標准ACL配置
提問:如何只允許埠下的用戶只能訪問特定的伺服器網段?
回答:
步驟一:定義ACL
S5750#conf t ----進入全局配置模式
S5750(config)#ip access-list standard 1 ----定義標准ACL
S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255
----允許訪問伺服器資源
S5750(config-std-nacl)#deny any ----拒絕訪問其他任何資源
S5750(config-std-nacl)#exit ----退出標准ACL配置模式
步驟二:將ACL應用到介面上
S5750(config)#interface GigabitEthernet 0/1 ----進入所需應用的埠
S5750(config-if)#ip access-group 1 in ----將標准ACL應用到埠in方向
注釋:
1. S1900系列、S20系列交換機不支持基於硬體的ACL。
2. 實際配置時需注意,在交換機每個ACL末尾都隱含著一條「拒絕所有數據流」的語句。
3. 以上所有配置,均以銳捷網路S5750-24GT/12SFP 軟體版本10.2(2)為例。
其他說明,其詳見各產品的配置手冊《訪問控制列表配置》一節。
『貳』 華為交換機,怎麼在三層介面上應用ACL
acl
number
3000
rule
1
deny
ip
source
192.168.10.0
0.0.0.7
destination
192.168.10.0
0.0.0.7
rule
2
permit
ip
其實上面這個規則會使192.168.10.0-192.168.10.7之間都不能訪問
如果嚴格只需要1-4
不能訪問的話需要就配16個規則一一對應
acl
number
3000
rule
1
deny
ip
source
192.168.10.1
0.0.0.0
destination
192.168.10.2
0.0.0.0
rule
2
deny
ip
source
192.168.10.1
0.0.0.0
destination
192.168.10.3
0.0.0.0
rule
3
deny
ip
source
192.168.10.1
0.0.0.0
destination
192.168.10.4
0.0.0.0
rule
4
deny
ip
source
192.168.10.2
0.0.0.0
destination
192.168.10.1
0.0.0.0
……
rule
20
permit
ip
『叄』 思科模擬中ACL怎麼配置
訪問控制列表簡稱為ACL,訪問控制列表使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址,目的地址,源埠,目的埠等,根據預先定 義好的規則對包進行過濾,從而達到訪問控制的目的。該技術初期僅在路由器上支持,近些年來已經擴展到三層交換機,部分最新的二層交換機也開始提供ACL的 支持了。
訪問控制列表的原理:
1、對路由器介面來說有兩個方向:
入:已經到達路由器介面的數據包,但是還沒有被路由器處理。
出:已經 經過路由器的處理,正要離開路由器介面的數據包
2、匹配順序為:"自上而下,依次匹配"。默認為拒絕
3、訪問控制列表的類型:
標准訪問控制列表:一般應用在out出站介面。建議配置在離目標端最近的路由上
擴展訪問控制列表:配置在離源端最近的路由上,一般應用在入站in方向
命名訪問控制列表:允許在標准和擴展訪問列表中使用名稱代替表號
4、訪問控制列表使用原則
(1)、最小特權原則
只給受控對象完成任務所必須的最小的許可權。也就是說被控制的總規則是各個規則的交集,只滿足部分條件的是不容許通過規則的。
(2)、默認丟棄原則
在CISCO路由交換設備中默認最後一句為ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數據包。這一點要特別注意,雖然我們可以修改這個默認,但未改前一定要引起重視。
(3)、最靠近受控對象原則
所有的網路層訪問許可權控制。也就是說在檢查規則時是採用自上而下在ACL中一條條檢測的,只要發現符合條件了就立刻轉發,而不繼續檢測下面的ACL語句。
由於ACL是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分信息,這種技術具有一些固有的局限性,如無法識別到具體的人,無法 識別到應用內部的許可權級別等。因此,要達到端到端的許可權控制目的,需要和系統級及應用級的訪問許可權控制結合使用。
『肆』 華為S9312,建立的ACL怎麼引用到埠上
S93框式目前的 ACl應用介面下需要引用traffic policyacl 被流分類traffic classifier 引用, 流行為 traffic behaviortraffic policy 里綁定 流分類和流行為,這樣即可將建立的ACL引用到埠上。
ACL 即為訪問控制列表。訪問控制列表(Access Control List,ACL) 是路由器和交換機介面的指令列表,用來控制埠進出的數據包。ACL適用於所有的被路由協議,如IP、IPX、AppleTalk等。
『伍』 3560g 介面配置acl
如果網路中有多個路由器,在配置訪問控制列表時,首先,我們需要考慮在哪一台路由器上
配置:其次,應用到介面時,我們需要選擇將此訪問控制列表應用到哪個物理埠,選擇好 了埠就能夠決定應用該ACL的埠方向 對於標准ACL,由於它只能過濾源IP,為了不影響源主機的通信,一般我們將標准ACL放 在離目的端比較近的地方 擴展ACL可以精確的定位某一類的數據流,為了不讓無用的流量占據網路帶寬,一般我們將 擴展ACL放在離源端比較近的地方。
『陸』 將ACL應用到路由器的介面,其中的in 和 out是怎麼定義的
showlink,還是我理解錯了。圖畫的很清楚,可是下面的描述是不是說錯了?那個圖中in有3個,是不是用in的ACL可以控制三個網段,而圖中out對應的ACL是不是應該控制一個網段?不明白,望指教。
『柒』 h3c如何配置acl命令
基本ACL配置(2000-2999)
1.進入2000號的基本訪問控制列表視圖
[H3C-GigabitEthernet1/0/1] acl number 2000
2.定義訪問規則過濾10.1.1.2主機發出的報文
[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei
3.在介面上應用2000號ACL
[H3C-acl-basic-2000] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000
[H3C-GigabitEthernet1/0/1] quit
高級ACL配置(3000-3999)
1.進入3000號的高級訪問控制列表視圖
[H3C] acl number 3000
2.定義訪問規則禁止源10.1.2.0與源10.1.1.0之間互訪
[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3.定義訪問規則禁止 在上班時間8:00至18:00訪問工資查詢伺服器(129.110.1.2)
[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei
[H3C-acl-adv-3000] quit
4.在介面上用3000號ACL
[H3C-acl-adv-3000] interface GigabitEthernet1/0/2
[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000
二層ACL配置(4000-4999)
1.進入4000號的二層訪問控制列表視圖
[H3C] acl number 4000
2.定義訪問規則過濾源MAC為00e0-fc01-0101的報文
[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei
3.在介面上應用4000號ACL
[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4
[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 4000
『捌』 如何設置訪問控制列表如何在網關路由器的內部介面上應用acl最好分步驟,一定需要路由器嗎
訪問控制列表acl只有在專業的智能交換機或路由器上才能配置,不同廠家品牌的產品配置方法是不同的,要根據具體設備來進行配置。
一般的配置方法是先編寫acl規則,然後把它應用到指定的埠上去。
一般的的小路由器是不能配置的。
『玖』 acl如何運用在介面
華為的交換機為 packet fillter +acl+方向
中興思科的為access list +acl+方向