ACL的概述以及命令应用
一、ACL的概述
ACL:访问控制列表
※是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;
※ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能(此功能侧面可以说明ACL可以提高网络的安全性),针对AC所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调令ACL来进行报文过滤),ACL只是一个匹配用的工具;
※ACL除了能够对报文进行匹配,还能够用于匹配路由;
※主要应用于流量过滤,实际上是一条一条规则的集合,是一种工具,可以应用在任何场合
二、ACL是什么
ACL能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具;ACL还能够用于匹配路由条目。说了这么多,那么ACL到底是什么呢?下面就让我们从ACL的配置深入了解它吧。
1、ACL的标识种类
①:利用数字标识
②:利用名称标识
具体分为以下四类
2、ACL的匹配顺序
Rule:代表第一条,第二条
5:步长
permit:允许
deny:拒绝
这里需要提一点的是,为什么一般rule 5步长写5,而不是从1/2/3开始,这个没有固定的数字,以上图举例,如果说步长写5,临时想在中间插入一个不允许访问192.168.1.4,就可以在中间插入,如果是rule1/2/3,就没办法中间插入。
3、ACL的配置
创建ACL:
acl num 编号范围是2000~2999
创建一个规则
rule 5 (permit/deny)source src-address wildcard
source:源;wildcare:通配符
查看acl信息
display acl num
激活需进出口接口:
traffic-filter outbound/inbound acl num
outbound:出的流量接口;inbound:进的流量接口
允许/不允许所有通过
rule permit/deny source any
4、wildcare:通配符
这里要说明一个wildcare(通配符)的概念:
通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特为需要严格匹配,哪些比特位则无所谓
通配符通常采用类似网络掩码的点分十进制形式表示,但是汉语却与网络掩码完全不同
如上图,0:表示需匹配;1:表示无所谓
再举个通俗易懂的例子:
有两个特殊的通配符
192.168.1.1 0.0.0.0 =192.168.1.1 0
0.0.0.0 255.255.255.255 = any
三、实验加深理解
1、实验要求:允许PC2通过数据
只有pc2可以访问
先配置网关
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 10.0.0.254 24
先创建列表
[Huawei]acl 2000
定义规则
rule deny source 192.168.1.0 0.0.0.255 **阻挡1.0网段的所有访问**
查看acl 2000信息
[Huawei-acl-basic-2000]dis acl 2000
这时候是可以ping通的,配置了接口但是还没有激活所以可以ping通
然后激活接口
[Huawei]int g0/0/2 先进要激活的接口
对于接口而言,有出的流量接口(outbound),也有进的流量接口(inbound)
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
然后查看下信息
这时候pc1就无法ping通了
pc2可以ping通
1.2实验一的基础上发生更改,改为:仅允许1.0可以通过。
先断掉之前配置的rule 5
创建acl
[Huawei]acl 2000
允许192.168.1.0网段
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
阻断所有网段
[Huawei-acl-basic-2000]rule deny source any
ping发现pc1可以ping通,pc2不可以
1.3、在实验一的基础上,更改实验要求:若允许1.1可以ping通pc3,但是2.1不能ping通pc3。
在g0/0/2出接口配置outbound
创建acl
[Huawei]acl 3000 **有源有目标地址,acl等级要3000**
允许源地址192.168.1.0访问目的地址10.0.0.1网段
[Huawei-acl-adv-3000]rule permit ip source 192.168.1.1 0 destination 10.0.0.1 0
不允许源地址192.168.2.0访问目的地址10.0.0.1网段
[Huawei-acl-adv-3000]rule deny ip source 192.168.2.1 0 destination 10.0.0.1 0
查看一下
然后激活acl 3000之前需要先询关闭掉acl2000的
[Huawei-GigabitEthernet0/0/2]undo traffic-filter outbound
进入接口g0/0/2 ,激活acl 3000
[R1-acl-adv-3000]int g0/0/2
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3000
达成结果,1.1可以ping通,1.2无法ping通
实验二、
①、首先实现全网互通
sw1
[Huawei]sys SW1
[SW1]vlan batch 10 20
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]p l a
[SW1-Ethernet0/0/1]p d v 10
[SW1-Ethernet0/0/1]int e0/0/2
[SW1-Ethernet0/0/2]p l a
[SW1-Ethernet0/0/2]p d v 20
[SW1-Ethernet0/0/2]int e0/0/3
[SW1-Ethernet0/0/3]p l a
[SW1-Ethernet0/0/3]p d v 10
[SW1-Ethernet0/0/3]int e0/0/4
[SW1-Ethernet0/0/4]p l a
[SW1-Ethernet0/0/4]p d v 20
[SW1-Ethernet0/0/4]int e0/0/5
[SW1-Ethernet0/0/5]p l t
[SW1-Ethernet0/0/5]p t a v a
R1
[Huawei]sys R1
[R1]int g0/0/0.1
[R1-GigabitEthernet0/0/0.1]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0.1]d t v 10
[R1-GigabitEthernet0/0/0.1]a b e
[R1-GigabitEthernet0/0/0.1]int g0/0/0.2
[R1-GigabitEthernet0/0/0.2]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/0.2]d t v 20
[R1-GigabitEthernet0/0/0.2]a b e
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24
[R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
R2
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 100.1.1.254 24
[R2]ip route-static 192.168.1.0 24 12.1.1.1
[R2]ip route-static 192.168.2.0 24 12.1.1.1
全网ping通,实现全网互通
②、配置ACL使得vlan10和vlan20不通
阻止vlan10和vlan20,需要阻止192.168.10.0的方向
rule permit source any:允许所有通过
[R1]acl 2000
[R1-acl-basic-2000]rule permit source any
[R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000
结果如下图,已实现
③、配置ACL使R1不能访问webserver
[R1]acl 3000
[R1-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 10.1.1.20 destination-port eq 80
display acl 3000 查看一下配置是否正确
ACL的概述以及命令应用相关推荐
- ACL基本概述与配置
参考文章: (21条消息) 华为 ACL访问控制列表 (高级ACL为例)_艺博东的博客-CSDN博客_华为acl访问控制列表 (21条消息) 华为-ACL-访问控制列表(基础理论与配置实验详解)_BI ...
- 01-01java概述 doc命令、jdk\jre下载安装、path、classpath配置、开发中常见小问题
1:计算机概述(了解) (1)计算机(2)计算机硬件(3)计算机软件系统软件:window,linux,mac应用软件:qq,yy,飞秋(4)软件开发(理解)软件:是由数据和指令组成的.(计算器)开发 ...
- Sybase数据库 概述部署命令
概述 70年代,随着大型共享数据库应用的普及,美国SYBASE公司基于当时的关系代数理论所提出的数据库关系模型,开发了Sybase数据库系统: Sybase是基于SQL(Structured Qu ...
- zookeeper的acl权限控制_zookeeper权限acl与四字命令
权限acl介绍,acl的构成与id acl是Access control lists 的缩写,也就是权限控制列表: 针对节点可以设置相关读写等权限,目的是为了保障数据安全性 权限permissions ...
- CCNA(十五)思科ACL、NAT配置命令
ACL 访问控制列表 ACL可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.被广泛地应用于路由器和三层交换机,借助于ACL,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全. ...
- GIT概述、命令操作
这里写目录标题 01.GIT概述 02.GIT相关概念 03.GIT下载与安装 04.GIT本地操作-初始化工作区 05.GIT本地操作-add与commit 06.GIT本地操作 小结 07.GIT ...
- 用户相关命令与文件权限(普通、特殊、隐藏、ACL)
1.用户相关命令 useradd - 创建用户,默认创建与用户名同名的用户组 groupadd - 创建用户组 usermod - 修改用户的属性,如UID.所属组.附加组等 passwd - 修改密 ...
- ACL+SASL的认证配置后的Kafka命令操作(Windows版)
ACL+SASL的认证配置后的Kafka命令操作 Windows环境 背景 版本 操作 配置文件准备 Zookeeper配置文件 Clients配置文件 Kafka Server配置文件 JAAS配置 ...
- 【Linux】一步一步学Linux——setfacl命令(117)
00. 目录 文章目录 00. 目录 01. 命令概述 02. 命令格式 03. 常用选项 04. ACL访问控制详解 05. 参考示例 06. 附录 01. 命令概述 setfacl的英文全称是&q ...
最新文章
- 关于java继承中父类方法可见性探讨
- JAVA操作properties文件
- BRCM5.02编译二:Error: Could not retreive version from automake
- Windows 7系统如何重装或安装IE8?
- App设计灵感之十二组精美的电商App设计案例
- 疫情之下的求职姿势:视频面试,电话面试这样做,你就已经赢一半了!
- 查看oracle监听服务状态,(总结)Oracle监听服务lsnrctl参数及查询状态详解
- JavaScript格式化数字显示格式
- java操作Excel实现读写
- mysql 2.71828_Picasso 2.71828 用法
- 如何添加评论_如何运用运镜+转场让视频更酷炫
- hdu acm 1540
- LM2596S-ADJ DC-DC降压芯片使用
- ubuntu中谷歌拼音输入法的简化字和繁体字的切换
- SIM900A更改波特率
- 惠普电脑笔记本台式机预装系统 V2011.08 兼容i3 i5 i7
- 在vue中使用Animate.css
- 大一计算机课程学什么,大一新生应该如何学习 主要学什么课程
- 如何预防 XSS 攻击
- 京东实习生招聘面试小记
热门文章
- Docker知识五:服务编排(Docker Compose概念)
- 最美的公式:你也能懂的麦克斯韦方程组(积分篇)
- 电商平台API接口大全(详情页面)
- 为什么通常在发送数据埋点请求的时候使用的是 1x1 像素的透明 gif 图片?
- OpenWrt路由器设置IPv6域名动态解析,同时实现IPv4设备访问IPv6节点
- 子类初始化列表不能初始化父类元素 -- class 'Derived' does not have any field named 'x'
- python计算两组数据的相关性_python-计算数据的相关性
- Shiro权限管理框架
- 离散数学,自然推理系统,基于假言推理,不能使用消解法的自然推理系统
- 防治新冠病毒感染,儿童如何居家备药?