学习日志8.14--ALC(Access Control List)访问控制列表

news2024/11/15 15:28:38

ACL访问控制列表是一条或者多条流量规则的集合,作用主要用于流量的匹配,还可以匹配路由。通过ACL对流量加以控制,通过配合使用过滤工具,对流量进行拦截。需要注意的是ACL只是一个个匹配工具,负责匹配源IP地址、目的IP地址、端口和协议号,但是实现对流量的拦截还需要使用到流量的过滤工具来过滤流量。

建立ACL实验拓扑结构,用AR2220当路由器网关,两台服务器都可以提供http和ftp服务配置好主机和客户端服务器的IP地址,配置好路由器接口的IP地址,在两台交换机上关闭stp生成树功能,防止时间阻塞,影响实验现象。
命令:[SW1]undo stp enable,关闭stp生成树功能
命令:[SW2]stp edged-port default,配置交换设备所有接口为边缘接口,default默认为边缘接口

配置好后,尝试看能不能ping通主机pingServer1成功主机pingServer2成功用客户端ping服务器Server1成功用客户端ping服务器Server2成功

开启服务器的http和ftp服务,用客户端获取访问客户端访问服务器Server1成功客户端访问服务器Server2成功

实验的网络配置结构没有问题,服务器服务没有问题,都能互相访问,都能取得连接。

开始实验,实验目的就是拒绝PC1访问Server1。只要是192.168.1.1的流量访问Server1 192.168.1.101的流量都拒绝。这样拦截就需要有规则去匹配数据包的源IP地址和目的IP地址,过滤工具拦截工具根据匹配的情况去拦截流量。

给路由器配置ACL,实现拒绝PC1访问Server1
命令:[R1]acl 2000,创建acl列表,列表编号是2000
命令:[R1-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.0,给2000列表配置规则,规则编号是10,拒绝源IP地址为192.168.1.1 ,匹配的主机是0.0.0.0。
命令:[R1-GigabitEthernet0/0/1]traffic-filter inbound  acl 2000,调用过滤工具traffic-filter,流量方向是inbound,匹配列表是acl2000
配置好ACL列表,配置好过滤工具后,用主机PC1访问服务器,看能不能成功。主机PC1访问Server1失败,配置成功。注意在配置的时候,不仅要配置ACL列表,还需要配置过滤工具。只配置ACL列表是不能实现流量的过滤拦截。

ALC配置原理
列表编号ACL列表有2000-2999的基础控制列表;有3000-3999的高级控制列表;还有4000-4999的二层控制列表,负责匹配二层MAC地址。列表编号是2000-2999的列表是基础访问控制列表,只能匹配到数据的源IP地址;列表编号是3000-3999的是高级访问控制列表,能够匹配到数据包中的源IP地址、目的IP地址、源端口、目的端口、协议号。当流量进入的时候,会匹配ACL列表中的信息,符合匹配规则的再经过滤器过滤就允许通过。对于ACL2000的列表只能匹配到数据包的源IP地址,ACL3000的列表可以匹配到数据包的源IP地址、目的IP地址、源端口、目的端口、协议号。

Rule规则,规则默认情况下规则是按顺序匹配的(从小到大)。规则一旦匹配之后,就不继续往下再匹配了,所以建议规则的配置是按规则的范围小的在前,规则范围大的在后面。
命令:[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255,配置一条规则,编号是5,允许192.168.1.0的网段通过,而这个范围就包含192.168.1.1,范围比rule 10 的范围大。
现在用主机PC1去尝试pingServer1发现可以ping通
命令:[R1-acl-basic-2000]dis acl all,查看所有的规则,可以查看规则的配置情况看规则的配置,是范围大的在前,然后范围小的在后面,当192.168.1.1的流量进来的时候,先匹配第一条规则,第一条规则允许192.168.1.0网段的通过。通过后就不匹配第二条规则,第二条规则拒绝192.168.1.1的流量通过就不起作用了。
下面将允许192.168.1.0网段流量通过的规则编号改为20
命令:[R1-acl-basic-2000]undo rule 5,删除掉刚才配置的规则5再次尝试用PC1去pingServer1这次PC1就不能成功ping通Server1
然后用客户端192.168.1.2pingServer1成功。所以配置的规则拒绝192.168.1.1的流量通过,允许在192.168.1.0网段的除192.168.1.1的IP的流量通过。所以在配置规则的时候建议将规则范围大的配置在后面,规则范围小的配置在前面。

关于IP掩码的配置,在正常情况下IP掩码的配置都是看IP地址的类型,A类10.0.0.0掩码是255.0.0.0、B类172.16.0.0掩码是255.255.0.0、C类192.168.1.0掩码是255.255.255.0、确定到某一主机192.168.1.1掩码是255.255.255.255。

在ACL匹配的时候是用Wildcard通配符来确定的,这个时候,匹配A类地址10.0.0.0通配符是0.255.255.255、匹配B类地址172.16.0.0通配符是0.0.255.255、匹配C类地址192.168.1.0通配符是0.0.0.255、匹配一个主机192.168.1.1通配符是0.0.0.0.0(直接写0)。在配置规则的时候需要写上IP地址,配置通配符。

配置好规则之后,还要在接口上调用过滤器去拦截流量,需要配置好流量方向,配置好规则
命令:[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000,在接口0/0/1的视图下调用过滤器,过滤inbound方向的流量,ACL控制列表是2000。

Traffic-filter(流量过滤)工具。流量过滤工具是和接口关联的而且还分inbound方向和outbound方向。在外面的流量进入到路由器里面就是inbound反向需要管控,在路由器的流量出道外面是outbound反向也需要管控。但是相反的流量是管控不了的。
命令:[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000,配置一个outbound方向的流量过滤器,然后用PC1去尝试pingServer1能ping成功,说明过滤器是管控不了相反方向的流量,inbound方向的流量只能被inbound方向的过滤器管控,outbound方向的流量只能被outbound方向的过滤器管控。
命令:[R1-GigabitEthernet0/0/1]undo traffic-filter outbound ,删除outbound方向的过滤器
命令:[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000,配置inbound方向的过滤器。
再用PC1去pingServer1这次就不能ping通。

注意一个接口的过滤器只能绑定一个ACL控制列表

继续实验
在成功拒绝PC1 192.168.1.1访问服务器Server1后,尝试访问Server2发现,PC1pingServer2也不通了,但是我只希望拒绝访问Server1。

是因为用ACL2000基础控制列表,只能控制源IP地址,现在配置等于,将所有的192.168.1.1的流量都拒绝了,既不到Server1 192.168.2.101,也不到Server2 192.168.2.102。那要实现PC1只拒绝访问Server1,就既需要匹配源IP地址,又需要匹配目的IP地址,如果要控制访问功能的话,就需要匹配协议号。就要用到ACL3000系列的高级访问控制列表。

配置ACL3000
命令:[R1-acl-adv-3000]rule 10 deny ip source 192.168.1.1 0 destination 192.168.2.101 0,规则编号10拒绝IP流量源IP是192.168.1.1通配符是0,目的IP是192.168.2.101通配符是0。
命令:[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000,调用inbound方向的过滤器
配置好后用PC1尝试ping测试pingServer1失败pingServer2成功
这样的配置就完成了实验要求只拒绝PC1访问Server1。

现在希望拒绝客户端访问Server1的http,但是可以访问Server1的ftp服务,拒绝客户端访问Server2的ftp,但是可以访问Server2的http服务。

命令:[R1-acl-adv-3000]rule 20 deny tcp source 192.168.1.2 0 destination 192.168.2.101
 0 destination-port eq 80,规则编号20,拒绝tcp流量,源IP是192.168.1.2目的IP192.168.2.101,目的端口是eq(等于80)。
命令:[R1-acl-adv-3000]rule 20 deny tcp source 192.168.1.2 0 destination 192.168.2.101
 0 destination-port eq ?,通过这样的方式来查看端口的信息。
在配置端口的时候有eq(等于)、gt(超过)、lt(低于)和range(范围),通过这个来设置端口。

为什么要拒绝tcp的流量,需要知道TCP(传输控制协议)常用于Web服务(HTTP协议默认使用TCP的80端口)、文件传输(FTP)、电子邮件(SMTP、POP3等)等互联网应用,所以拒绝http服务要拒绝tcp的流量。

用客户端访问试一下连接服务器失败客户端被拒绝访问Server1的http服务,但是允许访问Server1的ftp服务。

命令:[R1-acl-adv-3000]rule 30 deny tcp source 192.168.1.2 0 destination 192.168.2.102
 0 destination-port range 20 21,配置20 21的端口拒绝访问ftp服务,ftp控制端口是21,ftp数据端口是20。查看配置的规则,然后调用过滤器。
配置好后用客户端访问Server2的ftp服务连接失败。客户端被拒绝访问Server2的ftp服务,但是不影响客户端访问Server2的http服务。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2038659.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

nestjs 全栈进阶--typeorm 一对一

1. 介绍 在 TypeORM 中,一对一(One-to-One)关系是一种数据库关系,其中一个表中的每一行只与另一个表中的一行相关联。比如用户和身份证 2. 准备 我们还是将就上节课的项目,不过我们需要把数据库删除了 右键&#x…

[CSS3]2D与3D变换技术详解

文章目录 2D变换(2D Transform)3D变换(3D Transform)结语 CSS3中的2D变换与3D变换是指通过transform属性对HTML元素进行几何操作,使其在二维或三维空间中进行移动、旋转、缩放和倾斜等变换。这些变换为前端开发者提供了…

秒通多语种!2024年超实用的4款翻译在线工具,真心好用

互联网时代让沟通变得没有界限。不论是和邻居闲聊家常,还是与远在海外的朋友畅谈,现在都非常容易。特别是对于正在学习外语的人来说,在线翻译工具就像是超级英雄的披风一样重要。我研究了很多资料,找到了几款性价比非常高的翻译在…

Java虚拟机:类的加载机制

大家好,我是栗筝i,这篇文章是我的 “栗筝i 的 Java 技术栈” 专栏的第 034 篇文章,在 “栗筝i 的 Java 技术栈” 这个专栏中我会持续为大家更新 Java 技术相关全套技术栈内容。专栏的主要目标是已经有一定 Java 开发经验,并希望进…

【BUU】[Dest0g3 520迎新赛]Really Easy SQL

2024/8/14 [Dest0g3 520迎新赛]Really Easy SQL 题目标题说明是SQL注入 题目首页 页面title显示是钓鱼站点。 钓鱼站点主要为将我们的输入信息保存在数据库。后台应该是插入语句。 这里无论输入什么都显示密码错误, 只能尝试盲注,基于时间的盲注, 这里经过测试p…

OPC DAY-上海场提前预告:Softing带您探索“智能工厂中的OPC应用”

(图片来源于:OPC基金会官网) 时间:2024年9月25日 14:00-14:30 | OPC DAY-上海站 地点:上海国家会展中心-5.1H M5-03会议室 2024年9月24-28日,第二十四届中国国际工业博览会将于国家会展中心(上…

Linux 中的同步机制

代码基于:Kernel 6.6 临界资源:指哪些在同一时刻只允许被一个线程访问的软件或硬件资源。这种资源的特点是,如果有线程正在使用,其他进程必须等待直到该线程释放资源。 临界区:指在每个线程中访问临界资源的那段代码。…

vue3结合海康WEB开发包,开发web在线预览视频

我们这里选择V3.3版本 文档地址:https://open.hikvision.com/download/5cda567cf47ae80dd41a54b3?type20&id4c945d18fa5f49638ce517ec32e24e24 解压过后,会有三个文件夹 在docs中,点开Demo使用说明,按照流程先测试下&…

赋能基层,融合创新:EasyCVR视频汇聚平台构建平安城市视频共享系统

一、雪亮工程建设的意义 雪亮工程的核心在于通过高清视频监控、环境监测和智能预警等先进技术手段,构建一个高效、智能、安全、便捷的社会安全防控体系。这一工程的建设不仅代表了现代化科技手段在城市治安管理中的应用,更是提升社会安全保障能力、推动…

树形结构查找(B树、B+树)

平衡树结构的树高为 O(logn) ,平衡树结构包括两种平衡二叉树结构(分别为 AVL 树和 RBT)以及一种树结构(B-Tree,又称 B 树,它的度大于 2 )。AVL 树和 RBT 适合内部存储的应用,而 B 树…

CompreFace Study

系列文章目录 第一章 CompreFace Installation 第二章 Face verification POC 文章目录 系列文章目录前言一、What is the ComreFace?二、How to install the CompreFace? 1.On Linux for CompreFace 1.2.02.Troubleshooting总结 前言 此文旨在记录学习CompreF…

萤石取流播放失败自助排障及常见错误码解决方案

一、在使用播放地址播放时遇到播放失败的情况,可使用排障工具排查具体原因,以下具体介绍排障工具的使用方法 1、在浏览器里打开排障工具,地址:萤石开放平台-提供持续稳定的以音视频为主的全场景、多功能综合性服务 2、在第一行输入…

安全无忧!Windows7全补丁旗舰版:集成所有补丁!

今日,系统之家小编给大家分享集成所有补丁的Windows7旗舰版系统,集成至2023.12所有官方补丁,修复了系统高危漏洞,让大家时刻都能舒心地展开操作。系统基于微软 Windows 7 2009 SP1 旗舰版进行离线制作,全新升级的优化方…

本地环境VMware使用代理解决 Docker 镜像拉取问题

引言 本文将分享我在 Windows 10 环境下,通过 VMware 运行的 CentOS 7.8 虚拟机中配置 Docker 代理,成功解决了镜像拉取问题的经验。 问题描述 在尝试启动一个依赖 Docker 的 GitHub 项目时,拉取 Docker 镜像的失败。尝试配置了几个国内源…

(附源码)基于springboot的智慧社区管理系统-计算机毕设 06797

基于springboot的智慧社区管理系统 摘 要 SpringBoot智慧社区管理系统是一款基于SpringBoot框架开发的智能化社区管理软件,致力于提升社区管理效率和服务质量。该系统涵盖了社区入住管理、物业费管理、公共设施预约等功能,支持在线报修、信息发布、社区活…

Java语言程序设计——篇十三(2)

🌿🌿🌿跟随博主脚步,从这里开始→博主主页🌿🌿🌿 欢迎大家:这里是我的学习笔记、总结知识的地方,喜欢的话请三连,有问题可以私信🌳🌳&…

【运维】报错Resource averaged_perceptron_tagger_eng not found.

文章目录 报错信息解决报错信息 able of handling various complex tasks. Please report the progress of this project to the team members.> ========================<

回溯算法探索篇Ⅲ

Leetcode93——复原IP地址 题目描述&#xff1a; 有效 IP 地址 正好由四个整数&#xff08;每个整数位于 0 到 255 之间组成&#xff0c;且不能含有前导 0&#xff09;&#xff0c;整数之间用 . 分隔。 例如&#xff1a;"0.1.2.201" 和 "192.168.1.1" 是…

PyTorch — 初学者教程

一、说明 在本文中,我将编译 PyTorch 的初学者教程。本教程大量使用了官方 PyTorch 教程中的材料。

Java SE--IO流

一.File类型 如果我们想在程序中操作或者描述一个文件夹或文件&#xff0c;可以使用File类型 File类型在java.io包下 File可以新建&#xff0c;删除&#xff0c;移动&#xff0c;修改&#xff0c;重命名文件夹&#xff0c;也可以对文件或者文件夹的属性进行访问&#xff1b;…