【学网攻】 第(16)节 -- 扩展ACL访问控制列表

系列文章目录

目录

系列文章目录

  文章目录

前言

一、ACL(访问控制列表)是什么 ?

二、实验

1.引入

实验目标

实验步骤

实验设备

实验拓扑图  

实验配置

配置ACL访问控制 

实验验证

总结


  文章目录

  • 【学网攻】 第(1)节 -- 认识网络
  • 【学网攻】 第(2)节 -- 交换机认识及使用
  • 【学网攻】 第(3)节 -- 交换机配置聚合端口
  • 【学网攻】 第(4)节 -- 交换机划分Vlan
  • 【学网攻】 第(5)节 -- Cisco VTP的使用​​​​​​
  • 【学网攻】 第(6)节 -- 三层交换机实现VLAN间路由
  • 【学网攻】 第(7)节 -- 生成树配置
  • 【学网攻】 第(8)节 -- 端口安全
  • 【学网攻】 第(9)节 -- 路由器使用以及原理
  • 【学网攻】 第(10)节 -- 路由器单臂路由配置
  • 【学网攻】 第(11)节 -- 静态路由及默认路由
  • 【学网攻】 第(12)节 -- 动态路由(RIP)
  • 【学网攻】 第(13)节 -- 动态路由(OSPF)
  • 【学网攻】 第(14)节 -- 动态路由(EIGRP)
  • 【学网攻】 第(15)节 -- 标准ACL访问控制列表


前言

网络已经成为了我们生活中不可或缺的一部分,它连接了世界各地的人们,让信息和资源得以自由流动。随着互联网的发展,我们可以通过网络学习、工作、娱乐,甚至是社交。因此,学习网络知识和技能已经成为了每个人都需要掌握的重要能力。

本课程博主将带领读者深入了解网络的基本原理、结构和运作方式,帮助读者建立起对网络的全面理解。我们将介绍网络的发展历程、网络的分类和组成、网络的安全和隐私保护等内容,帮助读者掌握网络知识,提高网络素养。

通过学习本篇博客,读者将能够更好地利用网络资源,提高工作效率,拓展人际关系,甚至是保护自己的网络安全。网络世界充满了无限的可能,希望本课程能够帮助读者更好地驾驭网络,享受网络带来的便利和乐趣。


一、ACL(访问控制列表)是什么?

访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

标准IP访问列表

一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。

扩展IP访问

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。 

命名的IP访问

所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。 

标准IPX访问

标准IPX访问控制列表的编号范围是800-899,它检查IPX源网络号和目的网络号,同样可以检查源地址和目的地址的节点号部分。 

扩展IPX访问

扩展IPX访问控制列表在标准IPX访问控制列表的基础上,增加了对IPX报头中以下几个字段的检查,它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。

命名的IPX访问

与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表,同样有标准和扩展之分。

二、实验

1.引入

实验目标

         理解标准IP访问控制列表的原理及功能;

         掌握编号的标准IP访问控制列表的配置方法;

实验背景

         你是公司的网络管理员,公司的经理部、财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。

         PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。

技术原理

         访问列表中定义的典型规则主要有以下:源地址、目标地址、上层协议、时间区域;

         扩展IP访问列表(编号100-199、2000、2699)使用以上四种组合来进行转发或阻断分组;可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。

         扩展IP访问列表的配置包括以下两部:

                  定义扩展IP访问列表

                  将扩展IP访问列表应用于特定接口上

实验步骤

         新建Packet Tracer拓扑图

         (1)分公司出口路由器与外路由器之间通过V.35电缆串口连接,DCE端连接在R2上,配置其时钟频率64000;主机与路由器通过交叉线连接。

         (2)配置PC机、服务器及路由器接口IP地址。

         (3)在各路由器上配置静态路由协议,让PC间能相互ping通,因为只有在互通的前提下才涉及到访问控制列表。

         (4)在R2上配置编号的IP扩展访问控制列表。

         (5)将扩展IP访问列表应用到接口上、。

         (6)验证主机之间的互通性。

实验设备

PC 1台;Server-PT 1台; Router-PT 3台;交叉线;DCE串口线(NM/4A/S)

实验拓扑图  

  

实验配置

PC基础配置

PC:
IP  地址:192.168.1.1  
子网掩码:255.255.255.0
网    关:192.168.1.254 
DNS 解析:8.8.8.8
Server DNS解析:
IP  地址:8.8.8.8  
子网掩码:255.255.255.0
网    关:8.8.8.1

R1 ,R2 ,R3基础配置

R1:
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#h R1
R1(config)#int f0/0
R1(config-if)#ip add 192.168.1.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int s1/0
R1(config-if)#clock r 64000
R1(config-if)#ip add 10.0.1.1 255.255.255.0
R1(config-if)#no shutR2:
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#h R2
R2(config)#int s1/0
R2(config-if)#ip add 10.0.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#int s1/1
R2(config-if)#clock r 64000
R2(config-if)#ip add 10.0.2.1 255.255.255.0
R2(config-if)#no shutR3:
Router>
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#h R3
R3(config)#int s1/0
R3(config-if)#ip add 10.0.2.2 255.255.255.0
R3(config-if)#no shut
R3(config-if)#int f0/0
R3(config-if)#ip add 8.8.8.1 255.255.255.0
R3(config-if)#no shut

R1 ,R2 路由配置

R1:
R1(config)#rout ospf 1
R1(config-router)#net 192.168.1.0 0.0.0.255 area 0
R1(config-router)#net 10.0.1.0 0.0.0.255 area 0R2:
R2(config)#router ospf 1
R2(config-router)#net 10.0.1.0 0.0.0.255 area 0
R2(config-router)#net 10.0.2.0 0.0.0.255 area 0R3:
R3(config)#router ospf 1
R3(config-router)#net 10.0.2.0 0.0.0.255 area 0
R3(config-router)#net 8.8.8.0 0.0.0.255 area 0

Show R1 ,R2 ,R3路由表

R1:
R1(config)#do show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not set8.0.0.0/24 is subnetted, 1 subnets
O       8.8.8.0/24 [110/129] via 10.0.1.2, 00:00:35, Serial1/010.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C       10.0.1.0/24 is directly connected, Serial1/0
L       10.0.1.1/32 is directly connected, Serial1/0
O       10.0.2.0/24 [110/128] via 10.0.1.2, 00:02:01, Serial1/0192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.1.0/24 is directly connected, FastEthernet0/0
L       192.168.1.254/32 is directly connected, FastEthernet0/0R2:
R2(config)#do show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not set8.0.0.0/24 is subnetted, 1 subnets
O       8.8.8.0/24 [110/65] via 10.0.2.2, 00:00:57, Serial1/110.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C       10.0.1.0/24 is directly connected, Serial1/0
L       10.0.1.2/32 is directly connected, Serial1/0
C       10.0.2.0/24 is directly connected, Serial1/1
L       10.0.2.1/32 is directly connected, Serial1/1
O    192.168.1.0/24 [110/65] via 10.0.1.1, 00:02:17, Serial1/0R3:
R3(config)#do show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not set8.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C       8.8.8.0/24 is directly connected, FastEthernet0/0
L       8.8.8.1/32 is directly connected, FastEthernet0/010.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
O       10.0.1.0/24 [110/128] via 10.0.2.1, 00:01:14, Serial1/0
C       10.0.2.0/24 is directly connected, Serial1/0
L       10.0.2.2/32 is directly connected, Serial1/0
O    192.168.1.0/24 [110/129] via 10.0.2.1, 00:01:14, Serial1/0

打开Server的DNS服务并配置

PC浏览器访问www.kxybz.com网站

PC Ping Server

配置ACL访问控制 
R2:
R2(config)#access-list 100 deny udp 192.168.1.0 0.0.0.255 8.8.8.0 0.0.0.255 ?dscp        Match packets with given dscp valueeq          Match only packets on a given port numbergt          Match only packets with a greater port numberlt          Match only packets with a lower port numberneq         Match only packets not on a given port numberprecedence  Match packets with given precedence valuerange       Match only packets in the range of port numbers
/*dscp匹配指定dscp值的数据包只匹配给定端口号上的数据包gt只匹配端口号较大的数据包lt只匹配端口号较低的数据包只匹配非给定端口号的数据包precedence匹配具有给定优先级值的数据包range只匹配端口号范围内的报文
*/
R2(config)#access-list 100 deny udp 192.168.1.0 0.0.0.255 8.8.8.0 0.0.0.255 eq domain
//这里我们要控制DNS的包无法流通,所以限制domain 53R2(config)#access-list 100 permit ip any  any
//其他包放行R2(config)#int s1/0
R2(config-if)#ip acc 100 in            //运用到端口
实验验证

PC Ping Server

 PC 访问 Server的www.kxybz.com服务器网站

 

PC Ping Server 

PC 访问 www.kxybz.com不通

总结

扩展acl要靠近源 ,标准acl靠近目标地址
进入设备前处理的ACL起作用设为in,进入设备后处理的ACL起作用的设为out

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/656412.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2024 年, Web 前端开发趋势

希腊哲学家赫拉克利特认为,变化是生命中唯一不变的东西。这句话适用于我们的个人生活、行业和职业领域。 尤其是前端开发领域,新技术、开发趋势、库和框架不断涌现,变化并不陌生。最近发生的一些事件正在改变开发人员构建网站和 Web 应用的方…

FPS游戏框架漫谈第七条

小地图制作流程漫谈: 1.由于场景导出地图顶视图结构给原画 2.原画会对其进行加工处理 3.经过原画处理后的资源给到还原,还原合入游戏内 4.拿的的资源一般是256256 5.场景需要提供一些采样参数给程序 一般3组即可 每组参数是场景中的坐标和顶视图中屏幕坐…

Python机器学习--简单清晰的说说K近邻算法的基本原理

K近邻算法的基本原理:首先通过所有的特征变量构筑起一个特征空间,特征空间的维数就是特征变量的个数,然后针对某个测试样本,按照参数K在特征空间内寻找与它最为近邻的K个训练样本观测值,最后依据这K个训练样本的响应变…

Codeforces Round 871

目录 A. Love Story B. Blank Space C. Mr. Perfectly Fine D. Gold Rush E. The Lakes F. Forever Winter G. Hits Different H. Don’t Blame Me A. Love Story 直接逐个匹配 string a"codeforces"; void solve() {string s; cin>>s;int cnt0;for(i…

快速理解MoE模型

最近由于一些开源MoE模型的出现,带火了开源社区,为何?因为它开源了最有名气的GPT4的模型结构(OPEN AI),GPT4为何那么强大呢?看看MoE模型的你就知道了。 MoE模型结构: 图中&#xff0…

Netty-ChannelHandle的业务处理

ChannelHandle结构 ChannelHandler基础接口 基础接口里面定义的基础通用方法。增加handler,移除handler,异常处理。 ChannelInboundHandler public interface ChannelInboundHandler extends ChannelHandler {/*** The {link Channel} of the {link Ch…

猫突然不吃东西没精神?性价比高可以迅速恢复精神的生骨肉冻干推荐

猫突然不吃东西没精神怎么办?当猫咪不吃东西、精神不振时,可能是由于健康问题、环境因素或食物原因所引起。首先应进行身体检查,观察是否有其他并发症,如无则可排除健康问题。为猫咪提供安全舒适的环境、给予关爱,可改…

亚信安慧AntDB:AntDB-M元数据锁(七)

5.4.5 慢路径锁的授予条件 当且仅当满足如下两个条件时,才可以授予锁。 1. 其他线程没有持有不兼容类型锁。 2. 当前申请的锁的优先级高于请求等待列表中的。 首先通过锁位图判断等待队列,不兼容则不能授予锁。再判断快速路径,不兼容则不…

win11下 “pytorch导出模型“ 以及 “C++使用onnxruntime部署”

部分一:PyTorch导出模型 在Win11下,PyTorch是一个强大的深度学习框架,它提供了丰富的工具来训练和导出模型。在这一部分,我们将使用鸢尾花数据集,演示如何在PyTorch中训练一个简单的模型,并将其导出为ONNX…

改变this指针的三个方法?

要改变 this 的指向,JavaScript 提供了一系列的方法: call(): 使用 call() 可以直接改变 this 的指向。它接受两个参数:第一个是要调用的目标函数,第二个是将作为 this 的值的对象或对象引用的数组。例如&#xff0c…

protobuf-go pragma.go 文件介绍

pragma.go 文件 文件位于: https://github.com/protocolbuffers/protobuf-go/blob/master/internal/pragma/pragma.go 该文件核心思想: 利用 Golang 语法机制,扩展 Golang 语言特性 目前,该文件提供以下 4 个功能: …

C++STL模板库

类&#xff1a; pair: 头文件&#xff1a;<utility> 定义&#xff1a; 是一个标准库类型。可以看作是有两个成员变量first和second的结构体&#xff0c;并且重载了<运算符(先比较first大小&#xff0c;再比较second大小)当我们创建一个pair时&#xff0c;必须提供两…

SQLite 简介

什么是SQLite&#xff1f; SQLite是一个轻量级的嵌入式关系型数据库&#xff0c;它以一个小型的C语言库的形式存在。它的设计目标是嵌入式的&#xff0c;而且已经在很多嵌入式产品中使用了它&#xff0c;它占用资源非常的低&#xff0c;在嵌入式设备中&#xff0c;可能只需要几…

机器学习面试题总结60-99

目录 60、Python到底是什么样的语言? 61.Python是如何进行内存管理的? 引用计数和垃圾回收。

leetcode-存在重复元素

217. 存在重复元素 把列表转成集合&#xff0c;我们知道集合中是没有重复元素的&#xff0c;然后和原列表的长度做对比&#xff0c;不相等说明是有重复元素的 class Solution:def containsDuplicate(self, nums: List[int]) -> bool:if len(set(nums)) len(nums):return …

状态码400以及状态码415

首先检查前端传递的参数是放在header里边还是放在body里边。 此图前端传参post请求&#xff0c;定义为’Content-Type’&#xff1a;‘application/x-www-form-urlencoded’ 此刻他的参数在FormData中。看下图 后端接参数应为&#xff08;此刻参数前边什么都不加默认为requestP…

Qt QScrollArea 不显示滚动条 不滚动

使用QScrollArea时&#xff0c;发现添加的控件超出QScrollArea 并没有显示&#xff0c;且没有滚动条效果 原因是 scrollArea指的是scrollArea控件本身的大小&#xff0c;肉眼能看到的外形尺寸。 scrollAreaWidgetContents指的是scrollArea控件内部的显示区域&#xff0c;里面可…

2024 高级前端面试题之 React 「精选篇」

该内容主要整理关于 React 模块的相关面试题&#xff0c;其他内容面试题请移步至 「最新最全的前端面试题集锦」 查看。 React模块精选篇 1. 如何理解React State不可变性的原则2. JSX本质3. React合成事件机制4. setState和batchUpdate机制5. 组件渲染和更新过程6. Diff算法相…

windows server 开启远程连接RDP连接

windows server 开启远程连接&#xff0c;RDP连接windows server 打开gpedit.msc, 找到计算机配置-管理模板-windows组件-远程桌面服务-远程桌面会话主机-授权 1 使用指定的远程桌面许可证服务器 2 设置远程桌面授权模式 3 重启windows server服务器生效 4使用mstsc命令连接…

未来每家公司都需要有自己的大模型- Hugging Face创始人分享

自ChatGPT发布以来&#xff0c;有人称其是统治性一切的模型。Hugging Face创始人兼首席执行官Clem Delangue介绍&#xff0c;Hugging Face平台已经有15000家公司分享了25万个开源模型&#xff0c;当然这些公司不会为了训练模型而训练模型&#xff0c;因为训练模型需要投入大量资…