9ACL访问控制列表

程序员麻辣烫2023-12-18 11:38

为什么要有访问控制(Access Control List)?

因为我可能在局域网中提供了一些服务,我只希望合法的用户可以访问,其他非授权用户不能访问。

原理比较简单,通过对数据包里的信息做过滤,实现访问控制。大家也能看出来,这个配置需要工作在路由器上。

基本访问控制列表

基本访问控制,主要是通过IP地址进行控制,在操作上主要有三步:

这里说明一点:基本访问控制列表使用的是 2000 到 2999,高级访问控制列表使用的是3000到3999。

高级访问控制列表

基本访问控制,能够配置的内容比较少,高级访问控制能够配置的内容就比较多了:

规则的写法

动作 协议类型 可选参数
tcp 地址:source 源地址 反掩码 destination 目的地址 反掩码
rule {permit | deny} ip 端口:source-port {eq|gt|lt|neq} port destination-port {eq|gt|lt|neq} port
icmp ICMP: icmp-type 报文类型名
时间段:time-range time-name(提前定义的)

实战

先啥都不连线,不配置,启动路由器。配置PC的IP地址和路由器网关

csharp 复制代码 
[RT1]inter GigabitEthernet 0/0
[RT1-GigabitEthernet0/0]ip add 172.16.1.2 24
[RT1-GigabitEthernet0/0]quit
[RT1]inter GigabitEthernet 0/1
[RT1-GigabitEthernet0/1]ip add 172.16.2.2 24
[RT1-GigabitEthernet0/1]quit
[RT1]inter GigabitEthernet 0/2
[RT1-GigabitEthernet0/2]ip add 172.16.3.2 24
[RT1-GigabitEthernet0/2]quit

配置完后,因为路由器静态路由的功能,能看到互相通了

css 复制代码 
[RT1]display ip routing-table

Destinations : 16       Routes : 16

Destination/Mask   Proto   Pre Cost        NextHop         Interface
0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0
127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0
127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0
127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
172.16.1.0/24      Direct  0   0           172.16.1.2      GE0/0
172.16.1.2/32      Direct  0   0           127.0.0.1       InLoop0
172.16.1.255/32    Direct  0   0           172.16.1.2      GE0/0
172.16.2.0/24      Direct  0   0           172.16.2.2      GE0/1
172.16.2.2/32      Direct  0   0           127.0.0.1       InLoop0
172.16.2.255/32    Direct  0   0           172.16.2.2      GE0/1
172.16.3.0/24      Direct  0   0           172.16.3.2      GE0/2
172.16.3.2/32      Direct  0   0           127.0.0.1       InLoop0
172.16.3.255/32    Direct  0   0           172.16.3.2      GE0/2
224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0
224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0
255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

三台机器也可以相互ping通。假设我不想让PC3连到PC2,我可以在路由器的GE0/0添加限制

配置规则

csharp 复制代码 
[RT1]acl number 2000
[RT1-acl-ipv4-basic-2000]rule deny source 172.16.1.0 0.0.0.255

在GE0/0启用规则

csharp 复制代码 
[RT1]int g0/0
[RT1-GigabitEthernet0/0]firewall packet-filter 2000 inbound

比较尴尬的一点是,HCL上的路由器貌似识别不了firewall的命令,所以本次就不继续演示了。其实命令也展示的差不多了,配置规则,然后再指定接口启用规则就可以了。

总结

路由器的访问控制能力,是否有用或者有用到什么程度得看具体场景。如果是同公司的两个分区(A、B)通过互联网相连,A里的服务只允许B访问,虽然可以通过ACL控制,但不安全啊。意味着只要进入B公司连入内网就可以访问了。

相关推荐
why1511 小时前
腾讯(QQ浏览器)后端开发
开发语言·后端·golang
浪裡遊1 小时前
跨域问题(Cross-Origin Problem)
linux·前端·vue.js·后端·https·sprint
声声codeGrandMaster2 小时前
django之优化分页功能(利用参数共存及封装来实现)
数据库·后端·python·django
呼Lu噜2 小时前
WPF-遵循MVVM框架创建图表的显示【保姆级】
前端·后端·wpf
bing_1582 小时前
为什么选择 Spring Boot? 它是如何简化单个微服务的创建、配置和部署的?
spring boot·后端·微服务
学c真好玩2 小时前
Django创建的应用目录详细解释以及如何操作数据库自动创建表
后端·python·django
Asthenia04122 小时前
GenericObjectPool——重用你的对象
后端
Piper蛋窝3 小时前
Go 1.18 相比 Go 1.17 有哪些值得注意的改动?
后端
excel3 小时前
招幕技术人员
前端·javascript·后端
盖世英雄酱581363 小时前
什么是MCP
后端·程序员
热门推荐
01西电B测-计算机网络综合实验(含验收问题)02KGG转MP3工具|非KGM文件|解密音频03从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑04Coze扣子平台完整体验和实践(附国内和国际版对比)05yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记06我决定放弃搞 Java 了07DeepSeek各版本说明与优缺点分析08YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】09苍穹外卖面试总结10最新 Kubernetes 集群部署 + flannel 网络插件(保姆级教程,最新 K8S 版本)