ACL原理与类型、基本ACL与高级ACL
背景
在一些企业网络规划时,为了企业业务安全,要求不同不问对服务器有不同的权限
例如:要求PC1不能访问server、PC2允许访问Server,允许其他流量互通
现网中,实现流量访问控制的方法有两种
- 控制路由条目:在数据包转发路径上的三层设备上,通过路由策略,拒绝路由条目,从而确保数据包无法互通
- 控制数据包转发-在数据包转发的路径上的任何一个设备的接口下,调用专门的 “流量控制工具”,比如ACL
ACL概述
ACL(Access Control List),访问控制列表
- 主要用于在总舵类型的数据包中,匹配/抓取感兴趣的数据
- 列表中可包含多个规则,不同规则通过规则号进行区分
- 每个规则都包含:动作和条件 两部分内容
- 动作分为:允许(permit)和拒绝(deny)
- 条件分为:地址(address)和通配符(wildcard bits)
- ACL必须先配置,再调用,并且在端口调用时时有方向的
举例:
- Source,表示当前规则检查的是数据包的‘源’地址
- 源IP地址,表示源IP地址的范围
- 通配符,表示的是与源IP地址对应的通配符
ACL类型
三层ACL:检查的是数据的三层头部信息以及后面的其它协议头部信息;
- 基本ACL:在匹配数据包时,只能匹配数据包的IP地址,匹配数据包不精准
- 表示方法:通过ID表示取值空间为2000-2999
- 表示方法:通过名字表示,后面跟一个ACL的类型basic(基本)
- 高级ACL:在匹配数据包时,可以同时匹配数据包的源IP、目标IP、协议号、源端口、目标端口。匹配数据包非常精准
- 表示方法:通过ID表示,取值空间是3000-3999
- 表示方法:通过名字表示,后面可以跟一个ACL的类型advanced(高级)
二层ACL:检查的是数据包的二层头部
- 二层头部包含的内容是:源MAC地址、目标MAC地址、类型、VLAN ID
基本ACL配置
如图图配置服务器PC机IP地址以及网关地址
拒绝PC1访问Server
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.0
[Huawei-acl-basic-2000]quit在接口上调用ACL 2000
[Huawei]interface gi0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
[Huawei-GigabitEthernet0/0/0]
解释:
acl 2000rule 10 deny source 192.168.99.0 0.0.0.255该条目的含义是:拒绝那些源IP地址的前面的3个字节是 192.168.99 的那些数据包。也就是源IP地址为:192.168.99.0 - 192.168.99.255 的这 256 个IP地址。通配符特点:wildcard bits【只有ACL中才会用】
-关注的是0对应的某些位
-不关注1对应的某些位
-0和1的位置,是随意的可以长的像掩码一样,比如 255.255.0.0 可以长的像反掩码一样,比如 0.0.255.255 可以既不像掩码也不像反掩码,比如 0.255.0.255
高级ACL配置
配置需求
- 如图配置IP地址,配置路由,确保各设备互通
- 售后部仅仅能访问Server1上的Web服务,不能访问其他服务
- 售后部可以访问行政部的所有设备的任何服务
- 除上述权限外,售后部不能访问网络中的其他任何地方
配置思路
- 配置行政部,售后服务部,web服务器ip地址,网关
- 配置路由器IP地址,配置路由,确全网互通。
- 配置web服务器:指定web服务器目录。启动web服务
- 在R1上配置并调用ACL
[R1] acl 3000
[R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 80
[R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
[R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any
[R1] interface gi0/0/2
[R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 //在该接口入向调用ACL
验证
售后服务部不能访问网络中的任何节点。
总结:
1.其实任何类型的ACL最后,存在的那个隐含的条目,是:拒绝所有。
2.在华为设备上,只有当ACL和 traffic-filter 结合使用的时候,最后才是允许所有。
ACL原理与类型、基本ACL与高级ACL相关推荐
- acl在内核里的位置_访问控制列表的使用原则是在靠近源的位置应用基本ACL,在靠近目的的位置应用高级ACL。_学小易找答案...
[单选题]根据公司的发展,你认为该公司最可能采用的部门化方式是 [多选题]ACl中可以关联一下哪些行为? [单选题]你认为本案例最能说明的管理原则是 [简答题]В тексте мы столкнул ...
- 访问控制列表之基本ACL、高级ACL 、 高级ACL之ICMP、高级ACL之telnet
在学习ACL(访问控制列表)之前首先要理解一下三个问题: 一.ACL的作用,以及不同类型的ACL的区别是什么? ACL的作用是:匹配感兴趣的数据包. ACL分为基本ACL和 高级ACL, 基本ACL, ...
- ACL原理和作用,ACL类型和特点,ACL匹配和通配符使用
ACL原理和作用,ACL类型和特点,ACL匹配和通配符使用 https://www.toutiao.com/i6944913479459553795/?tt_from=weixin&utm_c ...
- 超详细如何配置高级ACL
配置高级的访问控制列表 原理概述: 基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其他参数进行匹配,比如目的IP地址.协议号.端口号等,所以基本的ACL由于匹配的局限性而无法 ...
- 华为ACL原理及配置
今日目标 理解ACL原理 掌握华为基本ACL的配置 掌握华为高级ACL的配置 ACL原理 什么是ACL 访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表(即规 ...
- 华为 ACL访问控制列表 (高级ACL为例)
文章目录 一.认识ACL 二.拓扑 三.基础配置 四.需求 一.认识ACL 1.什么是ACL: Access Control List访问控制列表–ACL ACL是由一个或多个用于报文过滤的规则组成的 ...
- 基本ACL与高级ACL
ACL:Acess Control List,即访问控制列表.这张表中包含了匹配关系.条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制. 信息点间通信,内外网络的通信都是企业网络中必 ...
- 华为交换机不同网段互访_华为S5700系列交换机使用高级ACL限制不同网段的用户互访...
组网图形 图1使用高级ACL限制不同网段的用户互访示例 组网需求 如图一所示,某公司通过Switch实现各部门之间的互连.为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址.同时为了 ...
- 什么时ACL,即ACL原理
一.什么时ACL 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合.所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址.目的地址.端口号等. ...
最新文章
- failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found
- cached过高导致内存溢出 java head space
- 鹰式价差matlab,震荡市场中的蝶式价差交易
- 企业网络推广专员浅析企业网络推广初期网站优化应重视的一些问题
- Android ListViewDemo
- 聚类 高维聚类 聚类评估标准 EM模型聚类
- NOR和NAND Flash存储器的区别
- 机器学习中一阶段网络是啥_机器学习项目的各个阶段
- dbc连接mysql_Spring WebFlux 使用 R2DBC 访问 MySQL
- 编程c语言顺口溜,C语言运算符优先级顺口溜[转]
- python用pandas读取excel_使用Pandas或其他模块在Python中读取没有隐藏列的Excel文件...
- 我国.NET域名注册总量超57.3万 6月新增6747个
- jquery获取元素索引
- 洛谷 P2764(最小路径覆盖=节点数-最大匹配)
- 微信小程序api封装方案
- 微波雷达感应开关,雷达感应智能模块,照明节能环保技术应用
- 《时代三部曲》感悟四
- 微信小程序-电影app程序遇到得问题
- Top-down Visual Saliency Guided by Captions
- 数据挖掘——机器学习
热门文章
- android源码编译apk
- 出现ModuleNotFoundError: No module named ‘sklearn.impute‘的问题
- 中国民族贸易促进会南粤分会会长、广东办事处主任张敏赴贵州中医药大学考察交流
- 助力工业物联网,工业大数据之一站制造业务主题划分【十三】
- MySQL数据库事务管理与存储过程
- 参考文献类型字母的含义
- 【渝粤题库】陕西师范大学190002 思想道德修养与法律基础 作业(高起本、专升本、高起专)
- CentOS6安装nginx+Tomcat7集群并实现自启动
- gnome-terminal 终端复用
- MacOS高性能模式,16寸 M1 Max Macbook Pro独享