From ed8afd33ef90026c0643576185269aeedfd7bce9 Mon Sep 17 00:00:00 2001 From: unknown <3436235697@qq.com> Date: Thu, 24 Apr 2025 12:55:15 +0800 Subject: [PATCH 1/2] 20250424 --- ...47\345\210\266\345\210\227\350\241\250.md" | 91 +++++++++++++++++++ 1 file changed, 91 insertions(+) create mode 100644 "34 \345\220\264\345\255\237\345\275\244/20250424 ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250.md" diff --git "a/34 \345\220\264\345\255\237\345\275\244/20250424 ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250.md" "b/34 \345\220\264\345\255\237\345\275\244/20250424 ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250.md" new file mode 100644 index 0000000..d154f30 --- /dev/null +++ "b/34 \345\220\264\345\255\237\345\275\244/20250424 ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250.md" @@ -0,0 +1,91 @@ +### ACL访问控制列表 + +#### ACL类型 + +1. 标准ACL:仅源IP地址 +2. 扩展ACL:源IP,目的IP,协议,端口 + +#### 标准ACL语法 + +1. 创建ACL + +```cmd +access-list <编号> <动作> <源IP> <通配符掩码> +# 编号范围 1-99 +# 动作:permit 允许 、 deny 拒绝 + +access-list 10 permit 192.168.1.0 0.0.0.255 # 允许192.168.1.0/24g整个网络 +access-list 10 permit 192.168.10.2 # 允许192.168.10.2单个IP通过 +access-list 10 deny any # 拒绝其他所有流量 +# 要按照顺序,如果先拒绝其他网络,再允许其他网络,这样后面允许的网络仍然不同 +``` + +2. 应用ACL + +```cmd +# 步骤1:先选择要应用ACL的端口 +interface g0/0 +# 步骤2:通过ACL编号及方向来应用ACL +ip access-group <编号> <方向> # 方向 in / out 代表流量流入/流出路由器的方向 +``` + +```cmd +任务1:192.168.10.1 可访问外网 40.1不可以 +Switch(config)#access-list 10 permit 192.168.10.1 +Switch(config)#access-list 10 deny any +Switch(config)#interface f0/2 +Switch(config-if)#ip access-group 10 out +``` + +```cmd +任务2:只允许192.168.20.0 访问 192.168.30.0内的主机 +Router(config)#access-list 10 permit 192.168.20.0 0.0.0.255 +Router(config)#access-list 10 deny any +Router(config)#interface g0/1 +Router(config-if)#ip access-group 10 in +``` + +![image-20250424124322923](https://gitee.com/potatoes-do-not-peel/image-storage/raw/master/img/upgit_20250424_1745469805.png) + +![image-20250424124440016](https://gitee.com/potatoes-do-not-peel/image-storage/raw/master/img/upgit_20250424_1745469880.png) + +![image-20250424124457766](https://gitee.com/potatoes-do-not-peel/image-storage/raw/master/img/upgit_20250424_1745469898.png) + +```cmd +实践任务: +1.部门内部可以互通,但不能访问外网,除了经理 +2.经理之间可以互通 +3.业务经理只允许被财务经理访问 + +财务部-路由器3配置 +Router(config)#access-list 10 permit 192.168.10.1 +Router(config)#access-list 10 deny any +Router(config)#interface g0/2 +Router(config-if)#ip access-group 10 out + +后勤部-路由器5配置 +Router(config)#access-list 10 permit 192.168.20.2 +Router(config)#access-list 10 deny any +Router(config)#interface g0/0 +Router(config-if)#ip access-group 10 out + +业务部-路由器1配置 +Router(config)#access-list 10 permit 192.168.30.1 +Router(config)#access-list 10 deny any +Router(config)#interface g0/2 +Router(config-if)#ip access-group 10 out + +业务经理只允许被财务经理访问 +Router(config)#access-list 10 permit 192.168.10.1 +Router(config)#access-list 10 permit 3.3.3.0 0.0.0.255 +Router(config)#access-list 10 deny any +Router(config)#interface g0/0 +Router(config-if)#ip access-group 10 in +``` + +![image-20250424124516404](https://gitee.com/potatoes-do-not-peel/image-storage/raw/master/img/upgit_20250424_1745469917.png) + +![image-20250424124530686](https://gitee.com/potatoes-do-not-peel/image-storage/raw/master/img/upgit_20250424_1745469931.png) + +![image-20250424124544207](https://gitee.com/potatoes-do-not-peel/image-storage/raw/master/img/upgit_20250424_1745469944.png) + -- Gitee From 02e86faef4f5b646bfc444167e4647e3589d663a Mon Sep 17 00:00:00 2001 From: unknown <3436235697@qq.com> Date: Thu, 24 Apr 2025 13:33:24 +0800 Subject: [PATCH 2/2] 1 --- ...1\227\256\346\216\247\345\210\266\345\210\227\350\241\250.md" | 1 + 1 file changed, 1 insertion(+) diff --git "a/34 \345\220\264\345\255\237\345\275\244/20250424 ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250.md" "b/34 \345\220\264\345\255\237\345\275\244/20250424 ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250.md" index d154f30..3a672b5 100644 --- "a/34 \345\220\264\345\255\237\345\275\244/20250424 ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250.md" +++ "b/34 \345\220\264\345\255\237\345\275\244/20250424 ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250.md" @@ -40,6 +40,7 @@ Switch(config-if)#ip access-group 10 out ```cmd 任务2:只允许192.168.20.0 访问 192.168.30.0内的主机 Router(config)#access-list 10 permit 192.168.20.0 0.0.0.255 +Router(config)#access-list 10 permit 20.0.0.0 0.0.0.255 Router(config)#access-list 10 deny any Router(config)#interface g0/1 Router(config-if)#ip access-group 10 in -- Gitee