,对于路由器等网络设备的性能要求越高,或者对于网速的拖慢越明显。组网时需要酌情使用。
不过有一点,两种类型的ACL在原理上是完全一致的。
标准型ACL只能匹配源IP地址,在实际操作中,有三种匹配方式:
1、any,任意地址
2、
3、src_range,指定ip地址范围
配置模板:
ip access-list standard
{permit | deny} any
{permit | deny}
{permit | deny} src_range
例1:我们需要设置某局域网中只有192.168.1.0网段的用户能够上网(理论上有254个用户),那么应该是
ip access-list standard test
permit 192.168.1.0 255.255.255.0
deny any(隐含生效,无需配置)
例2:我们需要设置某局域网中只有192.168.1.2~192.168.1.80的用户能够上网(理论上有79个用户),本网段的其他用户无法上网,那么应该是
ip access-list standard test
permit src_range 192.168.1.2 192.168.1.80
deny any(隐含生效)
例3:我们需要让某局域网中只有192.168.1.0网段用户上网,但是192.168.1.33这个ip地址的用户要禁止(财务禁止上网)(理论上有253个用户),那么应该是
ip access-list standard test
deny 192.168.1.33 255.255.255.255
permit 192.168.1.0 255.255.255.0
deny any(隐含生效)
注意:
例3中,要表示单个主机的话,掩码必须是4个255,即32位掩码;
同时所有的例子中,各个条目的先后顺序不能搞错,想想看为什么?
扩展型ACL可匹配的条目比较多,前面已经说过,但世纪上最常用的项目也就是源、目的IP,源、目的端口号,以及ip协议号(种类)这5种,这5种就可以用来满足绝大多数的应用。
由于匹配的条目比较多,在一个条件中,这些项目也是有前后顺序的,为:
协议号,源ip地址,源端口号,目的ip地址,目的端口号;
其中,协议号必须写(ip、icmp、tcp、udp等);
源ip地址也必须写,其表示方式也有三种,与标准acl相同(如果不想匹配,以any来代替);
源端口号可以不写,表示any;
目的ip地址必须写;
目的端口号必须写(当协议号为tcp/udp时,源和目的端口号中至少应当写一个)
配置模板:
ip access-list extended
{permit | deny} {ip | icmp | tcp | udp} {any | network | src_range} [src_port] {any | network | src_range} [dst_port]
例1:网络中除了正常的web访问、邮件收发,其他所有的应用都要禁止
ip access-list extended test
permit tcp any any eq 80
permit tcp any any eq 25
permit tcp any any eq 110
deny ip any any(隐含生效,后面不再贴出来了)
例2:禁止本网(192.168.1.0)到172.16.11.0网段的访问,其他的不受限制
ip access-list extended test
deny ip 192.168.1.0 255.255.255.0 172.16.11.0 255.255.0.0
permit ip any any(本条必须写,想想看为什么)
例3:网络中,要禁止所有用户去ping、telnet、http访问某服务器(dns服务器,ip为192.168.1.3),但要其正常提供服务
ip access-list extended test
deny icmp any 192.168.1.3 255.255.255.255
deny tcp any 192.168.1.3 255.255.255.255 eq 23
deny tcp any 192.168.1.3 255.255.255.255 eq 80
permit ip any any
注意:在设置扩展型ACL时,要特别注意各个条件之间的关系,如果是“包含”的话,要把范围小的条目写在前面。
常见的包含关系例如:
icmp包含tcp、udp和icmp;
192.168.0.0 255.255.0.0包含192.168.1.0 255.255.255.0
192.168.1.0 255.255.255.0包含 range 192.168.1.1 192.168.1.10
不指定端口(port any)包含具体指定的端口,如tcp 80
按照前面的介绍,我们了解了ACL的基本原理、配置使用和常见分类,但是他们有什么用呢?
从配置的角度来看,上面的ACL写好之后,啥用都没有。原因是因为没有调用。
具体而言,由哪个模块来调用,就决定了它将起到什么作用,这也是ACL应用广泛的根本原因。
常见的调用ACL的模块有:
包过滤:ip access-group
网络地址转换:NAT
策略路由:PBR
ip服务质量:QoS
动态路由过滤:RIP/OSPF等
但作为最基本的应用,还是access-group。其调用方法非常简单,但关键要确定两个因素:
1、具体的接口
一般选择什么接口呢?一般的原则是离开要被控制的主机更近的那个口。
如:PCA--------
在这个逻辑拓扑中,要禁止PCA去访问ServB,那么显然在F0/0口上调用更加合适;
2、方向
虽然有in和out两种方向可选,但我们建议使用in方向。注意,这里的方向跟两个主机之间的源、目的地址相对关系有关。
如上面的逻辑拓扑中,如果是F0/0的in方向上,PCA是源;而在F0/1的in方向,ServB则是源。使用时,请一定要注意
配置模板:
interface fastethernet 0/0
ip access-group
注意:一个接口的一个方向上只能同时调用一个ACL条目!!!
使用时的若干注意点:
在不影响网络正常运行,且能够达到预期目的的情况下,应当做到
1、ACL的条目数尽量少(建议总的数量不要超过10条)
2、合并ACL条目
如deny ip 192.168.1.0 255.255.255.0 any和deny 192.168.2.0 255.255.255.0可以合并为192.168.0.0 255.255.255.192
3、尽量选择ACL的in方向调用
4、注意ACL中有隐含生效的deny ip any any(不用配置)
如:
ip access-list standard test
deny ip 192.168.1.11 255.255.255.255
deny ip 192.168.1.22 255.255.255.255
这个acl的作用就是禁止所有的ip进行通讯。
要改变这种情况的话,需要在最后增加一个permit ip any any。
博达路由器上面还有一种特殊的ACL,名为FastAccess,它相当于一种另外的“标准型”访问列表,它只能判断TCP、UDP、icmp协议的目的端口号。
这种ACL只适用于BDCOM路由器,通常用来禁止一些危险的、常见的病毒传播端口等。
FastAccess这种ACL的基本原理跟前面基本一致,只是可匹配的项目种类有所不同。
且只能设置为deny策略,不能设置为permit(不deny就是permit),且没有默认隐含deny的规则。
下面是配置模板:
interface Fastethernet 0/0 //接口模式中配置
ip fastaccess deny tcp 135
ip fastaccess deny tcp 139
ip fastaccess deny tcp 445
ip fastaccess deny tcp 1025
ip fastaccess deny tcp 1433
ip fastaccess deny tcp 4444
ip fastaccess deny tcp 5554
ip fastaccess deny tcp 9996
ip fastaccess deny udp 69
ip fastaccess deny udp 1434
前面讲的都是IP ACL,是属于网络层次的第三层,即网络层。
一般只是路由器、三层交换机上才可能会这样设置,当然防火墙设备可能也会有类似的机制,但通常多位GUI图形化配置页面。
那么如果要在二层交换机上面配置ACL来过来一些用户流量该怎么做呢?
显然因为层次不同的原因,IP ACL就不能用了,这需要用到另外的一种MAC ACL,即二层访问控制列表mac acl的原理跟一楼的基本原理完全一致,但它只能匹配源和目的mac地址。
另外,由于mac acl相对较为简单,就不在区分基本和扩展等类型了。
下面是配置模板,大家一看就明了:
mac access-list
permit {host
mac access-group
注意:
1、mac acl中同样有隐含的deny any any规则存在,使用时要注意
2、mac acl在调用时没有方向参数的,原因是默认在in方向生效。
访问控制列表(ACL)总结
访问控制列表(ACL)总结 一、什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式: 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下:access-list ACL号permit|deny host ip地址 例:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。 标准访问控制列表实例一:
标准访问控制列表配置
13.标准访问列表的实现 一.实训目的 1.理解标准访问控制列表的概念和工作原理。 2.掌握标准访问控制列表的配置方法。 3.掌握对路由器的管理位置加以限制的方法。 二.实训器材及环境 1.安装有packet tracer5.0模拟软件的计算机。 2.搭建实验环境如下: 三.实训理论基础 1.访问列表概述 访问列表是由一系列语句组成的列表,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个内容。 访问列表应用在路由器的接口上,通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。 数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。 访问控制列表可以限制网络流量,提高网络性能,控制网络通信流量等,同时ACL也是网络访问控制的基本安全手段。 2.访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表。
标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。 3.ACL的相关特性 每一个接口可以在进入(inbound)和离开(outbound)两个方向上分别应用一个ACL,且每个方向上只能应用一个ACL。 ACL语句包括两个动作,一个是拒绝(deny)即拒绝数据包通过,过滤掉数据包,一个是允许(permit)即允许数据包通过,不过滤数据包。 在路由选择进行以前,应用在接口进入方向的ACL起作用。 在路由选择决定以后,应用在接口离开方向的ACL起作用。 每个ACL的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句。 4.ACL转发的过程 5.IP地址与通配符掩码的作用规 32位的IP地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP地址的对应位必须匹配,通配 符掩码为1的位所对应的IP地址位不必匹配。
ACL配置规范
ACL配置规范: ACL分类: 第一类是:基本ACL 1.标准ACL的编号范围:1-99和1300-1999; 2.标准ACL只匹配源ip地址 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 第二类是:扩展ACL 1.扩展ACL的编号范围:100-199和2000-2699。 2.标准ACL只匹配源ip地址,扩展ACL可以匹配数据流的五大元素(源ip地址、目的ip地址、源端口、目的端口、协议号) 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 ACL规划: 标准ACL总体规划如下: ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留
注释:通用ACL即是一类用户的接口都调用的ACL. 扩展ACL总体规划如下: ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留 ACL规范: ACL命名规范: 为了便于ACL的管理和检索,新增ACL命名规范需要统一制定规范,命名规范如下: 公式:XXX_YY_Z 各字段含义如下: ?XXX:所属部门名称单字的首拼音大写,如委办局则为WBJ; ?YY:区分不同的部门,如果为VLAN_10使用,则XX字段为10。 ?Z:在默认情况下是数字0,如果遇到XXX_XX都一致时,X就从1往上加。 ACL描述规范: 为了便于查看ACL的用途,需要增加ACL描述,描述规范如下: 公式:XXX_YYYYY ?XXX:所属部门名称首字的首拼音大写 ?YYYYY:所实现的功能,最多20个字符 举例说明:委办局的不能访问管理平台的ACL,则描述为 WBJ_JinZhiFangWenGuanLiPingTai ACL配置规范: 为配置ACL形成统一规范,便于管理,制定规范如下: ?启用ACL时,必须按照规划的ACL,编写Number、Name和description;
ACL访问控制列表配置案例
访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route
R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit
访问控制列表原理及配置技巧(acl)
1、访问控制列表的作用。 作用就是过滤实现安全性具网络可有管理性 一、过滤,经过路由器的数据包 二、控制增长的网络IP数据 2、访问控制列表的分类及其特性。 一、标准列表 只基于ip协议来工作,只能针对数据包种的源地址来做审核,由于无法确定具体的目的,所以在使用的过程中,应靠近目的地址,接口应为距目的地址最近的接口,方向为out。 访问控制别表具有方向性,是以路由器做参照物,来定义out或者in out:是在路由器处理完以后,才匹配的条目 in:一进入路由器就匹配,匹配后在路由。 编号范围为:1-99 二、扩展列表 可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作,在工作的过程中常用在距源或组源最近的路由器上, 接口为距源最近的接口,方向为in,可以审核三层和四层的信息。 编号范围:100-199 如何判断应使用哪种类型的访问控制列表 标准:针对目的,允许或拒绝特定的源时,使用标准的(当目的唯一,具有多个源访问时。) 扩展:针对源地址,允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。(当源确定下来,具有单个源可有多个目的地址时。) 编号的作用: a,标识表的类型 b,列表的名字 1.访问列表最后一条都隐含拒绝所有,使用拒绝列表时,必须有条允许语句。 2.访问列表按顺序自上而下逐条匹配,当匹配后立即执行,不会继续匹配。
3.具有严格限制的条目应该放在列表前。 4.删除列表不能有选择删除,若no access-list X 的一个条目,则这个列表被删除。 5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核. 6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上. 7.当列表过滤掉一个数据包时,会返回给源一个不可达的icmp包,然后丢掉或过滤掉包 8.访问列表在应用中,标准的应靠近目的,而扩展则靠近源或组源。 9.当路由器调用了一个没有条目的列表,则执行列表隐含条目,deny any (拒绝所有) 10.在某个接口,某个方向上只能调用一个列表。 11.访问控制列表不能过滤自身产生的数据。 书写列表的步骤: 1.选择要应用的列表类型 2.选择要书写的路由器并书写列表 3.选择路由器的接口来调用列表实现过滤 4.选择应用列表的方向 标准访问控制列表的配置 1.回顾标准列表的特性 2.标准列表的配置语法(通配符) 配置的过程中,熟记配置规则 1.标准列表:只基于ip协议工作,控制数据包的源地址 应用过程中:距目的地址近的路由器和接口 2.配置列表的步骤 1)选择列表的类型 2)选择路由器(是要在哪个上路由器上配置列表) 3.)选择要应用的接口(在哪个接口上调用) 4)判断列表的方向性(in和out:相对路由器) 3.标准列表的配置语法 1)在全局模式下,书写规则 access-list 列表编号permit/deny 源网络地址源地址的通配符 列表的编号:1-99 和1300 - 1999 通配符:零所对应的位即为精确匹配位。通常所讲的反子掩码 255.255.255.0 == 通配符=0.0.0.255 255.255.255.255 - 正掩码 ——————————— 反子网掩码 2)调用列表
ACL访问控制列表配置要点
ACL的使用 ACL的处理过程: 1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit) 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny) 要点: 1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www
华为交换机ACL控制列表设置
华为交换机ACL控制列表设置
交换机配置(三)ACL基本配置 1,二层ACL . 组网需求: 通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress
00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。 # 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL # 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny
三层交换机配置ACL(访问控制列表)
三层交换机配置ACL(访问控制列表) 说明:书本上讲述的ACL主要是应用在路由器上,但现在三层交换机在大中型企业中的应用越来越广泛,三层交换机因拥有路由器的功能而逐渐代替路由器。ACL访问控制列表是构建安全规范的网络不可缺少的,但在三层交换机上配置ACL却不为一些刚进企业的初级网络管理维护人员所知。在这里我介绍一下在三层交换机上配置ACL的试验过程。 试验拓扑介绍: 三层交换机上配置本地Vlan 实现下层接入层交换机不同Vlan互通。 PC1 192.168.20.10 VLAN 192.168.20.1 PC2 192.168.30.20 VLAN 192.168.30.1 PC3 192.168.40.30 VLAN 192.168.40.1 PC4 192.168.50.40 VLAN 192.168.50.1 F0/1 192.168.70.2 (开启路由功能) 路由器上配置 F0/0 192.168.60.1 PC5 192.168.60.50 F0/1 192.168.70.1 试验步骤: 1、在二层交换机上把相应的PC加入VLAN 查看交换机Switch0 Switch0(config)#show run ! interface FastEthernet0/1
switchport access vlan 2 ! interface FastEthernet0/2 switchport access vlan 3 ! 查看交换机Switch1 Switch1#show run ! interface FastEthernet0/3 switchport access vlan 4 ! interface FastEthernet0/4 switchport access vlan 5 ! 2、在三层交换机上配置相应的本地VALN Switch(config)#inter vl 2 Switch(config-if)#ip add 192.168.20.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 3 Switch(config-if)#ip add 192.168.30.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 4 Switch(config-if)#ip add 192.168.40.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 5 Switch(config-if)#ip add 192.168.50.1 255.255.255.0 Switch(config-if)#no shut Switch(config-if)#exi 在接口itnerface f0/1上开启路由接口 Switch(config)#inter f0/1 Switch(config-if)#no switchport 3、在二层交换机和三层交换机之间开启中继链路 4、在路由器和三层交换机上配置动态路由协议RIP Router(config)#router rip Router(config)#network 192.168.60.0 Router(config)# network 192.168.70.0 三层交换机上配置 Switch(config)#router rip Switch(config-router)#ne Switch(config-router)#network 192.168.70.0 Switch(config-router)#network 192.168.20.0 Switch(config-router)#network 192.168.30.0 Switch(config-router)#network 192.168.40.0 Switch(config-router)#network 192.168.50.0 Switch(config-router)# 5、验证各PC互通 PC>ping 192.168.30.20 Pinging 192.168.30.20 with 32 bytes of data: Request timed out.
标准访问控制列表配置命令
标准访问控制列表配置命令一、拒绝PC0 Router>enable Router#configure terminal Router(config)#interface fastEthernet 0/0 Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#ip access-list standard 1 Router(config-std-nacl)#deny host 192.168.0.2 Router(config-std-nacl)#permit any Router(config-std-nacl)#exit Router(config)#interface fastEthernet 0/0 Router(config-if)#ip access-group 1 in Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit Router#write
实验七 标准IP访问控制列表配置
实验七标准IP访问控制列表配置 一、实验目的 1.理解标准IP访问控制列表的原理及功能。 2.掌握编号的标准IP访问控制列表的配置方法。 二、实验环境 R2600(2台)、主机(3台)、交叉线(3条)、DCE线(1条)。 三、实验背景 你是公司的网络管理员,公司的经理部、财务部和销售部分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部进行访问 PC1代表经理部的主机,PC2代表销售部的主机,PC3代表财务部的主机。四、技术原理 ACLs的全称为接入控制列表;也称为访问列表,俗称为防火墙,在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而提高网络可管理性和安全性。 IP ACLs分为两种:标准IP访问列表和扩展IP访问列表,标号范围分别为1~99、100~199。 标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。 扩展IP访问列表可以数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。 IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。 五、实验步骤 1、新建拓扑图 2、路由器R1、R2之间通过V.35线缆通过串口连接,DCE端连接在R1上,
配置其时钟频率64000;主机与路由器通过交叉线连接。 3、配置路由器接口IP地址。 4、在路由器R1、R2上配置静态路由协议或动态路由协议,让三台PC能互相 ping通,因为只有在互通的前提下才能涉及到访问控制列表。 5、在R1上配置编号的IP标准访问列表。 6、将标准IP访问控制列表应用到接口上。 7、验证主机之间的互通性。 六、实验过程中需要的相关知识点 1、进入指定的接口配置模式 配置每个接口,首先必须进入这个接口的配置模式模式,首先进入全局配置模式,然后输入进入指定接口配置模式,命令格式如下 例如:进入快速以太网口的第0个端口,步骤是: Router#config terminal Router(config)#interface FastEthernet 1/0 2、配置IP地址 除了NULL接口,每个接口都有其IP地址,IP地址的配置是使用接口必须考虑的,命令如下: Router#config terminal
详解cisco访问控制列表ACL
详解cisco访问控制列表ACL 一:访问控制列表概述 〃访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。 〃工作原理:它读取第三及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。 〃实际应用:阻止某个网段访问服务器。 阻止A网段访问B网段,但B网段可以访问A网段。 禁止某些端口进入网络,可达到安全性。 二:标准ACL 〃标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段,则该网段下所有主机以及所有协议都被禁止。如禁止了A网段,则A网段下所有的主机都不能访问服务器,而B网段下的主机却可以。 用1----99之间数字作为表号 一般用于局域网,所以最好把标准ACL应用在离目的地址最近的地方。 〃标准ACL的配置: router(config)#access-list表号 deny(禁止)网段/IP地址反掩码 ********禁止某各网段或某个IP router(config)#access-list表号 permit(允许) any 注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。 router(config)#interface 接口 ******进入想要应用此ACL的接口(因为访问控制列表只能应用在接口模式下)
router(config-if)#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN 其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0 = router(config)#access-list 10 deny host 192.168.0.1 router(config)#access-list 10 deny 0.0.0.0 255.255.255.255 = router(config)#access-list 10 deny any router#show access-lists ******查看访问控制列表。 〃标准访问控制列表的工作原理。 (每当数据进入路由器的每口接口下,都会进行以下进程。) 注:当配置访问控制列表时,顺序很重要。要确保按照从具体到普遍的次序来排列条目。
ACL IP访问控制列表配置实验
IP访问控制列表配置 目录: 第一个任务的:验证测试 (3) 第二个任务的:交换机的验证测试 (6) 第三个任务的:扩展访问验证测试 (10) 最后---总结: (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa
0端口,如图所示。 第1步:基本配置 路由器RouterA: R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB: R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0
ACL配置规范
ACL实施配置指导 ACL分类: 第一类是:基本ACL 1.标准ACL的编号范围:1-99和1300-1999; 2.2.标准ACL只匹配源ip地址, 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 第二类是:扩展ACL 1.扩展ACL的编号范围:100-199和2000-2699。 2.标准ACL只匹配源ip地址,扩展ACL可以匹配数据流的五大元素(源ip地址、目的ip地址、源端口、目的端口、协议号) 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 ACL规划: 标准ACL总体规划如下:
注释:通用ACL即是一类用户的接口都调用的ACL. 扩展ACL总体规划如下: ACL规范: ACL命名规范: 为了便于ACL的管理和检索,新增ACL命名规范需要统一制定规范,命名规范如下: 公式:AAA_BB_N 各字段含义如下: ?AAA:所属学校名称单字的首拼音大写,如西安工业大学则为XAGYDX; ?BB:区分不同的部门,如果为校内使用,则BB字段为XN。如果是校外使用,则BB字段为XW。如果是管理节点使用,则BB字段为GL。如果是 测试用户使用,则BB字段为CS; ?N:在默认情况下是数字1,如果遇到AAA_BB都一致时,N就从1往上加。ACL描述规范: 为了便于查看ACL的用途,需要增加ACL描述,描述规范如下: 公式:Aaa-Bbb_TYCE ?A:A所属学校名称首字的首拼音大写,a为首字拼音的小写; ?B:所属部门名称第二字的拼音大写,b为其他字拼音的小写: ?TYCE:通用策略。 举例说明:财务部的ACL,则描述为XAGYDX-CWB ACL配置规范: 为配置ACL形成统一规范,便于管理,制定规范如下:
Cisco访问控制列表
C i s c o访问控制列表 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)
cisco路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则 所有的层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 分类: 标准访问控制列表 扩展访问控制列表 基于名称的访问控制列表 反向访问控制列表 基于时间的访问控制列表 标准访问列表: 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL
配置路由器的ACL访问控制列表
在路由器上实现访问控制列表 试验描述: 实验目的和要求: 1.掌握在路由器上配置ACL的方法。 2.对路由器上已配置的ACL进行测试。 试验环境准备(GNS3):3台路由器互联,拓扑图如下: 3. 试验任务:(1)配制标准访问控制列表;(2)配制扩展访问控制列表;(3)配制名称访问控制列表;(4)配制控制telnet访问。 4. 试验容:OSPF,ACL,telnet
试验步骤: 1.运行模拟器,按照如下拓扑图进行部署。 2.R2路由器的基本配置。 3.R2路由器的基本配置。 4.R2路由器的基本配置
5.R1 ping R2 6.R2 ping R3 7.R1 ping R3,要是能通就活见鬼了! 8.现在在3台路由器上配置单区域OSPF,首先R1。
9.R2配置单区域OSPF。 10.R3配置单区域OSPF。 11.R3 ping R1,使用扩展ping的方式。应该可以ping通了。
12.R1ping R3,使用扩展ping的方式。应该可以ping通了。 13.在路由器R3上查看路由表时发现了一个10.1.1.1/32的主机地址条目,带有32位掩码。 这种情况最好加以避免,因为一旦在一个网络里路由器上所有的条目都出现在路由表上的话,路由器将使用大量的资源处理这些条目,太浪费了。本试验中,这个主机条目的出现是因为R1使用了一个loopback接口,虽然是逻辑接口,如果在OSPF路由器上使用这种接口,其它运行OSPF的路由器学习到这个路由器的时候就会显示出一个主机条目。消除这一现象可以通过将该网络设置为点到点即可。分别在R1和R3上设置。 14.R1设置点到点。
13-ACL配置 MyPower S4330 V1.0 系列交换机配置手册
ACL配置
本手册著作权属迈普通信技术有限公司所有,未经著作权人书面许可,任何单位或个人不得以任何方式摘录、复制或翻译。 侵权必究。 策划:研究院资料服务处 * * * 迈普通信技术有限公司 地址:成都市高新区九兴大道16号迈普大厦 技术支持热线:400-886-8669 传真:(+8628)85148948 E-mail:support@https://www.360docs.net/doc/615441551.html, 网址:https://www.360docs.net/doc/615441551.html, 邮编:610041 版本:2011年 8月v1.0版
目录 第1章 ACL配置 (1) 1.1 ACL简介 (1) 1.1.1 ACL的匹配顺序 (1) 1.1.2 支持的ACL (2) 1.2 配置时间段 (3) 1.2.1 配置过程 (3) 1.2.2 配置举例 (4) 1.3 定义基本ACL (5) 1.3.1 配置过程 (5) 1.3.2 配置举例 (6) 1.4 定义扩展ACL (6) 1.4.1 配置过程 (6) 1.4.2 配置举例 (8) 1.5 定义二层ACL (9) 1.5.1 配置二层ACL (9) 1.5.2 配置举例 (10) 1.6 激活ACL (10) 1.6.1 激活ACL (10) 1.6.2 配置举例 (11) 1.7 ACL的显示和调试 (12)
第1章ACL配置 1.1 ACL简介 ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,才能根据预先设定的策略允许或禁止相应的数据包通过。 ACL根据一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。 由ACL定义的数据包匹配规则,还可以被其它需要对流进行区分的场合引用,如QoS 中流分类规则的定义。 根据应用目的,可将ACL 分为下面几种: ●基本ACL:只根据源IP地址制定规则。 ●扩展ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。 ●二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。 1.1.1 ACL的匹配顺序 由于同一条ACL可以配置多个子项,所以就出现了匹配顺序的问题。ACL支持两种匹配顺序: ●配置顺序:根据配置顺序匹配ACL规则。 ●自动排序:根据“深度优先”规则匹配ACL规则。 深度优先指的是最长的子项先匹配。