ACL訪問控制列表實驗
ACL(Access Control List,訪問控制列表)是一種用于控制用戶或系統對資源(如文件、文件夾、網絡等)訪問權限的機制。通過ACL,系統管理員可以定義哪些用戶或系統可以訪問特定資源,以及他們可以執行哪些操作。
ACL可以根據不同的需求和場景進行配置,常見的ACL包括:
-
文件系統ACL:用于控制對文件和文件夾的訪問權限,可以指定不同用戶或用戶組的讀、寫、執行權限。
-
網絡ACL:用于控制網絡設備(如路由器、防火墻)上的流量訪問權限,可以指定允許或拒絕特定IP地址或協議的通信。
-
數據庫ACL:用于控制對數據庫中表、視圖、存儲過程等對象的訪問權限,可以指定哪些用戶可以執行哪些SQL操作。
-
應用程序ACL:用于控制應用程序中不同角色或用戶對功能的訪問權限,可以限制用戶能夠進行的操作。
通過ACL,系統管理員可以實現細粒度的權限控制,確保只有經過授權的用戶或系統可以訪問敏感數據或資源,從而提高系統的安全性和可管理性。
ACL 2000-2999:用于控制IPv4流量的訪問規則,例如限制某些IP地址或端口的訪問權限。basic,源地址和目的地址選擇一個進行配置
ACL 3000-3999:用于控制IPv6流量的訪問規則,類似于IPv4 ACL,但適用于IPv6地址。advanced, 可以配置源地址和目的地址
- 配置PC1,PC2
- 配置路由器R1
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.2.254 24
[R1-GigabitEthernet0/0/0]
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2]ip address 10.10.10.254 24- 配置服務器:
IP,掩碼,網關都要配置 - 此時,PC1,2,服務器間均能通信
- 配置ACL:
[R1]ACL 3000
[R1-acl-adv-3000]rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168
.2.0 0.0.0.255
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
建立規則5,默認rule從5開始,然后是10,15.。拒絕來源于192.168.1.0的網段的消息訪問192.168.2.0網段,IP后加上反掩碼(和OSPF路由協議配置一樣)
將規則部署在路由器端口上,inbound表示進入路由器的方向,outbound表示出路由器的方向
現在PC1 PC2 不通了。
[R1]acl 3001
[R1-acl-adv-3001]rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168
.1.0 0.0.0.255
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
基建之PDF解析的“魔法”與“陷阱”)
系統化學習路線)
)
)
