一、访问控制列表(ACL):

  • 读取第三层、第四层包头信息。
  • 根据预先定义好的规则对包进行过滤。
    在这里插入图片描述

二、访问控制列表的处理过程:

在这里插入图片描述

三、访问控制列表

1、标准控制列表 (应该放在靠近目标的地方)

  • 基于源ip地址过滤数据包
  • 标准访问控制列表的访问控制列表号是2000~2999

2、扩展访问控制列表 (扩展ACL应该放在靠近源的地方)

  • 基于源IP地址、目标地址、指定协议、端口和标志来过滤数据包
  • 扩展访问控制列表的访问列表号是3000~3999

3、命名访问控制列表

  • 命名访问控制列表允许再标准和拓展访问控制列表中使用名称代替表号。

四、ACL实际运用实验:

在这里插入图片描述
实验代码:

实验需求1:全网互通
1、二层交换机配置
SW1:
[SW1]v b 10 20
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]p l a
[SW1-Ethernet0/0/1]p d v 10
[SW1-Ethernet0/0/1]q
[SW1]int e0/0/2
[SW1-Ethernet0/0/2]p l a
[SW1-Ethernet0/0/2]p d v 20
[SW1-Ethernet0/0/2]q
[SW1]int e0/0/3
[SW1-Ethernet0/0/3]p l a
[SW1-Ethernet0/0/3]p d v 10
[SW1-Ethernet0/0/3]q
[SW1]int e0/0/4
[SW1-Ethernet0/0/4]p l a
[SW1-Ethernet0/0/4]p d v 20
[SW1-Ethernet0/0/4]q
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]p l t
[SW1-GigabitEthernet0/0/1]p t a v a
[SW1-GigabitEthernet0/0/1]q

R1:
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]un sh                ####把物理接口打开
[R1-GigabitEthernet0/0/0]int g0/0/0.10           ###配单臂路由
[R1-GigabitEthernet0/0/0.10]dotlq termination vid 10
[R1-GigabitEthernet0/0/0.10]ip add 192.168.10.1 24
[R1-GigabitEthernet0/0/0.10]arp broadcast enable 
[R1-GigabitEthernet0/0/0.10]q
[R1]int g0/0/0.20
[R1-GigabitEthernet0/0/0.20]dotlq termination vid 20
[R1-GigabitEthernet0/0/0.20]ip add 192.168.20.1 24
[R1-GigabitEthernet0/0/0.20]arp broadcast enable 
[R1-GigabitEthernet0/0/0.20]q
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24
[R1-GigabitEthernet0/0/1]un sh
[R1-GigabitEthernet0/0/1]q
[R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

R2:
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add  12.1.1.2 24
[R2-GigabitEthernet0/0/0]un sh
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 202.10.100.1 24
[R2-GigabitEthernet0/0/1]un sh
[R2-GigabitEthernet0/0/1]q
[R2]ip route-static 192.168.10.0 24 12.1.1.1
[R2]ip route-static 192.168.20.0 24 12.1.1.1


实验需求2:用ACL标准列表禁止vlan10和vlan20通信
         标准列表--应该将列表放进靠近目标的地方
         因为通信是双向的,因而只要阻止一个方向就可以完成不能通信的目的
         在AR1上做的ACL列表如下:
         第一步写列表,第二步接口下调用

### 第一步:写列表
[R1]acl 2000     
[R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255    ###禁掉
[R1-acl-basic-2000]rule permit source any     ###允许通过

###第二步:接口下调用
[R1-acl-basic-2000]int g0/0/0.20    
[R1-GigabitEthernet0/0/0.20]traffic-filter outbound acl 2000   ###进入.20子接口,pc1访问vlan20时,.20子接口为出端口


实验需求3:用ACL扩展列表禁止R1访问FTP服务器
第一步:R2上配置ACL
[R2]acl 3000
[R2-acl-adv-3000]rule deny tcp source 12.1.1.1 0.0.0.0 destination 202.10.100.10
0 0.0.0.0 destination-port eq 21
[R2-acl-adv-3000]rule deny tcp source 12.1.1.1 0.0.0.0 destination 202.10.100.10
0 0.0.0.0 destination-port eq 20
[R2-acl-adv-3000]rule permit ip source any destination any 
第二步:接口下调用:
[R2-acl-adv-3000]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
# linux # 网络
Logo
腾讯云开发者社区

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐

python Process finished with exit code -1073740940 (0xC0000374)

python Process finished with exit code -1073740940 (0xC0000374)在运行项目的时候报错:Process finished with exit code -1073740940 (0xC0000374)解决方法:控制面板 - 时钟和区域 - 区域 - 管理 -非Unicode 在UTF-8选中 - 重启

avatar 腾讯云开发者社区

python基于神经机器翻译技术的翻译网站实现

摘要机器翻译一直是人工智能领域里的一个重要研究对象,本文应用神经机器翻译技术, 实现了从数据预处理到模型训练与模型部署的全流程,并实现了一个可以跨平台访问的翻译网站供需要的人使用。在训练神经机器翻译模型时,首先对原始语料数据集进行清洗,去除长度占比不合理的句子与含有违法字符的语句,随后使用分词组件对语料进行第一轮分词,第一轮分词后使用 BPE(字节对编码)算法对词级别的语料进一步切分,并构建词典。

avatar 腾讯云开发者社区

java——加密、解密算法

目录概述三大类加密算法各算法对比对称加密和非对称加密的区别项目中常用总结代码示例AES、DES加密示例MD5加密示例RSA加密示例概述在项目开发中,我们常需要用到加解密算法,加解密算法主要分为三大类:三大类加密算法1、对称加密算法,如:AES、DES、3DES2、非对称加密算法,如:RSA、DSA、ECC3、散列算法,如:MD5、SHA1、HMAC各算法对比对称加密算法(加解密密钥相同)非对称算法

avatar 腾讯云开发者社区