一、ACL

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。

二、应用规则

1.“3P”原则

在路由器上应用ACL时,可以为每种协议(Per Protocol)、每个方向(Per Direction)

和每个接口(Per Interface)配置一个ACL,一般称为“3P原则”。

(1)一个ACL只能基于一种协议,因此每种协议都需要配置单独的ACL。

(2)经过路由器接口的数据有进(ln)和出(Out)两个方向,因此在接口上配置访问控制列表也有进(In)和出(Out)两个方向。每个接口可以配置进方向的ACL,也可以配置出方向的ACL,或者两者都配置,但是一个ACL只能控制一个方向。

(3)一个ACL只能控制一个接口上的数据流量,无法同时控制多个接口上的数据流量。

2.语句顺序决定了对数据的控制顺序

ACL的语句是一种自上而下的逻辑排列关系。数据匹配过程中是依次对语句进行比较,一旦匹配成功则按照当前语句控制策略处理,不再与之后的语句进行比较。因此,正确的语句顺序才能得到所需的控制效果。

3.至少有一条允许(Permit)语句

所有ACL的最后一条语句都是隐式拒绝语句,表示当所有语句都无法匹配时,将拒绝数据通过并自动丢弃数据,以防数据意外进入网络。因此,在写“拒绝(deny)”的ACL时,一定至少要有一条允许(Permit)语句,否则配置ACL的接口将拒绝任何数据通过,影响正常的网络通信。

4.最有限制性的语句应该放在ACL的靠前位置

最有限制性的语句放在ACL的靠前位置,可以首先过滤掉很多不符合条件的数据,节省后面语句的比较时间,从而提高路由器的工作效率。

三、ACL案例

1.华为的acl 列表范围

华为与思科的访问控制列表序号有所不同,如下

acl  访问控制列表,对匹配的数据进行限制.

基本acl  2000~2999   可以对源ip限制
高级acl  3000~3999   可以对源ip,目标ip,协议,端口限制

2.案例1-------拒绝某台机器访问

按照图-2所示拓扑结构,禁止主机pc2与pc1通信,而允许所有其他流量

配置思路:

①在路由器上配置两个端口,设置好ip地址

②配置好主机的ip/子网掩码/网关

③在路由器上添加一条访问控制权限,基本acl 2000

④把这条acl限制规则应用到g0/0/1的端口上(可以称作监听端口)

R1配置:

  1. [Huawei]interface GigabitEthernet 0/0/0                      //为0端口配置ip
  2. [Huawei-GigabitEthernet0/0/0] ip address 192.168.1.254 24
  3. [Huawei]acl 2000               //进入acl 2000 列表
  4. [Huawei-acl-basic-2000]rule deny source 192.168.2.1 0      //定义一条规则 deny代表拒绝 source代表来源 0代表仅此一台
  5. [Huawei]interface GigabitEthernet 0/0/1
  6. [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
  7. [Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000               //用端口1来监听这条规则

测试:

1) pc1 ping pc3 ,    通信成功

2) pc1 ping pc2,     通信失败

3) pc2 ping pc3,     通信成功

3.案例2------拒绝所有机器访问

还是刚才的案例,将[Huawei-acl-basic-2000]rule deny source 192.168.2.1 0更改为

[Huawei-acl-basic-2000]rule deny any 即可

4.案例3-------仅允许某台机器访问

实验要求:仅允许pc2访问pc1

根据acl规则4:最有限制性的语句应该放在ACL的靠前位置 和规则3: 至少有一条允许(Permit)语句

    配置如下:

  1. [Huawei]interface GigabitEthernet 0/0/0                      //为0端口配置ip
  2. [Huawei-GigabitEthernet0/0/0] ip address 192.168.1.254 24
  3. [Huawei]acl 2000               //进入acl 2000 列表
  4. [Huawei-acl-basic-2000]rule permit source 192.168.2.1 0      //定义一条规则 permit代表拒绝 source代表来源 0代表仅此一台
  5. [Huawei-acl-basic-2000]rule deny any             // 拒绝所有访问
  6. [Huawei]interface GigabitEthernet 0/0/1
  7. [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
  8. [Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000               //用端口1来监听这条规则

5.案例4----------拒绝访问ftp或者http服务

实验要求: 禁止pc2访问pc1的ftp服务,禁止pc3访问pc1的www服务,所有主机的其他服务不受限制

tcp与http都是基于tcp协议的,所以我们可以拒绝tcp协议来限制

R1配置:

  1. [Huawei]acl 3000            //拒绝tcp为高级控制,所以3000起
  2. [Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination 192.168.1.1     //destination代表目的地地址
  3. [Huawei-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.1.1
  4. [Huawei]interface g0/0/1
  5. [Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //在接口中应用acl

ACL访问控制(华为)相关推荐

  1. 华为路由器Serial接口及串口无法实现ACL访问控制解析

    关于华为路由器串口无法实现ACL访问控制的个人见解及解析 因本人在日常eNSP实验环境测试中发现,在华为AR2200路由器的Serial接口上可以应用高级ACL访问控制列表,但是ACL访问控制列表并不 ...

  2. 华为ENAP模拟网络ACL访问控制列表

    学习目标: 1.掌握二层及三层网络基本配置 2.掌握ACL基本配置 3.掌握ACL策略使用 学习内容: 一.什么是ACL? 首先我们来了解下ACL,ACL即访问控制列表,那么它有什么作用呢? (ACL ...

  3. ACL访问控制列表(访问控制、抓取感兴趣流)详解及基本ACL和高级ACL的配置。

    ACL --- 访问控制列表 1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作.(pemit 允许,deny 拒绝) 2. 抓取感兴趣流:ACL的另一个作用就是和其他服务 ...

  4. 三层交换技术 ACL访问控制列表

    华为模拟器 计算机网络 三层交换技术 ACL访问控制列表 访问控制列表(ACL):是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应 ...

  5. HCIA笔记-----ACL访问控制列表

    ACL 访问控制列表 功能: 1.访问限制 ----在路由器流量进或出的接口上匹配流量,之后对其进行限制 2.定义感兴趣流量 ACL 简介: 1.自上而下,逐一匹配,上条匹配按上条执行,不在查看下条 ...

  6. HCIA 第七天 ACL访问控制列表

    文章目录 ACL 访问控制列表 标准ACL 扩展ACL telnet 远程登录 ACL 访问控制列表 访问限制:在路由器流量进或出的接口上匹配流量,之后对其进行控制 定义感兴趣流量 匹配规则 自上而下 ...

  7. ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。

    目录 ACL的组成: 创建ACL访问控制列表的两种的方式: 1.数字命名: 2.字符串命名方式: ACL创建步骤: 1.先创建ACL列表: 进入acl列表: 2.配置ACL的一条条规则: 3.进入需要 ...

  8. ACL访问控制列表详解

    ACL讲解目录 一.ACL知识    (1)接口应用方向    (2)访问控制列表的处理过程 二.ACL 工作原理:    (1)ACL 种类:    (2)ACL的应用原则: 三.应用规则 四.华为 ...

  9. HCIA——ACL访问控制列表

    ZY目录 HCIA所有内容: ACL访问控制列表 一.认识ACL 1.出现的原因: 2.功能: 二.了解ACL 1.匹配原则: 2.ACL的分类: 三.基础ACL配置 1.配置IP地址 2.配置OSP ...

  10. emq认证mysql后如何使用_EMQ 认证设置和acl访问控制

    配置文件说明 etc/emqx.conf EMQ X 配置文件 etc/acl.conf EMQ X 默认 ACL 规则配置文件 etc/plugins/*.conf EMQ X 扩展插件配置文件 1 ...

最新文章

  1. 基于visual c++之windows核心编程代码分析(31)SNMP协议编程
  2. HTML 5入门学习,源码中全部使用HTML 5标签
  3. git的安装与使用(一)--windows平台 .
  4. Windows上同时运行两个Tomcat
  5. 12款最佳的 WordPress 语法高亮插件推荐
  6. 控制input输入框光标的位置
  7. c# socket接收字符串_php 的 socket简单原理及实现
  8. 多智能体协同视觉SLAM技术研究进展
  9. 机械设计参考CAD零件图纸常用素材资料(300张)
  10. JDBC 数据连接池
  11. 海洋cms简洁免费下载视频网站正版原创自适应挖片模板
  12. SNMP弱口令导致的网络入侵
  13. 关于icon小图标的实现
  14. 【双十一精选】史上最强的宝贝详情页设计思路以及操作流程
  15. win10熄屏时间不对_Win10系统何如设置自动锁屏时间,教程来啦,windows10怎样设置熄屏时间...
  16. 阿里云解析DNS个人版对比免费版有哪些优势?
  17. android 功能防抖,Android RxJava 实战系列:功能防抖
  18. 远程桌面蓝屏解决办法
  19. kotlin之开发经验整理
  20. Django(静态文件和Django应用和分布式路由)

热门文章

  1. WebDav-Milton之一
  2. 从coursera网站自动下载网课视频(Linux中bash操作)
  3. 虚拟机模拟搭建Redis集群环境
  4. altium Designer使用方法大总结
  5. 浓眉大眼的Google Wave怎么也会死?
  6. MySql安装 Staring the server出错
  7. ubuntu自带Firefox安装flash插件
  8. 云栖大会 mysql_【资料合集】2018云栖大会•深圳峰会回顾:PDF下载
  9. 有哪些免费的CRM软件可以使用?
  10. 苹果手机测距离_苹果没说谎:iPhone和火星车都在用激光雷达