ACL讲解目录

一、ACL知识
   （1）接口应用方向
   （2）访问控制列表的处理过程
二、ACL 工作原理:
   （1）ACL 种类:
   （2）ACL的应用原则:
三、应用规则
四、华为路由配置

一、ACL知识

读取第三层、第四层包头信息

根据预先定义号的规则对包进行过滤

（1）接口应用方向(与数据方向有关)

出：已经过路由器的处理，正离开路由器接口的数据包
入：已到达路由器接口的数据包，将被路由器处理

（2）访问控制列表的处理过程

ACL: access list 访问控制列表
ACL两种作用:
0用来对数据包做访问控制(丢弃或者放行)
结合其他协议，用来匹配范围

二、ACL 工作原理:

当数据包从接口经过时，由于接口启用了acl，此时路由器会对报文进行检查，然后做出相应的处理。

（1）ACL 种类:

基本ACL ( 2000-2999) :只能匹配源ip地址。
高级ACL ( 3000-3999) :可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。
二层ACL (4000-4999) :根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二二层信息制定规则。
(仅作了解即可)

（2）ACL(访问控制列表)的应用原则:

基本ACL，尽量用在靠近目的点
高级ACL，尽量用在靠近源的地方(可以保护带宽和其他资源)

三、应用规则

1、一个接口的同一个方向，只能调用一-个acl

2、一个acl里面可以有多个rule规则，按照规则ID从小到大排序，从上往下依次执行

3、数据包一.旦被某rule匹配，就不再继续向下匹配

4、用来做数据包访问控制时，默认隐含放行所有(华为设备)

四、华为路由配置

[Huawei]acl number 2000  ###创建acl 2000
[Huawei-acl-basic-2000]rule(拒绝) 5 deny source 192.168.1.1 0  ###拒绝源地址为192.168.10.1的流量，0代表仅此一一台，5是这条规则的序号(可不加)
[Huaweilinterface GigabitEthernet 0/0/1  ###进入接口
[Huawei -GigabitEthernet0/0/1]ip address 192.168.2.254 24  ###为此接口添加IP
[Huawe i -GigabitEthernet0/0/1] traffic- filter outbound acl 2000  ###接口出方向调用acl2000，outbound代表 出方向，inbound代表进 入方向
[Huawei -GigabitEthernet0/0/1]undo sh
[Huawei]acl number 2001  ###进入acl 2000列表
[Huawei-acl -basic- 2001]rule permit source 192.168.1.0 0.0.0.255  ###permit代表允许，source代表 来源，掩码部分为反掩码
[Huawei-acl-basic-2001] rule deny source any(所有)  ###拒绝所有访问，any代表所有0.0.0.0 255.255. 255.255或者rule deny
[Huawei] interface GigabitEthernet 0/0/1  ###进入出口接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei -GigabitEthernet0/0/1] traffic- filter outbound acl 2001
[Huawei]acl nmuber 3000
##拒绝tcp为高级控制,所以3000起
[Huawei -acl-adv-3000] rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0  ### 拒绝Ping
[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq(所有) 80(HTTP协议)  ###destination代表目的地地址，destination-port代表目的端口号，80可用www代替
[Huawei -acl-adv-3000] rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80
[Huawei-acl-adv-3000]rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21  ###拒绝源地址192.168.10.0网段访问FTP服务器12.0.0.2
[Huawei-acl-adv-3000]dis this  ###查看当前ACL配置是否配置成功
[Huawei] interface g0/0/0
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-Gigabi tEthernet0/0/0]traffic-filter inbound acl 3000  #在接口入方向应用acl
[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound  #在接口.上取消acl的应用
[Huawei] display acl 3000  ###显示ac1配置
[Huawei]acl nmuber 3000
[Huawei-acl-adv-3000]dis this  ##查看规则序号
[Huawei-acl-adv-3000]undo rule 5  ###删除一条acl语句
[Huawei]undo acl number 3000  ###删除整个ACL3000

ACL访问控制列表详解相关推荐

21.ACL 访问控制权限详解,setfacl,getfacl,setfacl -m,setfacl -d,setfacl -k,setfacl -x,mask等实操详解
ACL 访问控制权限详解,setfacl,getfacl,setfacl -m,setfacl -d,setfacl -k,setfacl -x,mask等实操详解文章目录 ACL (访问控制权限) ...
路由器访问控制列表详解
路由器访问控制列表详解路由器访问控制列表详解网络安全保障的第一道关卡对于许多网管员来说,配置路由器的访问控制列表是一件经常性的工作,可以说,路由器的访问控制列表是网络安全保障的第一道关卡.访问列 ...
ACL访问控制列表（访问控制、抓取感兴趣流）详解及基本ACL和高级ACL的配置。
ACL --- 访问控制列表 1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作.(pemit 允许,deny 拒绝) 2. 抓取感兴趣流:ACL的另一个作用就是和其他服务 ...
JavaScript数据结构与算法——列表详解（下），基于Nodejs实现一个列表应用
1.上篇回顾: 上篇我们实现了一个列表类,并添加了一些属性,实现了比较多的方法,本文章将与大家一起使用列表实现一个图书借阅查询系统.需要使用JavaScript数据结构与算法--列表详解(上)中写好的 ...
JavaScript数据结构与算法——列表详解（上）
列表是一组有序的数据,每个数组中的数据项称为元素.数组相关知识不够了解的伙伴可以阅读本人上篇博客在JavaScript中,列表的元素可以是任意数据类型.列表中可以保存不定数量的元素,实际使用时元素的数 ...
ccna第十一课 ACL访问控制列表
ACL访问控制列表,应用于接口控制网络规则及流量.一个接口的一个方向只能应用一个控制列表标准控制列表(序号1-99)主要是根据源ip地址进行控制扩展控制列表(序号100-199)基于源和目的地址. ...
ensp ACL访问控制列表配置
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用 ...
ensp配置ACL访问控制列表
简介:访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地 ...
三层交换技术 ACL访问控制列表
华为模拟器计算机网络三层交换技术 ACL访问控制列表访问控制列表(ACL):是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应 ...

ACL访问控制列表详解