1. 路由器的acl怎麼配置
看是哪個廠商的
比較常見的有思科ACL和華三的路由器和三層交換有ACL
ACL中有標準的ACL,有擴展的,有基於時間的,有自反ACL,命名ACL,多得很,一般用標準的和擴展的就行了,要記住默認的策略是拒絕所有,這點非常重要
標準的ACL是基於源IP,擴展ACL基於源IP,目的IP,源埠,目的埠,功能比標準的要分得細些,
你可以去網路搜搜相關配置
這個需求是不能通過配置ACL實現的。ACL訪問控制列表是針對文件或者文件夾的訪問控制。你說的這個需求,需要在邊緣防火牆上實現。比如微軟的ISA,或者硬體防火牆。或者也可以有個替代性的方法,就是在銷售部的計算機上host文件裡面加 www.google.com的解析為一個不可用的IP。財務部的所有計算機的host文件裡面添加 www..com的不可用記錄。
3. 怎樣配置路由器的ACL命名訪問控制列表
1.配置標准命名ACL:其中name就是要配置ACL名稱,一般使用英文字母及數字組成
步驟一:配置標准命名ACL
Router(config)# ip access-list standard name
步驟二:在命名的ACL配置模式下輸入相應的語句
Router(config-std-nacl)# deny | permit source-ip-addres wildcard-mask [log]
步驟三:將ACL列表應用到相應介面的相應方向
Router(config-if)# IP access-group acl-name {in|out}
2.配置擴展命名ACL:其中name就是要配置ACL名稱,一般使用英文字母及數字組成
步驟一:配置擴展命名ACL
Router(config)# ip access-list extended name
步驟二:在命名的ACL配置模式下輸入相應的語句
Router(config-ext-nacl)# deny | permit protocol | protocol-keyword source-ip wildcard-mask destination-ip wildcard-mask [operator operand][established]
步驟三:將ACL列表應用到相應介面的相應方向
Router(config-if)# IP access-group acl-name {in|out}
4. 思科模擬中ACL怎麼配置
訪問控制列表簡稱為ACL,訪問控制列表使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址,目的地址,源埠,目的埠等,根據預先定 義好的規則對包進行過濾,從而達到訪問控制的目的。該技術初期僅在路由器上支持,近些年來已經擴展到三層交換機,部分最新的二層交換機也開始提供ACL的 支持了。
訪問控制列表的原理:
1、對路由器介面來說有兩個方向:
入:已經到達路由器介面的數據包,但是還沒有被路由器處理。
出:已經 經過路由器的處理,正要離開路由器介面的數據包
2、匹配順序為:"自上而下,依次匹配"。默認為拒絕
3、訪問控制列表的類型:
標准訪問控制列表:一般應用在out出站介面。建議配置在離目標端最近的路由上
擴展訪問控制列表:配置在離源端最近的路由上,一般應用在入站in方向
命名訪問控制列表:允許在標准和擴展訪問列表中使用名稱代替表號
4、訪問控制列表使用原則
(1)、最小特權原則
只給受控對象完成任務所必須的最小的許可權。也就是說被控制的總規則是各個規則的交集,只滿足部分條件的是不容許通過規則的。
(2)、默認丟棄原則
在CISCO路由交換設備中默認最後一句為ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數據包。這一點要特別注意,雖然我們可以修改這個默認,但未改前一定要引起重視。
(3)、最靠近受控對象原則
所有的網路層訪問許可權控制。也就是說在檢查規則時是採用自上而下在ACL中一條條檢測的,只要發現符合條件了就立刻轉發,而不繼續檢測下面的ACL語句。
由於ACL是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分信息,這種技術具有一些固有的局限性,如無法識別到具體的人,無法 識別到應用內部的許可權級別等。因此,要達到端到端的許可權控制目的,需要和系統級及應用級的訪問許可權控制結合使用。
5. 怎樣配置ACL
Router(config)# ip access-list extended 列表名字
再進入這個ACL列表進行設置
6. CISCO交換機ACL配置方法
router#conf
t
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
any
router(config-acl)#ip
access-list
extend
V3
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any
router(config-acl)#interface
vlan1
router(config-inf)#ip
access-group
V1
in
router(config-inf)#interface
vlan3
router(config-inf)#ip
access-group
V3
in
以上配置效果:VLAN1隻能訪問192.167.0.2和.3這兩個地址,其他地址均無法訪問;VLAN3能訪問除192.168.1.0/24這個網段外所有地址(0.2和0.3兩個地址可以訪問192.168.1.0/24這個網段)。
如果要使VLAN1能夠訪問其他地址V1就這樣定義:
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any
7. 關於ACL配置(華為)
ACL匹配:
預設情況下,系統按照ACL規則編號從小到大的順序進行報文匹配,規則編號越小越容易被匹配。
報文與ACL規則匹配後,會產生兩種匹配結果:「匹配」和「不匹配」。
匹配(命中規則):指存在ACL,且在ACL中查找到了符合匹配條件的規則。不論匹配的動作是「permit」還是「deny」,都稱為「匹配」,而不是只是匹配上permit規則才算「匹配」。
匹配上permit:允許
匹配上deny:拒絕
無論報文匹配ACL的結果是「不匹配」、「允許」還是「拒絕」,該報文最終是被允許通過還是拒絕通過,實際是由應用ACL的各個業務模塊來決定的。不同的業務模塊,對命中和未命中規則報文的處理方式也各不相同。
不匹配(未命中規則):指不存在ACL,或ACL中無規則,再或者在ACL中遍歷了所有規則都沒有找到符合匹配條件的規則。切記以上三種情況,都叫做「不匹配」。
(7)acl的配置方法有什麼擴展閱讀:
ACL基本原理:
ACL,是Access Control List的簡稱,中文名稱叫「訪問控制列表」。
ACL由一系列規則(即描述報文匹配條件的判斷語句)組成。這些條件,可以是報文的源地址、目的地址、埠號等。
打個比方,ACL其實是一種報文過濾器,ACL規則就是過濾器的濾芯。安裝什麼樣的濾芯(即根據報文特徵配置相應的ACL規則),ACL就能過濾出什麼樣的報文。
基於過濾出的報文,我們能夠做到阻塞攻擊報文、為不同類報文流提供差分服務、對Telnet登錄/FTP文件下載進行控制等等,從而提高網路環境的安全性和網路傳輸的可靠性。
8. h3c如何配置acl命令
基本ACL配置(2000-2999)
1.進入2000號的基本訪問控制列表視圖
[H3C-GigabitEthernet1/0/1] acl number 2000
2.定義訪問規則過濾10.1.1.2主機發出的報文
[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei
3.在介面上應用2000號ACL
[H3C-acl-basic-2000] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000
[H3C-GigabitEthernet1/0/1] quit
高級ACL配置(3000-3999)
1.進入3000號的高級訪問控制列表視圖
[H3C] acl number 3000
2.定義訪問規則禁止源10.1.2.0與源10.1.1.0之間互訪
[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3.定義訪問規則禁止 在上班時間8:00至18:00訪問工資查詢伺服器(129.110.1.2)
[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei
[H3C-acl-adv-3000] quit
4.在介面上用3000號ACL
[H3C-acl-adv-3000] interface GigabitEthernet1/0/2
[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000
二層ACL配置(4000-4999)
1.進入4000號的二層訪問控制列表視圖
[H3C] acl number 4000
2.定義訪問規則過濾源MAC為00e0-fc01-0101的報文
[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei
3.在介面上應用4000號ACL
[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4
[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 4000
9. 如何配置Cisco路由器ACL訪問控制列的實際案例
第一階段實驗:配置實驗環境,網路能正常通信
R1的配置:
復制代碼
代碼如下:
R1>en
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip addr 10.0.0.1 255.255.255.252R1(config-if)#no shut
R1(config-if)#int loopback 0
R1(config-if)#ip addr 123.0.1.1 255.255.255.0R1(config-if)#int loopback 1
R1(config-if)#ip addr 1.1.1.1 255.255.255.255R1(config-if)#exit
R1(config)#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1(config)#username benet password testR1(config)#line vty 0 4
R1(config-line)#login local
SW1的配置:
復制代碼
代碼如下:
SW1>en
SW1#vlan data
SW1(vlan)#vlan 2
SW1(vlan)#vlan 3
SW1(vlan)#vlan 4
SW1(vlan)#vlan 100
SW1(vlan)#exit
SW1#conf t
SW1(config)#int f0/1
SW1(config-if)#no switchport
SW1(config-if)#ip addr 10.0.0.2 255.255.255.252SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1(config)#int range f0/14 - 15
SW1(config-if-range)#switchport
trunk encapsulation dot1qSW1(config-if-range)#switchport mode
trunkSW1(config-if-range)#no shut
SW1(config-if-range)#exit
SW1(config)#int vlan 2
SW1(config-if)#ip addr 192.168.2.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 3
SW1(config-if)#ip addr 192.168.3.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 4
SW1(config-if)#ip addr 192.168.4.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 100
SW1(config-if)#ip addr 192.168.100.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip routing
SW1(config)#int vlan 1
SW1(config-if)#ip addr 192.168.0.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#username benet password testSW1(config)#line vty 0 4
SW1(config-line)#login local
SW2的配置:
復制代碼
代碼如下:
SW2>en
SW2#vlan data
SW2(vlan)#vlan 2
SW2(vlan)#vlan 3
SW2(vlan)#vlan 4
SW2(vlan)#exit
SW2#conf t
SW2(config)#int f0/15
SW2(config-if)#switchport mode trunk
SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#int f0/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 2SW2(config-if)#no shut
SW2(config-if)#int f0/2
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 3SW2(config-if)#no shut
SW2(config-if)#int f0/3
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 4SW2(config-if)#no shut
SW2(config-if)#int vlan 1
SW2(config-if)#ip addr 192.168.0.2 255.255.255.0SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#ip default-gateway 192.168.0.1SW2(config)#no ip routing
SW2(config)#username benet password testSW2(config)#line vty 0 4
SW2(config-line)#login local
SW3的配置:
復制代碼
代碼如下:
SW3>en
SW3#vlan data
SW3(vlan)#vlan 100
SW3(vlan)#exit
SW3#conf t
SW3(config)#int f0/15
SW3(config-if)#switchport mode trunk
SW3(config-if)#no shut
SW3(config-if)#int f0/1
SW3(config-if)#switchport mode access
SW3(config-if)#switchport access vlan 100SW3(config-if)#no shut
SW3(config-if)#int vlan 1
SW3(config-if)#ip addr 192.168.0.3 255.255.255.0SW3(config-if)#no shut
SW3(config-if)#exit
SW3(config)#ip default-gateway 192.168.0.1SW3(config)#no ip routing
SW3(config)#username benet password testSW3(config)#line vty 0 4
SW3(config-line)#login local
網路管理區主機PC1(這里用路由器模擬)
復制代碼
代碼如下:
R5>en
R5#conf t
R5(config)#int f0/0
R5(config-if)#ip addr 192.168.2.2 255.255.255.0R5(config-if)#no shut
R5(config-if)#exit
R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
財務部主機PC2配置IP:
IP地址:192.168.3.2 網關:192.168.3.1
信息安全員主機PC3配置IP:
IP地址:192.168.4.2 網關:192.168.4.1
伺服器主機配置IP:
IP地址:192.168.100.2 網關:192.168.100.1第一階段實驗驗證測試:
所有部門之間的主機均能互相通信並能訪問伺服器和外網(測試方法:用PING命令)
在所有主機上均能遠程管理路由器和所有交換機。(在PC主機上用telnet命令)
第二階段實驗:配置ACL實現公司要求
1、只有網路管理區的主機才能遠程管理路由器和交換機R1的配置:
復制代碼
代碼如下:
R1#conf t
R1(config)#access-list 1 permit 192.168.2.0 0.0.0.255R1(config)#line vty 0 4
R1(config-line)#access-class 1 in
SW1的配置
復制代碼
代碼如下:
SW1#conf t
SW1(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW1(config)#line vty 0 4
SW1(config-line)#access-class 1 in
SW2的配置
復制代碼
代碼如下:
SW2#conf t
SW2(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW2(config)#line vty 0 4
SW2(config-line)#access-class 1 in
SW3的配置
復制代碼
代碼如下:
SW3#conf t
SW3(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW3(config)#line vty 0 4
SW3(config-line)#access-class 1 in
驗證:在PC1可以遠程TELNET管理路由器和交換機,但在其他主機則被拒絕telnet
2、內網主機都可以訪問伺服器,但是只有網路管理員才能通過telnet、ssh和遠程桌面登錄伺服器,外網只能訪問伺服器80埠。
在SW1三層交換機上配置擴展ACL
3、192.168.3.0/24網段主機可以訪問伺服器,可以訪問網路管理員網段,但不能訪問其他部門網段,也不能訪問外網。
在SW1三層交換機上配置擴展ACL
4、192.168.4.0/24網段主機可以訪問伺服器,可以訪問管理員網段,但不能訪問其他部門網段,可以訪問外網。
在SW1三層交換機上配置擴展ACL
以上就是通過實際案例來告訴大家如何配置Cisco路由器ACL訪問控制列
10. acl如何配置
ACI配置不容易,建議打本書先看一下