ACL访问控制(华为)
一、ACL
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。
二、应用规则
1.“3P”原则
在路由器上应用ACL时,可以为每种协议(Per Protocol)、每个方向(Per Direction)
和每个接口(Per Interface)配置一个ACL,一般称为“3P原则”。
(1)一个ACL只能基于一种协议,因此每种协议都需要配置单独的ACL。
(2)经过路由器接口的数据有进(ln)和出(Out)两个方向,因此在接口上配置访问控制列表也有进(In)和出(Out)两个方向。每个接口可以配置进方向的ACL,也可以配置出方向的ACL,或者两者都配置,但是一个ACL只能控制一个方向。
(3)一个ACL只能控制一个接口上的数据流量,无法同时控制多个接口上的数据流量。
2.语句顺序决定了对数据的控制顺序
ACL的语句是一种自上而下的逻辑排列关系。数据匹配过程中是依次对语句进行比较,一旦匹配成功则按照当前语句控制策略处理,不再与之后的语句进行比较。因此,正确的语句顺序才能得到所需的控制效果。
3.至少有一条允许(Permit)语句
所有ACL的最后一条语句都是隐式拒绝语句,表示当所有语句都无法匹配时,将拒绝数据通过并自动丢弃数据,以防数据意外进入网络。因此,在写“拒绝(deny)”的ACL时,一定至少要有一条允许(Permit)语句,否则配置ACL的接口将拒绝任何数据通过,影响正常的网络通信。
4.最有限制性的语句应该放在ACL的靠前位置
最有限制性的语句放在ACL的靠前位置,可以首先过滤掉很多不符合条件的数据,节省后面语句的比较时间,从而提高路由器的工作效率。
三、ACL案例
1.华为的acl 列表范围
华为与思科的访问控制列表序号有所不同,如下
acl 访问控制列表,对匹配的数据进行限制.
基本acl 2000~2999 可以对源ip限制
高级acl 3000~3999 可以对源ip,目标ip,协议,端口限制
2.案例1-------拒绝某台机器访问
按照图-2所示拓扑结构,禁止主机pc2与pc1通信,而允许所有其他流量
配置思路:
①在路由器上配置两个端口,设置好ip地址
②配置好主机的ip/子网掩码/网关
③在路由器上添加一条访问控制权限,基本acl 2000
④把这条acl限制规则应用到g0/0/1的端口上(可以称作监听端口)
R1配置:
- [Huawei]interface GigabitEthernet 0/0/0 //为0端口配置ip
- [Huawei-GigabitEthernet0/0/0] ip address 192.168.1.254 24
- [Huawei]acl 2000 //进入acl 2000 列表
- [Huawei-acl-basic-2000]rule deny source 192.168.2.1 0 //定义一条规则 deny代表拒绝 source代表来源 0代表仅此一台
- [Huawei]interface GigabitEthernet 0/0/1
- [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
- [Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 //用端口1来监听这条规则
测试:
1) pc1 ping pc3 , 通信成功
2) pc1 ping pc2, 通信失败
3) pc2 ping pc3, 通信成功
3.案例2------拒绝所有机器访问
还是刚才的案例,将[Huawei-acl-basic-2000]rule deny source 192.168.2.1 0更改为
[Huawei-acl-basic-2000]rule deny any 即可
4.案例3-------仅允许某台机器访问
实验要求:仅允许pc2访问pc1
根据acl规则4:最有限制性的语句应该放在ACL的靠前位置 和规则3: 至少有一条允许(Permit)语句
配置如下:
- [Huawei]interface GigabitEthernet 0/0/0 //为0端口配置ip
- [Huawei-GigabitEthernet0/0/0] ip address 192.168.1.254 24
- [Huawei]acl 2000 //进入acl 2000 列表
- [Huawei-acl-basic-2000]rule permit source 192.168.2.1 0 //定义一条规则 permit代表拒绝 source代表来源 0代表仅此一台
- [Huawei-acl-basic-2000]rule deny any // 拒绝所有访问
- [Huawei]interface GigabitEthernet 0/0/1
- [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
- [Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 //用端口1来监听这条规则
5.案例4----------拒绝访问ftp或者http服务
实验要求: 禁止pc2访问pc1的ftp服务,禁止pc3访问pc1的www服务,所有主机的其他服务不受限制
tcp与http都是基于tcp协议的,所以我们可以拒绝tcp协议来限制
R1配置:
- [Huawei]acl 3000 //拒绝tcp为高级控制,所以3000起
- [Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination 192.168.1.1 //destination代表目的地地址
- [Huawei-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.1.1
- [Huawei]interface g0/0/1
- [Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //在接口中应用acl
ACL访问控制(华为)相关推荐
- 华为路由器Serial接口及串口无法实现ACL访问控制解析
关于华为路由器串口无法实现ACL访问控制的个人见解及解析 因本人在日常eNSP实验环境测试中发现,在华为AR2200路由器的Serial接口上可以应用高级ACL访问控制列表,但是ACL访问控制列表并不 ...
- 华为ENAP模拟网络ACL访问控制列表
学习目标: 1.掌握二层及三层网络基本配置 2.掌握ACL基本配置 3.掌握ACL策略使用 学习内容: 一.什么是ACL? 首先我们来了解下ACL,ACL即访问控制列表,那么它有什么作用呢? (ACL ...
- ACL访问控制列表(访问控制、抓取感兴趣流)详解及基本ACL和高级ACL的配置。
ACL --- 访问控制列表 1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作.(pemit 允许,deny 拒绝) 2. 抓取感兴趣流:ACL的另一个作用就是和其他服务 ...
- 三层交换技术 ACL访问控制列表
华为模拟器 计算机网络 三层交换技术 ACL访问控制列表 访问控制列表(ACL):是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应 ...
- HCIA笔记-----ACL访问控制列表
ACL 访问控制列表 功能: 1.访问限制 ----在路由器流量进或出的接口上匹配流量,之后对其进行限制 2.定义感兴趣流量 ACL 简介: 1.自上而下,逐一匹配,上条匹配按上条执行,不在查看下条 ...
- HCIA 第七天 ACL访问控制列表
文章目录 ACL 访问控制列表 标准ACL 扩展ACL telnet 远程登录 ACL 访问控制列表 访问限制:在路由器流量进或出的接口上匹配流量,之后对其进行控制 定义感兴趣流量 匹配规则 自上而下 ...
- ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。
目录 ACL的组成: 创建ACL访问控制列表的两种的方式: 1.数字命名: 2.字符串命名方式: ACL创建步骤: 1.先创建ACL列表: 进入acl列表: 2.配置ACL的一条条规则: 3.进入需要 ...
- ACL访问控制列表详解
ACL讲解目录 一.ACL知识 (1)接口应用方向 (2)访问控制列表的处理过程 二.ACL 工作原理: (1)ACL 种类: (2)ACL的应用原则: 三.应用规则 四.华为 ...
- HCIA——ACL访问控制列表
ZY目录 HCIA所有内容: ACL访问控制列表 一.认识ACL 1.出现的原因: 2.功能: 二.了解ACL 1.匹配原则: 2.ACL的分类: 三.基础ACL配置 1.配置IP地址 2.配置OSP ...
- emq认证mysql后如何使用_EMQ 认证设置和acl访问控制
配置文件说明 etc/emqx.conf EMQ X 配置文件 etc/acl.conf EMQ X 默认 ACL 规则配置文件 etc/plugins/*.conf EMQ X 扩展插件配置文件 1 ...
最新文章
- 基于visual c++之windows核心编程代码分析(31)SNMP协议编程
- HTML 5入门学习,源码中全部使用HTML 5标签
- git的安装与使用(一)--windows平台 .
- Windows上同时运行两个Tomcat
- 12款最佳的 WordPress 语法高亮插件推荐
- 控制input输入框光标的位置
- c# socket接收字符串_php 的 socket简单原理及实现
- 多智能体协同视觉SLAM技术研究进展
- 机械设计参考CAD零件图纸常用素材资料(300张)
- JDBC 数据连接池
- 海洋cms简洁免费下载视频网站正版原创自适应挖片模板
- SNMP弱口令导致的网络入侵
- 关于icon小图标的实现
- 【双十一精选】史上最强的宝贝详情页设计思路以及操作流程
- win10熄屏时间不对_Win10系统何如设置自动锁屏时间,教程来啦,windows10怎样设置熄屏时间...
- 阿里云解析DNS个人版对比免费版有哪些优势?
- android 功能防抖,Android RxJava 实战系列:功能防抖
- 远程桌面蓝屏解决办法
- kotlin之开发经验整理
- Django(静态文件和Django应用和分布式路由)