ACL访问控制列表详解
ACL讲解目录
一、ACL知识
(1)接口应用方向
(2)访问控制列表的处理过程
二、ACL 工作原理:
(1)ACL 种类:
(2)ACL的应用原则:
三、应用规则
四、华为路由配置
一、ACL知识
读取第三层、第四层包头信息
根据预先定义号的规则对包进行过滤
(1)接口应用方向(与数据方向有关)
- 出:已经过路由器的处理,正离开路由器接口的数据包
- 入:已到达路由器接口的数据包,将被路由器处理
(2)访问控制列表的处理过程
- ACL: access list 访问控制列表
- ACL两种作用:
- 0用来对数据包做访问控制(丢弃或者放行)
- 结合其他协议,用来匹配范围
二、ACL 工作原理:
当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
(1)ACL 种类:
- 基本ACL ( 2000-2999) :只能匹配源ip地址。
- 高级ACL ( 3000-3999) :可以匹配源ip、目标ip、 源端口、目标端口等三层和四层的字段。
- 二层ACL (4000-4999) :根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二二层信息制定规则。
(仅作了解即可)
(2)ACL(访问控制列表)的应用原则:
- 基本ACL,尽量用在靠近目的点
- 高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
三、应用规则
1、一个接口的同一个方向,只能调用一-个acl
2、一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一.旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放行所有(华为设备)
四、华为路由配置
[Huawei]acl number 2000 ###创建acl 2000
[Huawei-acl-basic-2000]rule(拒绝) 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一一台,5是这条规则的序号(可不加)
[Huaweilinterface GigabitEthernet 0/0/1 ###进入接口
[Huawei -GigabitEthernet0/0/1]ip address 192.168.2.254 24 ###为此接口添加IP
[Huawe i -GigabitEthernet0/0/1] traffic- filter outbound acl 2000 ###接口出方向调用acl2000,outbound代表 出方向,inbound代表进 入方向
[Huawei -GigabitEthernet0/0/1]undo sh
[Huawei]acl number 2001 ###进入acl 2000列表
[Huawei-acl -basic- 2001]rule permit source 192.168.1.0 0.0.0.255 ###permit代表允许,source代表 来源,掩码部分为反掩码
[Huawei-acl-basic-2001] rule deny source any(所有) ###拒绝所有访问,any代表所有0.0.0.0 255.255. 255.255或者rule deny
[Huawei] interface GigabitEthernet 0/0/1 ###进入出口接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei -GigabitEthernet0/0/1] traffic- filter outbound acl 2001
[Huawei]acl nmuber 3000
##拒绝tcp为高级控制,所以3000起
[Huawei -acl-adv-3000] rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 ### 拒绝Ping
[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq(所有) 80(HTTP协议) ###destination代表目的地地址,destination-port代表目的端口号,80可用www代替
[Huawei -acl-adv-3000] rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80
[Huawei-acl-adv-3000]rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21 ###拒绝源地址192.168.10.0网段访问FTP服务器12.0.0.2
[Huawei-acl-adv-3000]dis this ###查看当前ACL配置是否配置成功
[Huawei] interface g0/0/0
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-Gigabi tEthernet0/0/0]traffic-filter inbound acl 3000 #在接口入方向应用acl
[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound #在接口.上取消acl的应用
[Huawei] display acl 3000 ###显示ac1配置
[Huawei]acl nmuber 3000
[Huawei-acl-adv-3000]dis this ##查看规则序号
[Huawei-acl-adv-3000]undo rule 5 ###删除一条acl语句
[Huawei]undo acl number 3000 ###删除整个ACL3000
ACL访问控制列表详解相关推荐
- 21.ACL 访问控制权限详解,setfacl,getfacl,setfacl -m,setfacl -d,setfacl -k,setfacl -x,mask等实操详解
ACL 访问控制权限详解,setfacl,getfacl,setfacl -m,setfacl -d,setfacl -k,setfacl -x,mask等实操详解 文章目录 ACL (访问控制权限) ...
- 路由器访问控制列表详解
路由器访问控制列表详解 路由器访问控制列表详解 网络安全保障的第一道关卡 对于许多网管员来说,配置路由器的访问控制列表是一件经常性的工作,可以说,路由器的访问控制列表是网络安全保障的第一道关卡.访问列 ...
- ACL访问控制列表(访问控制、抓取感兴趣流)详解及基本ACL和高级ACL的配置。
ACL --- 访问控制列表 1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作.(pemit 允许,deny 拒绝) 2. 抓取感兴趣流:ACL的另一个作用就是和其他服务 ...
- JavaScript数据结构与算法——列表详解(下),基于Nodejs实现一个列表应用
1.上篇回顾: 上篇我们实现了一个列表类,并添加了一些属性,实现了比较多的方法,本文章将与大家一起使用列表实现一个图书借阅查询系统.需要使用JavaScript数据结构与算法--列表详解(上)中写好的 ...
- JavaScript数据结构与算法——列表详解(上)
列表是一组有序的数据,每个数组中的数据项称为元素.数组相关知识不够了解的伙伴可以阅读本人上篇博客在JavaScript中,列表的元素可以是任意数据类型.列表中可以保存不定数量的元素,实际使用时元素的数 ...
- ccna第十一课 ACL访问控制列表
ACL访问控制列表,应用于接口控制网络规则及流量.一个接口的一个方向只能应用一个控制列表 标准控制列表(序号1-99)主要是根据源ip地址进行控制 扩展控制列表(序号100-199)基于源和目的地址. ...
- ensp ACL访问控制列表配置
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用 ...
- ensp配置ACL访问控制列表
简介:访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地 ...
- 三层交换技术 ACL访问控制列表
华为模拟器 计算机网络 三层交换技术 ACL访问控制列表 访问控制列表(ACL):是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应 ...
最新文章
- 全新思科数字化解决方案与产品让企业如虎添翼
- Android 调试 Release 包(debuggable)
- “另一个程序正在使用此文件,进程无法访问”的解决方法
- 【Android 应用开发】Ubuntu 下 Android Studio 开发工具使用详解 (旧版本 | 仅作参考)
- python如何安装matplotlib_详解python安装matplotlib库三种失败情况
- 面试总结----java初级工程师
- 可落地微服务on k8s的持续集成/部署方案
- [洛谷P3292] [SCOI2016]幸运数字
- 嵌入式Linux之旅——环境搭建篇之烧写整个系统
- apache php mysql_PHP环境搭建(php+Apache+mysql)
- kafka学习_kafka学习(第一章 初识kafka)
- 一个简单的js作用域题目(原创)
- python制作自动交易软件-Python语言之一位程序员写了一个自动化交易程序,躺着玩,两年就挣了两百万!...
- qq游戏大厅 for linux,网友第一时间抢先评测:腾讯QQ Linux版
- cartographer 代码思想解读(9)- 激光雷达畸变矫正
- CS224W-图神经网络 笔记5.2:Spectral Clustering - 谱聚类主要思想及关键结论的证明
- 青少年CTF-WEB-Queen
- setResulttransformer过期NativeQueryImpl,cannot be cast to org.hibernate.query.internal.NativeQueryImpl
- KVM - 虚机内核配置
- android 拍摄视频后返回九宫格,抖音九宫格不同视频怎么拍 九个不同的视频在一个画面播放...