ACL 基本原理与实验

简介: ACL 基本原理与实验

一,ACL  产生前景

基于vlan 分割广播域,可以提高安全性,但是三层交换与单臂路由,让不同vlan下的计算机也可以互相访问,需要一个新的技术工具

二,实现办法

在路由器,新建一个ACL表,通过ip地址精确控制流量  (允许,或者拒绝某一段流量)

三,ACL组成

四,ACL分类

基本ACL编号2000到2999

只能限制源ip地址      (某一个ip或者网段)

高级ACL编号:3000到3999    (用的最多)

可以控制源、目的IP,源、目的端口、协议号匹配数据

二层ACL

可以控制MAC、VLAN-id、802.1q

五,ACL(访问控制列表)的应用原则

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

六,匹配规则

1、一个接口的同一个方向,只能调用一个acl

2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行

3、数据包一旦被某rule匹配,就不再继续向下匹配

              2,3举例

  rule 1 deny source 192.168.12.1   0.0.0.255

   rule 2 permi source 192.168.12.1   0.0.0.0.0

比如  192.168.12.1   先匹配rule1  就立即执行

所以在设置rule的时候,最好把范围小的放在前面

七,在接口下调用acl 分为两个方向

inbound方向--------当接口收到数据包时执行ACL

outbound方向-------当设备从特定接口向外发送数据时执行ACL

八,通配符掩码    子网掩码   反掩码

(一)子网掩码

: 连续的1 代表网络位

255.255.255.0

11111111.11111111.11111111.00000000

(二)反掩码

: 连续的0  代表网络位

00000000.00000000.00000000.11111111

(三)通配符掩码

可以 0,1 穿插    0代表不可变   1代表可变

例题1

解答:0.0.0.0 就是都不能变  A匹配上了

          0.255.0.0   =====0. 1111   1111   .0  .0   就是标红部分可以任意变化  匹配D

例题2,  

看下面哪个ip是匹配的

解答:0.0.254.255  就是前两位不变  ,最后一位随便变,这边排除不掉

          254  变成二进制就是 1111  11110     就是这8个二进制最后一位不能变

           把10.1.11.0   中的11 也换成二进制  就是  0000  1010

           就是 0000  1010   前7个可以任意变化,最后一位0  不能动,2^0是1,

           所以 10.1.11.0   这个11 可以是任意奇数

            此题答案ACD

例题3

上述ip的通配符

十进制最后一个有变化,所以通配符前三位肯定是0.0.0.X

1  转2进制是 0000 0001

63 转2进制是 0011  1111    

可以发现8位  2进制数中,前两位不变,后6位可变   因此通配符是0011 111111  转十进制63

答案是  0.0.0.63

九,ACL  演练

(一)基本ACL  演练

1,搭建实验环境,目前主机A,B都可以访问服务器C

要求: 过滤掉主机A访问服务器C   www流量

2,acl 2000   新建一个序号为2000的基本acl

3,rule 5(可以不写,这是编号)  deny  / permi     source    网段或者ip地址   通配符掩码

注意  

序号可以不写,默认为5,10 ,15 :::::::::::: 逐渐加5    方便加新的rule

4,dis th 查看  

5,此时还是能ping通的,因为要把ACL表放到接口里才会生效。要放在AR1 的  g1口   而不是g0口。因为

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

如果放在g0 口,那他连服务器D也访问不了了,基本ACL只是粗糙的流量过滤

命令:进接口1   traffic-filter outbound acl 2000

                           流量 匹配    出口       启用 ACL2000表 里面的规则

6,此时主机A  只能ping服务器D,不能ping服务器C

(二)高级ACL  演练

1,还是基于上述环境,服务器启用http/80  和ftp21

2,此时主机A 可以访问服务器 http/80    即上网   ftp/21 即传输文件

3,acl 3000   新建一个序号为3000的高级acl

4,rule deny tcp source 192.168.1.1 0  destination 192.168.2.1 0 destination-port eq 80

               http基于tcp                            目的                                           端口         等于

不让192.168.1.1  去访问192.168.2.1 的tcp 80 端口 (www  web 服务)

5,应用到端口g0 口

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

进 接口g0      traffic-filter inbound acl 2000

6,此时主机A 不可以访问服务器 http/80    即上网           可以ftp/21 即传输文件

相关文章
|
7月前
|
网络协议 网络架构
NAT 原理与实验操作
NAT 原理与实验操作
|
7月前
|
消息中间件 网络协议 网络架构
3. BGP 实验(一):基础实验
3. BGP 实验(一):基础实验
输入子系统一(输入子系统工作原理)
输入子系统一(输入子系统工作原理)
75 0
|
7月前
|
自然语言处理 JavaScript 前端开发
|
数据安全/隐私保护 网络架构
基础和高级的ACL的基础配置和原理
基础和高级的ACL的基础配置和原理
95 0
|
数据安全/隐私保护
acl简单实验配置
acl简单实验配置
131 0
|
数据安全/隐私保护
基础和高级的ACL的基础配置和原理2
基础和高级的ACL的基础配置和原理2
64 0
|
网络协议 Shell 网络安全
防火墙原理讲解——练习实验
防火墙原理讲解——练习实验
131 0
防火墙原理讲解——练习实验
|
网络协议 网络虚拟化 网络架构
路由与交换系列高级IP ACL特性与配置实验
• 掌握高级 IP ACL的原理 • 掌握ACL在企业网络中的应用 • 掌握高级IP ACL的配置方式 • 掌握高级IP ACL的验证效果
335 1
|
网络协议 网络虚拟化 网络架构
路由与交换系列高级IP ACL特性与配置实验二
• 掌握高级 IP ACL的原理 • 掌握ACL在企业网络中的应用 • 掌握高级IP ACL的配置方式 • 掌握高级IP ACL的验证效果
236 1