• ACL的分类
ACL的类型 编号范围 规则制定的主要依据
基本ACL 2000~2999 报文的源IP地址等信息
高级ACL 3000~3999 报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息
二层ACL 4000~4999 报文的源MAC地址、目的MAC地址、IEEE802.1p优先级、数据链路层协议类型等二层信息
用户自定义ACL 5000~5999 用户自定义报文的偏移位置和偏移量、从报文中提取出的相关内容等信息

一、基本ACL的配置

基本ACL的命令格式

rule [rule-id] {permit|deny} [source {source-address source-wildcard|any} |fragment |logging | time-range time-name]

对命令中各个组成项的解释如下
(1)rule :表示这是一个规则
(2)rule-id :表示这条规则的编号
(3)permit|deny :是一个“二选一”选项,表示与这条规则相关联的处理动作。deny命令表示“拒绝”;permit表示“允许”。
(4)source :表示源IP地址信息
(5)source-address :表示具体的源IP地址。
(6)source-wildcard :表示与source-address 相对应的通配符。source-wildcard和source-address结合使用,可以确定一个IP地址的集合。特殊情况下,该集合中可以包含一个IP地址。
(7)any:表示源IP地址可以是任意地址
(8)fragment :表示该规则只对非首片分片报文有效。
(9)logging :表示需要对匹配该规则的IP报文进行日志记录。
(10)time-ranr time-name : 表示该规则的生效时间段为time-name

实验案例

拓扑图

要求:外来人员办公区无法接收到财务部办公区的报文。

(1)主机和路由器基本配置,实现全网通

  • 外来人员办公区的主机

  • 财务部办公区的主机

  • 项目部办公区

  • 路由器的接口配置IP地址

<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.3.1 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.1 24
[R1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.2.1 24

测试一下连通性

(2)基本ACL配置

  • 创建一个编号为2000的基本ACL
[R1]acl 2000
[R1-acl-basic-2000]rule deny source 192.168.2.1 0.0.0.0    ## 拒绝放行源IP地址为192.168.2.1的IP报文
[R1-acl-basic-2000]quit
  • 使用报文过滤技术中的【traffic-filter】命令将ACL 2000应用到路由器R1的GE0/0/0接口的出方向上。
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
[R1-GigabitEthernet0/0/0]quit

一、高级ACL的配置

高级ACL的命令格式

rule [rule-id] {permit|deny} ip[destination{destination-adress destination-wildcard |dany}] [source{source-adress source-wildcard}| any]

对命令中格式组成项的解释
(1)destnation 表示目的IP地址信息
(2)destination-address 表示具体的目的IP地址
(3)destination-wildcard 表示与destination-address相对应的通配符
(3)destination-wildcard与destination-address结合使用,可以确定一个IP地址的集合。特殊情况下,该集合可以包含一个IP地址。

实验案例

拓扑图

要求:外来人员无法接收到来自财务部的报文
前面的基本配置和基本ACL一样

  • 高级ACL的配置
[R1]acl 3000
[R1-acl-adv-3000]rule deny ip destination 192.168.2.1 0.0.0.0
[R1-acl-adv-3000]quit

[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/0]quit

基本ACL和高级ACL相关推荐

  1. 基本ACL与高级ACL

    ACL:Acess Control List,即访问控制列表.这张表中包含了匹配关系.条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制. 信息点间通信,内外网络的通信都是企业网络中必 ...

  2. 访问控制列表之基本ACL、高级ACL 、 高级ACL之ICMP、高级ACL之telnet

    在学习ACL(访问控制列表)之前首先要理解一下三个问题: 一.ACL的作用,以及不同类型的ACL的区别是什么? ACL的作用是:匹配感兴趣的数据包. ACL分为基本ACL和 高级ACL, 基本ACL, ...

  3. ACL访问控制列表(访问控制、抓取感兴趣流)详解及基本ACL和高级ACL的配置。

    ACL --- 访问控制列表 1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作.(pemit 允许,deny 拒绝) 2. 抓取感兴趣流:ACL的另一个作用就是和其他服务 ...

  4. 华为ensp.访问控制列表(ACL):关于基本ACL和高级ACL————访问的代码基础讲解(允许或禁止访问)

    ACL 目的:为了在设备进行通信时,保障传输的数据足够的安全可靠和网络的型能稳定. 访问控制列表((ACL)Access Coutrol List): 通过定义一些规则,根据规则对数据包进行分类,并针 ...

  5. ACL原理与类型、基本ACL与高级ACL

    背景 在一些企业网络规划时,为了企业业务安全,要求不同不问对服务器有不同的权限 例如:要求PC1不能访问server.PC2允许访问Server,允许其他流量互通 现网中,实现流量访问控制的方法有两种 ...

  6. ACL实验-高级ACL

    一.每一个acl都需要分配一个编号,成为acl编号,基本acl:2000-2999,高级acl:3000-3999,二层acl:4000-4999,用户自定义acl:5000-5999.一个acl的每 ...

  7. 华为设备基本ACL和高级ACL综合配置

    实验需求: 0.做之前确保全网互通 1.-交换机用路由器代替,WG主机用路由器模拟 2.-AR1只能允许WG登陆 3.-YF和CW之间不能互通,但可以和WG互通 4.-WG和YF可以访问Client1 ...

  8. 华为交换机不同网段互访_华为S5700系列交换机使用高级ACL限制不同网段的用户互访...

    组网图形 图1使用高级ACL限制不同网段的用户互访示例 组网需求 如图一所示,某公司通过Switch实现各部门之间的互连.为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址.同时为了 ...

  9. 什么时ACL,即ACL原理

    一.什么时ACL 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合.所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址.目的地址.端口号等. ...

最新文章

  1. requestLayout 无效
  2. linux rpm 没有返回,容易忘记的linux命令之rpm
  3. vSphere 7 With Kubernetes系列01:随想
  4. 拦截 数据_大数据之六类Flume拦截器配置
  5. Atitit code for biz lst idx项目分析法,包括模块分析,与模块位置idx数据库分析 数据表的分类 日志表不断增长(包括用户表,订单表等)。。元数据表表 基本不增长。。。
  6. android camera 竖直拍照 获取竖直方向照片 做缩放处理
  7. 手机充当电脑摄像头:无他相机和DroidCam
  8. 静态代理和动态代理原理及实现
  9. toshiba linux 打印机驱动的资料
  10. JAVA实现汉字转拼英
  11. java Web api接入讯飞aiui(1)
  12. 共享 || 19份2020关于直播的报告
  13. Vue+iView身份证、统一社会信用编码校验
  14. App逆向 Frida - 夜神模拟器安装配置 基本使用
  15. Android9.0 网络安全配置文件
  16. STM32H743使用PA0,PA1作为ADC输入的坑!!
  17. TBM410-ASEMI的4A贴片整流桥TBM410
  18. [转] 什么是BGP双线机房
  19. 深度学习工作站攒机与装机全过程
  20. Oracle数据字典视图之DICT_COLUMNS(提纲掣领的一篇,该视图是一个工具对深入了解数据字典)

热门文章

  1. TelephonyTesgistry
  2. 【贝叶斯神经网络训练】(torch实现)
  3. 【高德地图API】绘制大地线 Geodesic/Great Circles
  4. [Error Code: 904, SQL State: 42000] ORA-00904 : 标识符无效
  5. Techwiz OLED:透明显示
  6. java hashmap 随机_有没有办法在Java中随机获取HashMap的值?
  7. VC++如何使用微软提供的Mshtml库解析html页面元素
  8. Python学习记录-项目案例实现:爬虫篇 02
  9. 计算机网络发展及相关概念
  10. UG\NX二次开发 获取当前工作部件 UF_ASSEM_ask_work_part