zoukankan      html  css  js  c++  java
  • 【计算机网络】【ACL访问控制列表】

    一、ACL介绍

      ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。

      根据不同的划分规则,ACL可以有不同的分类。最常见的三种分类是基本ACL、高级ACL和二层ACL。

    1. 基本ACL可以使用报文的源IP地址、分片标记和时间段信息来匹配报文,其编号取值范围是2000-2999。
    2. 高级ACL可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则,其编号取值范围是3000-3999。
    3. 二层ACL可以使用源/目的MAC地址以及二层协议类型等二层信息来匹配报文,其编号取值范围是4000-4999。

    二、拓扑图

    三、链路配置

      首先先给各个接口配置如图标注的ip address

      然后先使用ospf连通各个路由器、PC和服务器

      验证确保设备之间都能通信

    四、基本ACL配置

    acl [ number ] 命令用来创建一个ACL,并进入ACL视图。

    rule [ rule-id ] { deny | permit }  source { source-address source-wildcard | any } 命令用来增加或修改ACL的规则。deny用来指定拒绝符合条件的数据包,permit用来指定允许符合条件的数据包,source用来指定ACL规则匹配报文的源地址信息,any表示任意源地址。

    traffic-filter { inbound | outbound }aclacl-number }命令用来在接口上配置基于ACL对报文进行过滤。

    AR1:

    1 acl number 200
    2 rul 5 deny source 10.1.12.0 0.0.0.255
    3 int g0/0/0
    4 traffic-filter inbound acl 2000
    View Code

    配置之后可以过滤 AR1 从 GE 0/0/0 口进入的报文,再使用 AR2 ping AR3 即会显示 Request time out,但是 AR3 依然可以 ping 通 AR2。

    五、高级ACL配置

    基本ACL可以依据源IP地址进行报文过滤,而高级ACL能够依据源/目的IP地址、源/目的端口号、网络层及传输层协议以及IP流量分类和TCP标记值等各种参数(SYN|ACK|FIN等)进行报文过滤。

    AR1:

    acl 3001
    rule 5 deny tcp source 192.168.1.1 0 destination 8.8.8.8 0 
    destination-port eq ftp
    int g0/0/0
    traffic-filter outbound acl 3001
    View Code

    该命令限制了源地址 192.168.1.1 0 到目的地址  8.8.8.8 0 之家传递的所有ftp报文

  • 相关阅读:
    算法之冒泡排序(Java语言)
    算法之水仙花数(Java语言)
    md5加密解析
    Java项目中环境变量的问题
    外行码农进阶学习指导思想
    初识TCP
    const修饰符总结
    网格计算的三种体系结构概述
    虚函数的实现
    网络计算概述
  • 原文地址:https://www.cnblogs.com/biqianxiang/p/14979048.html
Copyright © 2011-2022 走看看