基本ACL和高级ACL
- ACL的分类
ACL的类型 | 编号范围 | 规则制定的主要依据 |
---|---|---|
基本ACL | 2000~2999 | 报文的源IP地址等信息 |
高级ACL | 3000~3999 | 报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息 |
二层ACL | 4000~4999 | 报文的源MAC地址、目的MAC地址、IEEE802.1p优先级、数据链路层协议类型等二层信息 |
用户自定义ACL | 5000~5999 | 用户自定义报文的偏移位置和偏移量、从报文中提取出的相关内容等信息 |
一、基本ACL的配置
基本ACL的命令格式
rule [rule-id] {permit|deny} [source {source-address source-wildcard|any} |fragment |logging | time-range time-name]
对命令中各个组成项的解释如下
(1)rule :表示这是一个规则
(2)rule-id :表示这条规则的编号
(3)permit|deny :是一个“二选一”选项,表示与这条规则相关联的处理动作。deny命令表示“拒绝”;permit表示“允许”。
(4)source :表示源IP地址信息
(5)source-address :表示具体的源IP地址。
(6)source-wildcard :表示与source-address 相对应的通配符。source-wildcard和source-address结合使用,可以确定一个IP地址的集合。特殊情况下,该集合中可以包含一个IP地址。
(7)any:表示源IP地址可以是任意地址
(8)fragment :表示该规则只对非首片分片报文有效。
(9)logging :表示需要对匹配该规则的IP报文进行日志记录。
(10)time-ranr time-name : 表示该规则的生效时间段为time-name
实验案例
拓扑图
要求:外来人员办公区无法接收到财务部办公区的报文。
(1)主机和路由器基本配置,实现全网通
外来人员办公区的主机
财务部办公区的主机
项目部办公区
路由器的接口配置IP地址
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.3.1 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.1 24
[R1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.2.1 24
测试一下连通性
(2)基本ACL配置
- 创建一个编号为2000的基本ACL
[R1]acl 2000
[R1-acl-basic-2000]rule deny source 192.168.2.1 0.0.0.0 ## 拒绝放行源IP地址为192.168.2.1的IP报文
[R1-acl-basic-2000]quit
- 使用报文过滤技术中的【traffic-filter】命令将ACL 2000应用到路由器R1的GE0/0/0接口的出方向上。
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
[R1-GigabitEthernet0/0/0]quit
一、高级ACL的配置
高级ACL的命令格式
rule [rule-id] {permit|deny} ip[destination{destination-adress destination-wildcard |dany}] [source{source-adress source-wildcard}| any]
对命令中格式组成项的解释
(1)destnation 表示目的IP地址信息
(2)destination-address 表示具体的目的IP地址
(3)destination-wildcard 表示与destination-address相对应的通配符
(3)destination-wildcard与destination-address结合使用,可以确定一个IP地址的集合。特殊情况下,该集合可以包含一个IP地址。
实验案例
拓扑图
要求:外来人员无法接收到来自财务部的报文
前面的基本配置和基本ACL一样
- 高级ACL的配置
[R1]acl 3000
[R1-acl-adv-3000]rule deny ip destination 192.168.2.1 0.0.0.0
[R1-acl-adv-3000]quit
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/0]quit
基本ACL和高级ACL相关推荐
- 基本ACL与高级ACL
ACL:Acess Control List,即访问控制列表.这张表中包含了匹配关系.条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制. 信息点间通信,内外网络的通信都是企业网络中必 ...
- 访问控制列表之基本ACL、高级ACL 、 高级ACL之ICMP、高级ACL之telnet
在学习ACL(访问控制列表)之前首先要理解一下三个问题: 一.ACL的作用,以及不同类型的ACL的区别是什么? ACL的作用是:匹配感兴趣的数据包. ACL分为基本ACL和 高级ACL, 基本ACL, ...
- ACL访问控制列表(访问控制、抓取感兴趣流)详解及基本ACL和高级ACL的配置。
ACL --- 访问控制列表 1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作.(pemit 允许,deny 拒绝) 2. 抓取感兴趣流:ACL的另一个作用就是和其他服务 ...
- 华为ensp.访问控制列表(ACL):关于基本ACL和高级ACL————访问的代码基础讲解(允许或禁止访问)
ACL 目的:为了在设备进行通信时,保障传输的数据足够的安全可靠和网络的型能稳定. 访问控制列表((ACL)Access Coutrol List): 通过定义一些规则,根据规则对数据包进行分类,并针 ...
- ACL原理与类型、基本ACL与高级ACL
背景 在一些企业网络规划时,为了企业业务安全,要求不同不问对服务器有不同的权限 例如:要求PC1不能访问server.PC2允许访问Server,允许其他流量互通 现网中,实现流量访问控制的方法有两种 ...
- ACL实验-高级ACL
一.每一个acl都需要分配一个编号,成为acl编号,基本acl:2000-2999,高级acl:3000-3999,二层acl:4000-4999,用户自定义acl:5000-5999.一个acl的每 ...
- 华为设备基本ACL和高级ACL综合配置
实验需求: 0.做之前确保全网互通 1.-交换机用路由器代替,WG主机用路由器模拟 2.-AR1只能允许WG登陆 3.-YF和CW之间不能互通,但可以和WG互通 4.-WG和YF可以访问Client1 ...
- 华为交换机不同网段互访_华为S5700系列交换机使用高级ACL限制不同网段的用户互访...
组网图形 图1使用高级ACL限制不同网段的用户互访示例 组网需求 如图一所示,某公司通过Switch实现各部门之间的互连.为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址.同时为了 ...
- 什么时ACL,即ACL原理
一.什么时ACL 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合.所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址.目的地址.端口号等. ...
最新文章
- requestLayout 无效
- linux rpm 没有返回,容易忘记的linux命令之rpm
- vSphere 7 With Kubernetes系列01:随想
- 拦截 数据_大数据之六类Flume拦截器配置
- Atitit code for biz lst idx项目分析法,包括模块分析,与模块位置idx数据库分析 数据表的分类 日志表不断增长(包括用户表,订单表等)。。元数据表表 基本不增长。。。
- android camera 竖直拍照 获取竖直方向照片 做缩放处理
- 手机充当电脑摄像头:无他相机和DroidCam
- 静态代理和动态代理原理及实现
- toshiba linux 打印机驱动的资料
- JAVA实现汉字转拼英
- java Web api接入讯飞aiui(1)
- 共享 || 19份2020关于直播的报告
- Vue+iView身份证、统一社会信用编码校验
- App逆向 Frida - 夜神模拟器安装配置 基本使用
- Android9.0 网络安全配置文件
- STM32H743使用PA0,PA1作为ADC输入的坑!!
- TBM410-ASEMI的4A贴片整流桥TBM410
- [转] 什么是BGP双线机房
- 深度学习工作站攒机与装机全过程
- Oracle数据字典视图之DICT_COLUMNS(提纲掣领的一篇,该视图是一个工具对深入了解数据字典)
热门文章
- TelephonyTesgistry
- 【贝叶斯神经网络训练】(torch实现)
- 【高德地图API】绘制大地线 Geodesic/Great Circles
- [Error Code: 904, SQL State: 42000] ORA-00904 : 标识符无效
- Techwiz OLED:透明显示
- java hashmap 随机_有没有办法在Java中随机获取HashMap的值?
- VC++如何使用微软提供的Mshtml库解析html页面元素
- Python学习记录-项目案例实现:爬虫篇 02
- 计算机网络发展及相关概念
- UG\NX二次开发 获取当前工作部件 UF_ASSEM_ask_work_part