1. 路由器的acl怎么配置
看是哪个厂商的
比较常见的有思科ACL和华三的路由器和三层交换有ACL
ACL中有标准的ACL,有扩展的,有基于时间的,有自反ACL,命名ACL,多得很,一般用标准的和扩展的就行了,要记住默认的策略是拒绝所有,这点非常重要
标准的ACL是基于源IP,扩展ACL基于源IP,目的IP,源端口,目的端口,功能比标准的要分得细些,
你可以去网络搜搜相关配置
这个需求是不能通过配置ACL实现的。ACL访问控制列表是针对文件或者文件夹的访问控制。你说的这个需求,需要在边缘防火墙上实现。比如微软的ISA,或者硬件防火墙。或者也可以有个替代性的方法,就是在销售部的计算机上host文件里面加 www.google.com的解析为一个不可用的IP。财务部的所有计算机的host文件里面添加 www..com的不可用记录。
3. 怎样配置路由器的ACL命名访问控制列表
1.配置标准命名ACL:其中name就是要配置ACL名称,一般使用英文字母及数字组成
步骤一:配置标准命名ACL
Router(config)# ip access-list standard name
步骤二:在命名的ACL配置模式下输入相应的语句
Router(config-std-nacl)# deny | permit source-ip-addres wildcard-mask [log]
步骤三:将ACL列表应用到相应接口的相应方向
Router(config-if)# IP access-group acl-name {in|out}
2.配置扩展命名ACL:其中name就是要配置ACL名称,一般使用英文字母及数字组成
步骤一:配置扩展命名ACL
Router(config)# ip access-list extended name
步骤二:在命名的ACL配置模式下输入相应的语句
Router(config-ext-nacl)# deny | permit protocol | protocol-keyword source-ip wildcard-mask destination-ip wildcard-mask [operator operand][established]
步骤三:将ACL列表应用到相应接口的相应方向
Router(config-if)# IP access-group acl-name {in|out}
4. 思科模拟中ACL怎么配置
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。
访问控制列表的原理:
1、对路由器接口来说有两个方向:
入:已经到达路由器接口的数据包,但是还没有被路由器处理。
出:已经 经过路由器的处理,正要离开路由器接口的数据包
2、匹配顺序为:"自上而下,依次匹配"。默认为拒绝
3、访问控制列表的类型:
标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上
扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向
命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号
4、访问控制列表使用原则
(1)、最小特权原则
只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
(2)、默认丢弃原则
在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
(3)、最靠近受控对象原则
所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法 识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
5. 怎样配置ACL
Router(config)# ip access-list extended 列表名字
再进入这个ACL列表进行设置
6. CISCO交换机ACL配置方法
router#conf
t
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
any
router(config-acl)#ip
access-list
extend
V3
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any
router(config-acl)#interface
vlan1
router(config-inf)#ip
access-group
V1
in
router(config-inf)#interface
vlan3
router(config-inf)#ip
access-group
V3
in
以上配置效果:VLAN1只能访问192.167.0.2和.3这两个地址,其他地址均无法访问;VLAN3能访问除192.168.1.0/24这个网段外所有地址(0.2和0.3两个地址可以访问192.168.1.0/24这个网段)。
如果要使VLAN1能够访问其他地址V1就这样定义:
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any
7. 关于ACL配置(华为)
ACL匹配:
缺省情况下,系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。
报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。
匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。
匹配上permit:允许
匹配上deny:拒绝
无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。
不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。切记以上三种情况,都叫做“不匹配”。
(7)acl的配置方法有什么扩展阅读:
ACL基本原理:
ACL,是Access Control List的简称,中文名称叫“访问控制列表”。
ACL由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件,可以是报文的源地址、目的地址、端口号等。
打个比方,ACL其实是一种报文过滤器,ACL规则就是过滤器的滤芯。安装什么样的滤芯(即根据报文特征配置相应的ACL规则),ACL就能过滤出什么样的报文。
基于过滤出的报文,我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等等,从而提高网络环境的安全性和网络传输的可靠性。
8. h3c如何配置acl命令
基本ACL配置(2000-2999)
1.进入2000号的基本访问控制列表视图
[H3C-GigabitEthernet1/0/1] acl number 2000
2.定义访问规则过滤10.1.1.2主机发出的报文
[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei
3.在接口上应用2000号ACL
[H3C-acl-basic-2000] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000
[H3C-GigabitEthernet1/0/1] quit
高级ACL配置(3000-3999)
1.进入3000号的高级访问控制列表视图
[H3C] acl number 3000
2.定义访问规则禁止源10.1.2.0与源10.1.1.0之间互访
[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3.定义访问规则禁止 在上班时间8:00至18:00访问工资查询服务器(129.110.1.2)
[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei
[H3C-acl-adv-3000] quit
4.在接口上用3000号ACL
[H3C-acl-adv-3000] interface GigabitEthernet1/0/2
[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000
二层ACL配置(4000-4999)
1.进入4000号的二层访问控制列表视图
[H3C] acl number 4000
2.定义访问规则过滤源MAC为00e0-fc01-0101的报文
[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei
3.在接口上应用4000号ACL
[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4
[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 4000
9. 如何配置Cisco路由器ACL访问控制列的实际案例
第一阶段实验:配置实验环境,网络能正常通信
R1的配置:
复制代码
代码如下:
R1>en
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip addr 10.0.0.1 255.255.255.252R1(config-if)#no shut
R1(config-if)#int loopback 0
R1(config-if)#ip addr 123.0.1.1 255.255.255.0R1(config-if)#int loopback 1
R1(config-if)#ip addr 1.1.1.1 255.255.255.255R1(config-if)#exit
R1(config)#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1(config)#username benet password testR1(config)#line vty 0 4
R1(config-line)#login local
SW1的配置:
复制代码
代码如下:
SW1>en
SW1#vlan data
SW1(vlan)#vlan 2
SW1(vlan)#vlan 3
SW1(vlan)#vlan 4
SW1(vlan)#vlan 100
SW1(vlan)#exit
SW1#conf t
SW1(config)#int f0/1
SW1(config-if)#no switchport
SW1(config-if)#ip addr 10.0.0.2 255.255.255.252SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1(config)#int range f0/14 - 15
SW1(config-if-range)#switchport
trunk encapsulation dot1qSW1(config-if-range)#switchport mode
trunkSW1(config-if-range)#no shut
SW1(config-if-range)#exit
SW1(config)#int vlan 2
SW1(config-if)#ip addr 192.168.2.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 3
SW1(config-if)#ip addr 192.168.3.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 4
SW1(config-if)#ip addr 192.168.4.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 100
SW1(config-if)#ip addr 192.168.100.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip routing
SW1(config)#int vlan 1
SW1(config-if)#ip addr 192.168.0.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#username benet password testSW1(config)#line vty 0 4
SW1(config-line)#login local
SW2的配置:
复制代码
代码如下:
SW2>en
SW2#vlan data
SW2(vlan)#vlan 2
SW2(vlan)#vlan 3
SW2(vlan)#vlan 4
SW2(vlan)#exit
SW2#conf t
SW2(config)#int f0/15
SW2(config-if)#switchport mode trunk
SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#int f0/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 2SW2(config-if)#no shut
SW2(config-if)#int f0/2
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 3SW2(config-if)#no shut
SW2(config-if)#int f0/3
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 4SW2(config-if)#no shut
SW2(config-if)#int vlan 1
SW2(config-if)#ip addr 192.168.0.2 255.255.255.0SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#ip default-gateway 192.168.0.1SW2(config)#no ip routing
SW2(config)#username benet password testSW2(config)#line vty 0 4
SW2(config-line)#login local
SW3的配置:
复制代码
代码如下:
SW3>en
SW3#vlan data
SW3(vlan)#vlan 100
SW3(vlan)#exit
SW3#conf t
SW3(config)#int f0/15
SW3(config-if)#switchport mode trunk
SW3(config-if)#no shut
SW3(config-if)#int f0/1
SW3(config-if)#switchport mode access
SW3(config-if)#switchport access vlan 100SW3(config-if)#no shut
SW3(config-if)#int vlan 1
SW3(config-if)#ip addr 192.168.0.3 255.255.255.0SW3(config-if)#no shut
SW3(config-if)#exit
SW3(config)#ip default-gateway 192.168.0.1SW3(config)#no ip routing
SW3(config)#username benet password testSW3(config)#line vty 0 4
SW3(config-line)#login local
网络管理区主机PC1(这里用路由器模拟)
复制代码
代码如下:
R5>en
R5#conf t
R5(config)#int f0/0
R5(config-if)#ip addr 192.168.2.2 255.255.255.0R5(config-if)#no shut
R5(config-if)#exit
R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
财务部主机PC2配置IP:
IP地址:192.168.3.2 网关:192.168.3.1
信息安全员主机PC3配置IP:
IP地址:192.168.4.2 网关:192.168.4.1
服务器主机配置IP:
IP地址:192.168.100.2 网关:192.168.100.1第一阶段实验验证测试:
所有部门之间的主机均能互相通信并能访问服务器和外网(测试方法:用PING命令)
在所有主机上均能远程管理路由器和所有交换机。(在PC主机上用telnet命令)
第二阶段实验:配置ACL实现公司要求
1、只有网络管理区的主机才能远程管理路由器和交换机R1的配置:
复制代码
代码如下:
R1#conf t
R1(config)#access-list 1 permit 192.168.2.0 0.0.0.255R1(config)#line vty 0 4
R1(config-line)#access-class 1 in
SW1的配置
复制代码
代码如下:
SW1#conf t
SW1(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW1(config)#line vty 0 4
SW1(config-line)#access-class 1 in
SW2的配置
复制代码
代码如下:
SW2#conf t
SW2(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW2(config)#line vty 0 4
SW2(config-line)#access-class 1 in
SW3的配置
复制代码
代码如下:
SW3#conf t
SW3(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW3(config)#line vty 0 4
SW3(config-line)#access-class 1 in
验证:在PC1可以远程TELNET管理路由器和交换机,但在其他主机则被拒绝telnet
2、内网主机都可以访问服务器,但是只有网络管理员才能通过telnet、ssh和远程桌面登录服务器,外网只能访问服务器80端口。
在SW1三层交换机上配置扩展ACL
3、192.168.3.0/24网段主机可以访问服务器,可以访问网络管理员网段,但不能访问其他部门网段,也不能访问外网。
在SW1三层交换机上配置扩展ACL
4、192.168.4.0/24网段主机可以访问服务器,可以访问管理员网段,但不能访问其他部门网段,可以访问外网。
在SW1三层交换机上配置扩展ACL
以上就是通过实际案例来告诉大家如何配置Cisco路由器ACL访问控制列
10. acl如何配置
ACI配置不容易,建议打本书先看一下