9ACL访问控制列表

程序员麻辣烫2023-12-18 11:38

为什么要有访问控制(Access Control List)?

因为我可能在局域网中提供了一些服务,我只希望合法的用户可以访问,其他非授权用户不能访问。

原理比较简单,通过对数据包里的信息做过滤,实现访问控制。大家也能看出来,这个配置需要工作在路由器上。

基本访问控制列表

基本访问控制,主要是通过IP地址进行控制,在操作上主要有三步:

这里说明一点:基本访问控制列表使用的是 2000 到 2999,高级访问控制列表使用的是3000到3999。

高级访问控制列表

基本访问控制,能够配置的内容比较少,高级访问控制能够配置的内容就比较多了:

规则的写法

动作 协议类型 可选参数
tcp 地址:source 源地址 反掩码 destination 目的地址 反掩码
rule {permit | deny} ip 端口:source-port {eq|gt|lt|neq} port destination-port {eq|gt|lt|neq} port
icmp ICMP: icmp-type 报文类型名
时间段:time-range time-name(提前定义的)

实战

先啥都不连线,不配置,启动路由器。配置PC的IP地址和路由器网关

csharp 复制代码 
[RT1]inter GigabitEthernet 0/0
[RT1-GigabitEthernet0/0]ip add 172.16.1.2 24
[RT1-GigabitEthernet0/0]quit
[RT1]inter GigabitEthernet 0/1
[RT1-GigabitEthernet0/1]ip add 172.16.2.2 24
[RT1-GigabitEthernet0/1]quit
[RT1]inter GigabitEthernet 0/2
[RT1-GigabitEthernet0/2]ip add 172.16.3.2 24
[RT1-GigabitEthernet0/2]quit

配置完后,因为路由器静态路由的功能,能看到互相通了

css 复制代码 
[RT1]display ip routing-table

Destinations : 16       Routes : 16

Destination/Mask   Proto   Pre Cost        NextHop         Interface
0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0
127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0
127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0
127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
172.16.1.0/24      Direct  0   0           172.16.1.2      GE0/0
172.16.1.2/32      Direct  0   0           127.0.0.1       InLoop0
172.16.1.255/32    Direct  0   0           172.16.1.2      GE0/0
172.16.2.0/24      Direct  0   0           172.16.2.2      GE0/1
172.16.2.2/32      Direct  0   0           127.0.0.1       InLoop0
172.16.2.255/32    Direct  0   0           172.16.2.2      GE0/1
172.16.3.0/24      Direct  0   0           172.16.3.2      GE0/2
172.16.3.2/32      Direct  0   0           127.0.0.1       InLoop0
172.16.3.255/32    Direct  0   0           172.16.3.2      GE0/2
224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0
224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0
255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

三台机器也可以相互ping通。假设我不想让PC3连到PC2,我可以在路由器的GE0/0添加限制

配置规则

csharp 复制代码 
[RT1]acl number 2000
[RT1-acl-ipv4-basic-2000]rule deny source 172.16.1.0 0.0.0.255

在GE0/0启用规则

csharp 复制代码 
[RT1]int g0/0
[RT1-GigabitEthernet0/0]firewall packet-filter 2000 inbound

比较尴尬的一点是,HCL上的路由器貌似识别不了firewall的命令,所以本次就不继续演示了。其实命令也展示的差不多了,配置规则,然后再指定接口启用规则就可以了。

总结

路由器的访问控制能力,是否有用或者有用到什么程度得看具体场景。如果是同公司的两个分区(A、B)通过互联网相连,A里的服务只允许B访问,虽然可以通过ACL控制,但不安全啊。意味着只要进入B公司连入内网就可以访问了。

相关推荐
川石课堂软件测试3 分钟前
MySQL数据库之DBA命令
数据库·网络协议·mysql·http·单元测试·prometheus·dba
uzong1 小时前
一次慢接口背后,竟藏着40+种可能!你中过几个
后端·面试·程序员
G探险者1 小时前
滴滴P0级故障背后:互联网公司是如何分级处理线上事故的?
后端
G探险者2 小时前
从 Tomcat 与 Jetty 的对比,聊聊影响一个服务并发能力的关键因素
后端
你的人类朋友2 小时前
“签名”这个概念是非对称加密独有的吗?
前端·后端·安全
幼稚园的山代王3 小时前
go语言了解
开发语言·后端·golang
kkjt01303 小时前
{MySQL查询性能优化索引失效的八大场景与深度解决方案}
后端
ss2733 小时前
手写MyBatis第107弹:@MapperScan原理与SqlSessionTemplate线程安全机制
java·开发语言·后端·mybatis
橙子家3 小时前
log4net 简介以及简单示例(.net8)
后端
间彧4 小时前
Spring Boot分布式WebSocket实现指南:项目实战与代码详解
后端
热门推荐
01两千字总结:Codex 国内如何安装和使用的教程,以及如何设置中文回答02BongoCat - 跨平台键盘猫动画工具03GitHub 镜像站点04UV安装并设置国内源05Linux下V2Ray安装配置指南06GitLab 零基础入门指南:从安装到项目管理全流程07智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践0846个Nano-banana 精选提示词,持续更新中092025羊城杯网络安全大赛 wp10UV 工具安装与国内镜像源配置指南