學網絡，就在IE-LAB

國內高端網絡工程師培養基地

---

基于ACL過濾telnet和特定的網段信息

什么是訪問控制列表(ACL)？

應用于路由器接口的指令列表，用于指定哪些數據包可以接收轉發，哪些數據包需要拒絕

ACL的工作原理：

1.讀取第三層及第四層包頭中的信息

2.根據預先定義好的規則(Deny or Permit)對包進行過濾

基本類型的訪問控制列表，本文主講擴展的訪問控制列表：

1.標準訪問控制列表

2.擴展訪問控制列表

3.命名的訪問控制列表

我們以下面的例子作為實驗進行講解：

描述要求：

1.???? 使用OSPF協議使得全網互通，需要測試

2.???? 使用訪問控制列表，使主機PC1不可以訪問主機PC3，但可以訪問其他設備

3.???? 使用訪問控制列表，PC2不可以遠程登錄Server，其他設備可以遠程登錄Server

拓撲：

配置命令：

1.????配置PC機IP地址和網關地址：

2.????如果使用路由器代替PC需要手工配置網關地址

PC1：

PC1(config)#interface Ethernet0/0

PC1(config-if)#ip address 192.168.1.1255.255.255.0

PC1(config)#ip default-gateway 192.168.1.254

PC2：

PC2(config)#interface Ethernet0/0

PC2(config-if)#ip address 192.168.2.1255.255.255.0

PC2(config)#ip default-gateway 192.168.2.254

PC3：

PC3(config)#interface Ethernet0/0

PC3(config-if)#ip address 192.168.3.1255.255.255.0

PC3(config)#ip default-gateway 192.168.3.254

PC4：

PC4(config)#interface Ethernet0/0

PC4(config-if)#ip address 192.168.3.2255.255.255.0

PC4(config)#ip default-gateway 192.168.3.254

3.????配置路由器R1、R2接口IP地址，根據需求使用OSPF路由協議使得全網互通

R1(config)#interface Ethernet0/0

R1(config-if)#ip address 192.168.1.254255.255.255.0

R1(config)#interface Ethernet0/1

R1(config-if)#ip address 192.168.2.254255.255.255.0

R1(config)#interface Ethernet0/2

R1(config-if)#ip address 12.12.12.1255.255.255.252

R1(config)#router ospf 1

R1(config-router)#router-id 1.1.1.1

R1(config-router)#network 12.12.12.0 0.0.0.3area 0

R1(config-router)#network 192.168.1.0 0.0.0.255area 0

R1(config-router)#network 192.168.2.0 0.0.0.255area 0

R2(config)#interface Ethernet0/0

R2(config-if)#ip address 12.12.12.2255.255.255.252

R2(config)#interface Ethernet0/1

R2(config-if)#ip address 192.168.3.254255.255.255.0

R2(config)#router ospf 1

R2(config-router)#router-id 2.2.2.2

R2(config-router)#network 12.12.12.0 0.0.0.3area 0

R2(config-router)#network 192.168.3.0 0.0.0.255area 0

4.????進行測試，是否是全網互通，必須檢查，否則不知道ACL配置完成后是否有效果

PC1 ping PC2、PC3、PC4:

PC1#ping 192.168.2.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1,timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-tripmin/avg/max = 5/5/6 ms

PC1#ping 192.168.3.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.3.1,timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-tripmin/avg/max = 1/1/1 ms

PC1#ping 192.168.3.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.3.2,timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-tripmin/avg/max = 1/1/1 ms

5.????使用訪問控制列表進行過濾，使得主機PC1不可以訪問主機PC3，但可以訪問其他設備

因為標準的訪問控制列表是根據源地址進行過濾的，沒有辦法做到精確匹配，所以我們選擇使用擴展的訪問控制列表，擴展的訪問控制列表是根據五元素組(源IP，目的IP，傳輸層協議，源端口和目的端口)每個條件都必須匹配，才會施加允許或拒絕條件，使用擴展ACL可以實現更加精確的流量控制，訪問控制列表號從100到199

所以我們選擇在R1進行配置，因為可以精確過濾，所以可以在出方向的接口(距離源地址最近的進出接口進行過濾)，我們在R1進接口E0/0接口調用，

配置命令如下：

R1：(注意：一定要在接口調用，否則不會生效)

R1(config)#access-list 100 deny ip host192.168.1.1 host 192.168.3.1

R1(config)#access-list 100 permit ip any any———默認拒絕一切，所以需要放行其他網段

R1(config)#interface e0/0

R1(config-if)#ip access-group 100 in

檢查：

PC1#ping 192.168.3.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:

UUUUU

Success rate is 0 percent (0/5)

PC1#ping 192.168.2.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1,timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-tripmin/avg/max = 2/4/6 ms

PC1#ping 192.168.3.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.3.2,timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-tripmin/avg/max = 1/1/1 ms

6.????在Server配置遠程登錄(我的是路由器模擬的)

在配置前需要在R2配置網關地址，并將這個接口宣告進OSPF中，保證可以ping通。

R2：

R2(config)#interface Serial2/0

R2(config-if)#ip address 10.1.1.254255.255.255.0

R2(config-if)#ip ospf 1 area 0

Server：(設置登錄密碼和enable密碼)

Server(config)#line vty 0 4

Server(config-line)#password CCIE

Server(config-line)#login

Server(config-line)#transport input telnet

Server(config)#enable password CCIE

檢查：

7.配置訪問控制列表，拒絕主機PC2遠程登錄到Server，同樣在R1的進接口E0/1調用：

R1：

R1(config)#access-list101 deny tcp host 192.168.2.1 host 10.1.1.1 eq telnet(或寫端口號23)

R1(config)#access-list 101 permit tcp any any

R1(config)#interface Ethernet0/1

R1(config-if)#ip address 192.168.2.254 255.255.255.0

R1(config-if)#ip access-group 101 in

檢查：

總結：

正常情況下，我們還可以禁止其他協議的流量，比如ICMP報文有：

⑴echo-request：為ping使用的環路測試請求；

⑵echo-reply：為ping使用的環路測試回應；

⑶packet-too-big：某些程序用來偵測目標地址路徑上的MTU；

⑷time to live(TTL)? ttl-exceeded ：tracerouter 測試網絡報文生存周期；

⑸destinationhost unreachable：通知會話目標不可達

這些我們都可以通過擴展的訪問控制列表進行過濾，注意寫的時候不要把端口號寫錯了，當然也可以直接寫這個單詞，以上就是關于使用擴展的ACL去過濾某一個特定的網段和過濾一些特定的協議流量(本文案例是Telnet)。

往期【網工知識角】技術回顧：

關于路由答疑10問總結2，三分鐘自測時間到！網工知識角免費學技術

【純干貨】IELAB路由技術問題總結1，就在網工知識角

網工知識角|存儲區域網絡詳細介紹，帶你全面了解SAN

網工知識角|一分鐘輕松了解華為端口安全機制

網工知識角輕松學網絡|三分鐘了解PPPOE協議

技術打卡不停歇，網工知識角|NSX網絡虛擬化

網工知識角|了解安全保護新機制 AppDefense

網工知識角|云訪問安全代理是否支持IPv6？

網工知識角|第一節，教你了解云計算的幾種服務

網工知識角|了解端口映射和端口轉發的區別

網工知識角|MUXVLAN技術詳解，基本原理一篇搞定

關于ESXi的基本介紹及其五大優點，網工知識角

網工知識角|網絡內部漏洞如何解決？有802.1X協議不用怕

網絡端口鏡像技術三分鐘詳細總結一篇搞定，就在網工知識角

網工知識角|溫故知新之關于語音你不得不知的PSTN協議詳解

網工知識角|關于會話初始協議 SIP超詳細介紹，建議收藏

網工知識角|一分鐘記熟NFV網絡功能虛擬化技術介紹

網工知識角|IPSec協議是如何確保網絡安全的？

網工知識角|華為認證配置指南之SSL協議知多少

網工知識角|快速掌握華為認證交換機配置之端口安全機制

網工知識角|掌握這四種方式完成垃圾郵件過濾，守護網絡安全

IPSec協議超詳細解讀網絡安全協議的重要性就在網工知識角

光纖通信技術知多少？WDM技術原理概述就在網工知識角

網工知識角|你不得不了解的VRRP負載均衡技術詳解

乘SDN的熱潮，NETCONF協議“重出江湖”，五大優點總結就在網工知識角

網工請戳！交換機配置指南半分鐘即可掌握關于SSL配置的內容

熱門無線技術中這個知識點你知多少？WLAN WDS技術詳解一篇搞定

MSDP協議的三個優點你知多少，就在網工知識角

VLAN攻擊如何有效防范？搞定虛擬局域網就在網工知識角

一分鐘掌握NFV基本概念，就在網工知識角

三分鐘掌握熱點路由技術之DLSW，技術詳解就在網工知識角

避免引起網絡安全問題，6步完成華為設備風暴控制的配置,網工知識角

關于OSPF協議重點學習筆記之OSPFv3和OSPFv2的區別

思科路由協議IGRP和EIGRP超詳細總結，了解它們之間的關聯和區別

網工知識角|NAT64基本原理概述，它的局限性又有哪些？

快速掌握網絡通訊流量資源浪費的環路解決方法，網工知識角

新網工技術一分鐘解讀Openflow工作原理，網工知識角

網工知識角|用于管理和控制IPv6組播組的MLDsnooping技術詳解

網工知識角|快速理解FTP和TFTP的區別，實用收藏

新網工都要了解的無線技術，你卻連Mesh網絡是什么都不知道？

網工知識角|零基礎入門學網絡，三分鐘掌握DTP協議的五種接口模式

網工知識角|思科全新EI及無線方向你必須要去了解的WLAN漫游技術

網工知識角|基礎入門務必掌握這兩個常用協議，快速攻克面試難關

網工知識角|技術大牛自檢時間到，關于MLD技術你知多少？

網工知識角|不可忽略的三個關鍵點，確保端口安全配置無誤

網工知識角|一分鐘搞定802.1x認證配置，了解三種授權模式的區別

快速完成華為IPSG配置一分鐘看完即會，網工知識角每天進步一點點

網工知識角|一分鐘輕松掌握Mac地址漂移使用的場景

網絡工程師技術難點分析MTU和PMTU是什么？就在網工知識角

華為網絡初級工程師快速掌握基于MAC地址的VLAN劃分實用收藏

網工知識角｜華為網絡技術面試題詳解QOS流量整形令牌桶機制和規則

這樣總結隧道Tunnel技術工作原理更容易記住 網絡工程師還不收藏？

你知道NAC網絡準入控制的5大功能5種類型和3重優點嗎？

網工知識角|什么是虛擬化？史上最全云計算基礎虛擬化技術各種概念高薪面試必備

網工知識角|網絡工程師快收下這份華為MUXVLAN的原理和配置，華為HCIP數通網絡實用技術

網工知識角|華為HCIE數通認證基礎必學之GVRP協議是什么

網工知識角|CCIE網絡工程師安全基礎之AAA認證的三個基本組件

網工知識角|EI CCIE企業網軟定義中的VxLAN分布式網關兩種部署方式

網工知識角|關于OSPF V3你了解嗎？不懂沒關系，收下這份配置

純干貨網工知識角|入門IT網絡工程師收下這份關于NTP網絡時間協議解讀

學思科和華為都需要掌握之網絡安全技術防火墻的4種分類，網工知識角

網工知識角|信息安全入門反病毒技術全面解說5種傳播途徑

網工知識角|沒人會告訴你的網絡SDN軟定義技術中VXLAN的4個特點

網工知識角|你不可不知的WLAN的安全技術體系

網工知識角|什么是思科軟件定義接入(SD-Access)? 新一代網工必學的自動化技術

網工知識角|什么是華為CSS 集群？簡單易懂，面試收藏

網工知識角|三分鐘了解QOS的處理流程和分類

網工知識角|Qos的基本原理

網工知識角|LACP技術詳解

網工知識角|802.1X協議介紹

網工知識角|OpenFlow協議簡介

網工知識角|MSTP協議詳解

網工知識角|快速了解IGMP協議

網工知識角|快速了解和掌握HSRP協議簡介和配置

網工知識角|1分鐘了解GRE協議淺析

網工知識角|DHCP服務詳解和基于eNSP DHCP配置

網工知識角|P2P協議簡介

網工知識角|OSPFv3技術概述

網工知識角|防火墻雙機熱備三大協議(VRRP-VGMP-HRP)簡述

網工知識角|一分鐘了解交換機的堆疊技術

網工知識角|簡單了解Cisco PVST協議

網工知識角|MPLS LDP簡介

網工知識角|GLBP網關負載均衡協議原理

網工知識角|Cisco VTP解析

網工知識角|DLDP技術簡述

網工技術分享|Cisco策略路由PBR詳解

網工技術分享|Cisco CEF淺析

掃碼咨詢報名

IE-LAB有優質雄厚師資力量支撐，全面的學習平臺和完善的教學服務，我們培養了一批又一批的HCIE/CCIE學員，加入我們，成就未來。

分享給更多網工同伴一起進步

關注本訂閱號,點個“贊“”在看”

總結

以上是生活随笔為你收集整理的对路径的访问被拒绝怎么办_学习了解ACL—扩展访问控制列表，就在网工知识角...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。