当前位置: 首页 > news >正文

ACL访问控制列表

news 2025/8/5 14:07:32

ACL:访问控制列表

  1. 在路由器流量进或出接口上,匹配流量产生动作-- 允许 拒绝 (访问限制)
  2. 定义感兴趣流量--- 匹配流量后,将流量提交给其他的协议进行策略

匹配规则:

至上而下逐一匹配,上条匹配按上条执行,不再查看下条;

在思科系设备中,表格末尾含义一条拒绝所有的规则;

在华为系设备中,表格末尾含义一条允许所有的规则;

分类:

  1. 标准ACL --- 仅关注数据包中的源ip地址;
  2. 扩展ACL ---  关注数据包中的源、目标ip地址,同时可以再关注协议号或目标端口号

配置命令:

【1】标准ACL --- 由于其仅关注数据包中源ip地址,因此到调用时应该尽量的靠近目标,避免误删除流量;

[r2]acl 2000  创建ACL列表2000   2000-2999为标准ACL,一个编号为一张大表   

[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

[r2-acl-basic-2000]rule  permit source  192.168.3.0 0.0.0.255

[r2-acl-basic-2000]rule  deny source  any

在编辑具体时,使用通配符进行匹配;通配符和OSPF的反掩码匹配规则一致,但区别在于通配符支持0和1混编

[r2]display  acl 2000

编写时,协议自动以5为步调添加序列号,便于删除和插入;

[r2-acl-basic-2000]rule 7 permit source 192.168.2.0 0.0.0.255  使用序列号插入

[r2-acl-basic-2000]undo rule 7    删除

只有到ACL被调用后,方可工作,在路由器的流量进或出接口调用;一个接口的一个方向上只能调用一张表

[r2]interface g0/0/1

[r2-GigabitEthernet0/0/1]traffic-filter ? 调用时,一定注意方向

  inbound   Apply ACL to the inbound direction of the interface

  outbound  Apply ACL to the outbound direction of the interface

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

【2】扩展ACL -- 由于扩展acl精确匹配目标和源,故调用时尽量靠近源

  1. 仅针对源、目标ip地址

[r1]acl 3000  编号3000-3999为扩展列表

[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

[r1-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[r1-acl-adv-3000]rule deny ip source  192.168.1.3 0.0.0.0 destination  any

                    协议      源ip地址             目标ip地址

无论源还是目标ip地址的部分,均可使用通配符匹配一个ip或一个范围或any;                 

[r1]interface g0/0/0

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

  1. 针对源、目标ip地址,加目标端口号

目标端口号用于对应具体的服务协议,比如我访问http服务器时,目标ip地址为该服务器ip,传输基于TCP,目标端口为80号;在访问该服务器时,若目标端口修改为21,那么实际该访问该服务器FTP服务;---访问相同目标ip地址,但不同的目标端口,实际在访问不同的服务了

[r1-acl-adv-3002]rule  deny  tcp source 192.168.1.4 0 destination 192.168.1.1 0 destination-port eq 23

                   协议    源ip       目标ip           目标端口号

限制源ip地址192.168.1.4对目标ip地址192.168.1.1,同时传输层协议为tcp,且目标端口号为23的流量;

[r1-acl-adv-3003]rule deny icmp source  192.168.1.4 0 destination 192.168.1.1 0

限制源ip地址192.168.1.4,对目标ip地址192.168.1.1的icmp访问--限制ping

Telnet 远程登录:用于终端设备远程登录网络设备,在线进行配置和管理;

Telnet 服务基于TCP23号端口工作;也就是说在访问目标ip地址时,若传输层使用tcp,且目标端口号23,那么便是在进行telnet登录

开启网络设备的远程登录:

  1. 登录与被登录设备ip可达
  2. 被登录设备设置了登录的账号秘钥

[r1]aaa    进入aaa服务,该服务用于管理账号信息  

[r1-aaa]local-user panxi privilege level 15 password cipher 123456

                账号            权限                 秘钥

[r1-aaa]local-user panxi service-type telnet   定义账号功能

[r1-aaa]q

[r1]user-interface vty 0 4  再在VTY(远程登录虚拟接口)上调用aaa服务

[r1-ui-vty0-4]authentication-mode aaa

<r2>telnet 192.168.1.1

http://www.lryc.cn/news/283889.html

相关文章:

  • sqli-labs关卡25(基于get提交的过滤and和or的联合注入)
  • 机器学习周刊第六期:哈佛大学机器学习课、Chatbot Ul 2.0 、LangChain v0.1.0、Mixtral 8x7B
  • 【算法与数据结构】Java实现查找与排序
  • 边缘计算的挑战和机遇(结合RDH-EI)
  • 详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp
  • 【图论】树的直径
  • 制作一个Python聊天机器人
  • docker 使用 vcs/2018 Verdi等 eda 软件
  • Git教程学习:01 Git简介与安装
  • 写操作系统之开发加载器
  • openlayers [九] 地图覆盖物overlay三种常用用法 popup弹窗,marker标注,text文本
  • rabbitmq-java基础详解
  • openssl3.2 - 官方demo学习 - smime - smsign.c
  • Klocwork—符合功能安全要求的自动化静态测试工具
  • 运筹说 第56期 | 整数规划的数学模型割平面法
  • vue中内置指令v-model的作用和常见使用方法介绍以及在自定义组件上支持
  • 大模型推理引擎面试复习大纲
  • 网络安全 | 苹果承认 GPU 安全漏洞存在,iPhone 12、M2 MacBook Air 等受影响
  • C++ 数论相关题目(约数)
  • freeswitch on centos dockerfile模式
  • Hologres + Flink 流式湖仓建设
  • Linux粘滞位的理解,什么是粘滞位?
  • Stable Diffusion的结构要被淘汰了吗?详细解读谷歌最新大杀器VideoPoet
  • 深度学习与大数据推动下的自然语言处理革命
  • 产品经理必备之最强管理项目过程工具----禅道
  • 美易官方:贝莱德预计美联储将在6月份开始降息,欧洲央行紧随其后
  • 视觉检测系统:工厂生产零部件的智能检测
  • Spring事务的四大特性+事务的传播机制+隔离机制
  • 基于arcgis js api 4.x开发点聚合效果
  • 什么是DDOS高防ip?DDOS高防ip是怎么防护攻击的