标准ACL配置
提问:如何只允许端口下的用户只能访问特定的服务器网段?
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list standard 1 ----定义标准ACL
S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255
----允许访问服务器资源
S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源
S5750(config-std-nacl)#exit ----退出标准ACL配置模式
步骤二:将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 1 in ----将标准ACL应用到端口in方向
注释:
1. S1900系列、S20系列交换机不支持基于硬件的ACL。
2. 实际配置时需注意,在交换机每个ACL末尾都隐含着一条“拒绝所有数据流”的语句。
3. 以上所有配置,均以锐捷网络S5750-24GT/12SFP 软件版本10.2(2)为例。
其他说明,其详见各产品的配置手册《访问控制列表配置》一节。
‘贰’ 华为交换机,怎么在三层接口上应用ACL
acl
number
3000
rule
1
deny
ip
source
192.168.10.0
0.0.0.7
destination
192.168.10.0
0.0.0.7
rule
2
permit
ip
其实上面这个规则会使192.168.10.0-192.168.10.7之间都不能访问
如果严格只需要1-4
不能访问的话需要就配16个规则一一对应
acl
number
3000
rule
1
deny
ip
source
192.168.10.1
0.0.0.0
destination
192.168.10.2
0.0.0.0
rule
2
deny
ip
source
192.168.10.1
0.0.0.0
destination
192.168.10.3
0.0.0.0
rule
3
deny
ip
source
192.168.10.1
0.0.0.0
destination
192.168.10.4
0.0.0.0
rule
4
deny
ip
source
192.168.10.2
0.0.0.0
destination
192.168.10.1
0.0.0.0
……
rule
20
permit
ip
‘叁’ 思科模拟中ACL怎么配置
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。
访问控制列表的原理:
1、对路由器接口来说有两个方向:
入:已经到达路由器接口的数据包,但是还没有被路由器处理。
出:已经 经过路由器的处理,正要离开路由器接口的数据包
2、匹配顺序为:"自上而下,依次匹配"。默认为拒绝
3、访问控制列表的类型:
标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上
扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向
命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号
4、访问控制列表使用原则
(1)、最小特权原则
只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
(2)、默认丢弃原则
在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
(3)、最靠近受控对象原则
所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法 识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
‘肆’ 华为S9312,建立的ACL怎么引用到端口上
S93框式目前的 ACl应用接口下需要引用traffic policyacl 被流分类traffic classifier 引用, 流行为 traffic behaviortraffic policy 里绑定 流分类和流行为,这样即可将建立的ACL引用到端口上。
ACL 即为访问控制列表。访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
‘伍’ 3560g 接口配置acl
如果网络中有多个路由器,在配置访问控制列表时,首先,我们需要考虑在哪一台路由器上
配置:其次,应用到接口时,我们需要选择将此访问控制列表应用到哪个物理端口,选择好 了端口就能够决定应用该ACL的端口方向 对于标准ACL,由于它只能过滤源IP,为了不影响源主机的通信,一般我们将标准ACL放 在离目的端比较近的地方 扩展ACL可以精确的定位某一类的数据流,为了不让无用的流量占据网络带宽,一般我们将 扩展ACL放在离源端比较近的地方。
‘陆’ 将ACL应用到路由器的接口,其中的in 和 out是怎么定义的
showlink,还是我理解错了。图画的很清楚,可是下面的描述是不是说错了?那个图中in有3个,是不是用in的ACL可以控制三个网段,而图中out对应的ACL是不是应该控制一个网段?不明白,望指教。
‘柒’ h3c如何配置acl命令
基本ACL配置(2000-2999)
1.进入2000号的基本访问控制列表视图
[H3C-GigabitEthernet1/0/1] acl number 2000
2.定义访问规则过滤10.1.1.2主机发出的报文
[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei
3.在接口上应用2000号ACL
[H3C-acl-basic-2000] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000
[H3C-GigabitEthernet1/0/1] quit
高级ACL配置(3000-3999)
1.进入3000号的高级访问控制列表视图
[H3C] acl number 3000
2.定义访问规则禁止源10.1.2.0与源10.1.1.0之间互访
[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3.定义访问规则禁止 在上班时间8:00至18:00访问工资查询服务器(129.110.1.2)
[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei
[H3C-acl-adv-3000] quit
4.在接口上用3000号ACL
[H3C-acl-adv-3000] interface GigabitEthernet1/0/2
[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000
二层ACL配置(4000-4999)
1.进入4000号的二层访问控制列表视图
[H3C] acl number 4000
2.定义访问规则过滤源MAC为00e0-fc01-0101的报文
[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei
3.在接口上应用4000号ACL
[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4
[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 4000
‘捌’ 如何设置访问控制列表如何在网关路由器的内部接口上应用acl最好分步骤,一定需要路由器吗
访问控制列表acl只有在专业的智能交换机或路由器上才能配置,不同厂家品牌的产品配置方法是不同的,要根据具体设备来进行配置。
一般的配置方法是先编写acl规则,然后把它应用到指定的端口上去。
一般的的小路由器是不能配置的。
‘玖’ acl如何运用在接口
华为的交换机为 packet fillter +acl+方向
中兴思科的为access list +acl+方向