用ACL封杀ping命令

标准ACL的工作原理及应用1. 什么是标准ACL标准访问控制列表（Access Control List，简称ACL）是网络设备（如路由器、交换机）中一个用于控制网络流量的功能。

它通过匹配数据包的源地址来决定是否允许数据包通过设备。

标准ACL是一种基本的ACL类型，它只能根据源IP地址来控制流量，而不能根据目标IP地址、协议类型、端口号等进行控制。

2. 标准ACL的工作原理标准ACL通过配置设备的规则来实现对数据包的控制。

设备会按照这些规则逐一匹配数据包，并根据匹配结果来决定是否通过。

下面是标准ACL的工作原理的简要步骤：•当数据包进入设备时，设备会检查它的源IP地址。

•设备会按照事先配置好的规则进行逐一匹配。

每个规则通常包含一个IP地址（或地址段）和一个操作（如允许或拒绝）。

•如果数据包的源IP地址与某个规则匹配，则设备会根据规则的操作决定如何处理数据包。

•如果数据包的源IP地址没有与任何规则匹配，则设备会使用默认的行为决定如何处理数据包。

3. 标准ACL的应用场景标准ACL通常用于限制特定源IP地址的访问权限，常见的应用场景包括：3.1 限制内部设备的访问可以使用标准ACL来限制内部网络中某些设备对外部网络的访问权限。

例如，可以阻止某个局域网中的设备访问特定的互联网地址。

3.2 限制外部网络对内部设备的访问标准ACL还可用于限制外部网络对内部设备的访问。

通过配置标准ACL，可以阻止特定的外部IP地址访问内部网络中的设备。

3.3 过滤出某特定流量标准ACL还可以用于过滤出某特定的流量。

例如，通过配置标准ACL，可以只允许某个特定的IP地址通过设备，并拒绝其他所有IP地址的访问。

3.4 限制特定协议流量虽然标准ACL主要根据源IP地址进行控制，但也可以结合其他条件来限制特定协议的流量。

例如，可以通过使用扩展ACL和标准ACL的组合来实现根据协议类型限制流量的功能。

4. 配置标准ACL的步骤配置标准ACL大致包括以下几个步骤：1.进入设备的配置模式。

ACL的应用一、概述属于IOS包过滤防火墙的一部分，但是现在不仅仅是用在这个方面。

现在可以应用在：1、data plan 通过一些对数据包的匹配，抓到数据包对数据包进行丢弃或者转发等操作（对象:数据包、数据帧）2、control plan 对路由条目的匹配，对路由条目执行策略（路由条目）二、理论以及命令全局模式下：access-list<1-99> IP标准访问控制列表<100-199>IP扩展访问控制列表<200-299>协议类型代码访问控制列表没有明确标准的应用的流量<300-399>DECnet 访问控制列表<700-799>48bit MAC地址访问控制列表<1100-1199>扩展的48bit MAC地址访问控制列表<1300-1999>IP标准访问控制列表<2000-2699>IP扩展访问控制列表这些包含了常见的IP的二层协议和三层协议1、标准只能匹配协议中的一个地址（源地址）命令access-list 1 permit（允许）/deny（拒绝）/remark hostname/x.x.x.x/any（所有主机通配符32个1）/host（一台单一主机通配符32个0）掩码：/nn&x.x.x.x log/<cr>例子access-list 1 permit 1.1.1.1访问控制列表必须在某种技术环节下调用，否则不存在任何意义。

一般调用在接口下，比较常用。

调用的时候有方向：in或者out注意：每条访问控制列表后面都有一个隐式拒绝一个编号的访问控制列表可以使用多行，默认一般都是以10 开始编号，间隔是10，最大是2147483647。

一般认为无上限。

ACL书写的时候注意，是金字塔式的，从上到下，匹配的范围越来越大。

因为ACL 一旦匹配，就会立即执行动作，不会放到后一条。

例子：first：deny 192.168.1.0Second：permit 192.168.0.0Third：deny 192.0.0.0ACL使用反掩码（标识一个子网的范围）和通配符（不连续）确定所写的网段的路由范围反掩码与通配符的不同，是通配符不用连续例子：192.168.1.0 192.168.3.0 192.168.5.0 如何用通配符匹配192.168.1.0 192.168.00000001.0192.168.3.0 192.168.00000011.0192.168.5.0 192.168.00000101.0红位标注为不一致的地方，其他均为一致的地方，一致的地方使用0标识不一致的地方使用1标识，而且匹配IP地址最后的几个比特不做严格限制，最后结果是：192.168.1.0（3.0、5.0都行最后默认都会变成1.0）0.0.6.255（通配符）网络号是匹配路由的时候使用，IP是对数据包进行匹配show ip access-lists 查询出匹配了多少包clear ip access-lists counters [acl num]/<cr>没加反掩码或者通配符的话，那么后面自动跟上0.0.0.0如果先permit any 再permit 明细的话，会报错。

（一）配置ACL：
首先配置好禁止外网PING路由器的ACL，要注意ACL的源地址和目的地址，下面的例子表示源地址是any，目的地址是：218.207.161.170。

如果专线用户有多个IP地址，必须扩大反掩码。

【配置举例】
acl extended number 100
rule 1 deny icmp any 218.207.161.170 0.0.0.0 echo
rule 2 permit ip any any
（二）应用ACL：
由于我们是要禁用外网对路由器的ICMP报文，因此应用的方向是由外至内，因此必须在路由器的OUTSIDE口（WAN）的IN方向进行限制。

【配置举例】
Interface fei_0/1
ip access-group 100 in
二、迈普路由器
（一）配置ACL：
与中兴一样，必须配置一条扩展ACL：
【配置举例】
ip access-list extended 1002
中兴、迈普路由器禁Ping配置：
20 deny icmp any host 113.18.107.80 echo
30 permit ip any any
【注意事项】
部分迈普路由器，如MP2600并不支持过滤ICMP的ECHO报文，这种情况将会导致出方向的ICMP ECHO 报文也被ACL过滤，亦即应用该ACL后，也会导致内网无法PING通外网。

碰到种型号的迈普路由器，必须事先跟用户做好沟通工作，避免不必要的投诉。

（二）应用ACL：
【配置举例】
Interface fastethernet0
ip access-group 1002 in。

acl规则的配置命令-回复ACL（Access Control List）是一种网络安全性配置，用于控制网络设备的流量过滤和访问控制。

它可以根据不同的条件来限制特定的网络流量，并决定是否允许或拒绝该流量通过网络设备。

在本文中，我们将详细介绍如何配置ACL规则的命令。

配置ACL规则的命令可以在不同厂商的网络设备上有所不同。

本文将以思科（Cisco）网络设备为例，介绍如何配置ACL规则的命令。

首先，登录到思科网络设备的命令行界面。

这可以通过一个终端仿真软件（如TeraTerm、PuTTY等）连接到设备的控制台端口，或通过SSH远程连接到设备的IP地址来完成。

一旦成功登录到设备的命令行界面，可以使用以下命令来配置ACL规则：1. 创建一个命名的ACL：config tip access-list <ACL名称>这将进入全局配置模式，然后创建一个以指定名称命名的ACL。

该名称将用于区分不同的ACL规则。

2. 添加允许或拒绝的规则：permit deny <源地址> <源地址掩码> <目的地址> <目的地址掩码> <协议> <源端口> <目的端口>这个命令用于向ACL规则中添加一个允许或拒绝的规则。

可以根据需要指定源地址，目的地址，协议，源端口和目的端口。

例如，要允许从192.168.1.0/24网段访问到10.0.0.0/24网段的全部协议和端口，使用以下命令：permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255使用`deny`关键字可以创建一个拒绝规则，例如：deny tcp any host 10.0.0.1 eq 80这将拒绝所有源地址的TCP流量访问目标地址为10.0.0.1的80端口。

3. 应用ACL规则到接口：interface <接口名称>ip access-group <ACL名称> {in out}这个命令用于将ACL规则应用到指定接口。

acl控制策略ACL（Access Control List）控制策略是一种用于网络安全管理的技术手段，通过ACL可以对网络流量进行精细化的管理和控制。

它可以根据源IP地址、目的IP地址、协议类型、端口号等条件对网络流量进行过滤和限制，从而实现对网络资源的访问控制。

本文将围绕ACL控制策略展开讨论，分析其原理、应用场景以及优缺点。

一、ACL控制策略的原理ACL控制策略基于访问控制的概念，通过在网络设备上设置访问控制列表，对网络流量进行控制和过滤。

ACL可以按照一定的规则对数据包进行判断，决定是否允许通过。

ACL的判断依据可以包括源IP地址、目的IP地址、协议类型、端口号等信息。

当网络设备接收到一个数据包时，会依次检查ACL规则，如果满足某一条规则，则根据该规则的设置决定是否允许通过。

二、ACL控制策略的应用场景1. 限制网络访问：ACL可以根据IP地址对访问网络的主机进行限制，例如可以禁止某些特定IP地址的主机访问某些特定的网络资源，提高网络的安全性。

2. 限制协议访问：ACL可以根据协议类型对网络流量进行限制，例如可以禁止某些协议类型的流量通过，防止网络被恶意程序利用。

3. 限制端口访问：ACL可以根据端口号对流量进行限制，例如可以禁止某些特定端口号的流量通过，保护网络中的敏感服务。

4. 实现网络分段：ACL可以根据源IP地址和目的IP地址对网络流量进行分段，将不同的流量分别转发到不同的网络区域，提高网络的性能和安全性。

三、ACL控制策略的优缺点1. 优点：（1）灵活性高：ACL可以根据具体的需求对网络流量进行精细化的控制，满足不同场景下的安全需求。

（2）易于配置：ACL的配置相对简单，只需要设置一些规则和条件即可实现对网络流量的控制。

（3）提高网络性能：ACL可以对网络流量进行分段和限制，有效减少网络拥堵，提高网络的运行效率。

2. 缺点：（1）复杂性高：对于复杂的网络环境，配置ACL可能会相对复杂，需要考虑更多的规则和条件，容易出错。

ACL配置步骤范文ACL（Access Control List）是一种网络安全机制，用于控制网络设备上的流量。

在网络设备上配置ACL可以限制特定IP地址、网络流量类型或端口来控制网络访问权限，提高网络安全性。

下面是配置ACL的一般步骤：1.确定ACL策略的目的：在配置ACL之前，需要确定ACL的目的和需求。

例如，你可能想要限制访问一些特定的网络服务或者仅允许特定的IP地址访问网络设备。

2.创建ACL规则：根据设定的目的，创建适当的ACL规则。

ACL规则是根据源IP地址、目标IP地址、协议类型、端口号等条件来匹配和处理流量。

2.1 确定源地址和目标地址：确定需要限制的源IP地址和目标IP地址。

可以是单个IP地址、子网地址、IP地址范围，也可以是任意（any）或未知（unknown）。

2.2确定协议类型：确定需要限制的协议类型，例如TCP、UDP、ICMP 等。

2.3 确定端口号：如果要限制特定的服务或端口号，需要指定源端口和目标端口。

例如，如果希望限制对Web服务（80端口）的访问，则需要指定TCP协议和源端口80。

2.4确定动作：对于匹配到的ACL规则，需要确定应该执行的动作。

动作可以是允许通过、拒绝、转发、丢弃等。

2.5配置ACL规则：在设备上的配置界面或CLI（命令行界面）上，依次输入每个ACL规则，确保正确设置源地址、目标地址、协议类型、端口号和动作。

3.配置ACL应用范围：在设备上配置ACL的应用范围，以将ACL规则应用到特定的接口或者设备。

可以选择将ACL配置到输入接口、输出接口或者特定路由上。

3.1选择接口：选择需要应用ACL的接口，例如以太网接口、无线接口等。

3.2配置接口：在设备上的配置界面或CLI上为所选接口配置ACL。

根据设备类型和操作系统，配置方式可能会有所不同。

4.验证ACL配置：在完成ACL配置后，需要验证其是否起作用并达到预期的目的。

可以使用一些网络分析工具来验证ACL的配置效果。

ACL案例及说明技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。

如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。

A公司的某位可怜的网管目前就面临了一堆这样的问题。

A公司建设了一个企业网，并通过一台路由器接入到互联网。

在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。

分别是网络设备与网管(VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。

每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。

该网络的拓朴如下图所示：自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。

这些抱怨都找这位可怜的网管，搞得他头都大了。

那有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术――访问控制列表（下文简称ACL）。

那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。

禁止ping的原理禁止ping的原理是通过网络管理设备（如路由器、防火墙）的设置，来禁止或限制网络上的ping请求。

下面将详细解释禁止ping的原理。

首先，我们需要了解ping命令的工作原理。

ping是基于ICMP（Internet Control Message Protocol，互联网控制报文协议）的一种工具，用于检测网络连接的可达性和延迟。

当发送一条ping请求时，源主机会向目标主机发送一个ICMP Echo Request（回显请求）消息，目标主机收到后会返回一个ICMP Echo Reply （回显回复）消息。

如果源主机能收到回复消息，则说明网络连接正常。

禁止ping的原理主要有两种方式：禁止回显请求和阻止ICMP报文。

1. 禁止回显请求：通过设置网络设备，禁止回显请求是禁止ping的一种常见方式。

当设置禁止回显请求后，目标主机将不再响应来自源主机的ICMP Echo Request消息，从而实现禁止ping的效果。

在路由器或防火墙上，可以通过配置访问控制列表（ACL）或防火墙规则来禁止回显请求。

ACL是用于控制流经设备的数据包的列表，它可以包含允许或禁止特定类型的数据包通过的规则。

防火墙则根据配置的规则来检查和过滤通过网络设备的数据包。

在配置ACL或防火墙规则时，可以指定禁止ICMP协议的Echo Request消息通过设备。

这样一来，即使源主机发送了ping请求，目标主机也不会收到请求并返回回复消息。

2. 阻止ICMP报文：除了禁止回显请求外，还可以通过阻止ICMP报文的方式来达到禁止ping的目的。

ICMP协议包括很多类型的报文，其中包括Echo Request和Echo Reply 消息。

通过阻止ICMP报文，可以禁止ping以及其他与ICMP相关的功能。

阻止ICMP报文同样需要在路由器或防火墙上进行配置。

通常情况下，可以创建防火墙规则或ACL来限制或禁止ICMP报文的传输。

通过配置这些规则，可以根据报文的类型、源IP地址、目标IP地址等信息进行过滤和限制。

访问控制列表（ACL）实验报告1. 实验简介本实验旨在介绍访问控制列表（Access Control List，ACL）的基本概念和使用方法。

ACL是一种用于限制对网络资源访问的方式，通过配置规则表来控制网络流量的传输。

本实验将分为以下几个步骤进行。

2. 实验环境在进行实验前，我们需要准备以下环境：•一台已安装操作系统的计算机•网络设备（如路由器、交换机等）•网络拓扑图（可参考附录）3. 实验步骤步骤一：了解ACL的基本概念在开始配置ACL之前，我们需要了解ACL的基本概念。

ACL由一条或多条规则组成，每条规则定义了一种访问控制策略。

ACL可以基于源IP地址、目标IP地址、协议类型、端口号等信息进行过滤。

步骤二：创建ACL对象我们首先需要在网络设备上创建ACL对象。

打开命令行界面，输入以下命令来创建一个名为“ACL1”的ACL对象：config terminalip access-list extended ACL1步骤三：配置ACL规则接下来，我们可以通过添加ACL规则来实现访问控制。

假设我们要限制某个IP地址的访问权限，可以输入以下命令来添加ACL规则：permit ip 192.168.0.1 any上述命令表示允许IP地址为192.168.0.1的主机访问任何目标IP地址。

同样地，我们可以添加更多的规则来满足需求。

步骤四：将ACL应用到接口在配置完ACL规则后，我们需要将ACL应用到网络设备的接口上，以实现访问控制。

假设我们要将ACL1应用到接口GigabitEthernet0/1上，可以输入以下命令：interface GigabitEthernet0/1ip access-group ACL1 in上述命令中的“in”表示将ACL应用到入向流量上。

如果需要将ACL应用到出向流量上，可以使用“out”参数。

步骤五：验证ACL配置最后，我们需要验证ACL的配置是否生效。

可以通过发送测试流量来检查ACL 是否按照预期工作。