华为数通——ACL

ACL基本介绍

ACL:访问控制列表,通过端口对数据流进行过滤,ACL判别依据是五元组:源IP地址,源端口,目的IP地址,目的端口、协议。(ACL工作于OSI模型第三层,是路由器和三层交换机接口的指令列表,用来控制端口进出的数据包)

ACL  两种作用:

  1. 用来对数据包做访问控制
  2. 结合其他协议用来匹配范围

ACL常用两种:

  1. 基本ACL(2000-2999):只能匹配源ip地址。
  2. 高级ACL(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。

ACL配置原则:

  1. 基于协议设置ACL(TCP、UDP、ICMP、HTTP)
  2. 基于方向设置ACL(数据的进和出)
  3. 基于接口设置ACL

注意点:

  1. 一个接口的同一个方向,只能调用一个ACL
  2. 一个端口、一个方向、一条协议只能对应一条访问列表
  3. 一个ACL列表里面有多个rule(规则),从上往下依次执行
  4. 具有严格限制条件的语句应放在列表最上面
  5. 数据包一旦被某个rule(规则)匹配,就不在继续往下匹配
  6. 访问控制列表不能过滤路由器自己产生的数据
  7. 华为设备:配置ACL时,默认隐含放过所有数据包

华为ACL配置顺序,系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。

需求1:在R2配置基本acl 拒绝PC1访问172.16.10.0 网络配置接口静态路由

R1

[ ]Int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 192.168.10.254   24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 12.1.1.1  24

[R1]ip route-static 172.16.10.0  24  12.1.1.2

R2

[ ]Int g0/0/0

[R2-GigabitEthernet0/0/0]ip add 172.16.10.254 24

[R2-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24

[R2]ip route-static 192.168.10.0 24 12.1.1.1

测试互通之后,配置ACL

[R2]acl 2000

设置acl 2000

[AR2-acl-basic-2000]rule deny source 192.168.10.1  0

设置规则拒绝源地址范围,这里是精准IP地址,这里掩码是反掩码0.0.0.0=0

[AR2]int g0/0/0

进入接口

[R2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

在设备接口里应用规则出口acl 2000

进行测试

需求2:在R2上配置高级acl拒绝PC1和PC2 ping  server,但是允许其HTTP访问server

[R2]acl 3000

设置acl 3000

[AR2-acl-basic-3000]rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0

设置规则拒绝icmp协议(ping)源地址范围,反掩码0.0.0.255,到172.16.10.2,这里精准地址,反掩码0.0.0.0=0

[AR2]int g0/0/0

进入接口

[R2-GigabitEthernet0/0/0]traffic-filter outbound acl 3000

在设备接口里应用规则出口acl 3000

进行测试

 

注意:只有报文是① icmp、且② 源地址是192.168.10.x、且③ 目标地址是172.16.10.2才会被拒绝。需同时满足这三个条件才会被匹配。

需求3:拒绝源地址192.168.10.2   telnet   访问  12.0.0.2

[R2]acl 3001

设置acl 3001

[AR2-acl-adv-3001]rule deny tcp source 192.168.10.2 0 destination 12.0.0.2 0 destination-port eq 23

设置规则拒绝TCP协议,这里精准地址,反掩码0.0.0.0=0,到目的172.16.10.2,这里精准地址,反掩码0.0.0.0=0,端口23,eq=等于

[AR2]int g0/0/0

进入接口

[R2-GigabitEthernet0/0/0]traffic-filter outbound acl 3001

在设备接口里应用规则出口acl 3001

需求4:允许源地址1.1.1.1访问2.2.2.2.其他剩下的报文全部被拒绝。

[R2]acl 3002

设置acl 3002

[AR2-acl-adv-3002]rule 5 permit ip source 192.168.10.2 0 destination 172.16.10.1 0

规则允许IP源端口192.168.10.2到目的172.16.10.1

[AR2-acl-adv-3002]rule 10 deny ip

规则拒绝所有IP

需求5:拒绝任何人上QQ   :传输层  UDP 8000

[R2]acl 3003

设置acl 3003

[AR2-acl-adv-3003]rule deny udp destination-port eq 8000

规则拒绝udp端口等于8000的

注意:

①如果某acl  没有在端口调用,该acl不起任何作用

②acl 属于三层技术只能部署在三层设备上面,acl适合用于不同网段互访的访问控制

③相同vlan相同网段的pc互访控制(这种情况不适合用 acl),建议使用端口隔离来实现。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/30621.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

SpringBoot的配置文件和YAML文件的语法

1.SpringBoot的有两种格式的全局配置文件,使用任何一个功能都是一样的 注意:SpringBoot的全局配置文件名都是固定的application.xxx ① application.properties, 这个是默认Spring initializr默认自动生成的配置文件,也是我们属…

2024免费数据恢复工具EasyRecovery电脑必备软件

🎉 数据安全小能手,EasyRecovery最新功能揭秘 🔓 亲爱的小红书的朋友们!你们有没有因为不小心删除了重要文件而焦急万分?或者因为电脑突然崩溃,担心珍贵的资料丢失?别怕,今天我就来给…

HAL-DMA中断空闲接受不定长数据

title: HAL-DMA中断空闲接受不定长数据 tags: STM32HalCubemax 面对无规律长度的数据帧如何处理? 不定长数据接收可以使用每帧数据发送完成后会有一定的空闲时间"帧的时间间隔?" 如果你想每帧都要可以采用dma加空闲中断的方式空闲中断一次就是一帧数据…

while循环或for循环写九九乘法表

print("\n") i1 while i<9:j1while j<i:print(f"{j}*{i}{i*j}\t",end)j1print("\n")i1 print(\n) for i in range(1,10):for j in range(1,10):if j<i:print(f"{i}*{j}{i*j}\t",end)else:breakprint(\n)

岁月长河中的温柔等待

在那个年代&#xff0c;爱情往往像是一条静静流淌的小河&#xff0c;不动声色却又波澜不惊。在一个小村庄里&#xff0c;住着一对中年夫妻&#xff0c;人们叫他们李大叔和赵阿姨。他们的故事&#xff0c;就像是那个时代的缩影&#xff0c;承载着岁月的沧桑与深情的守候。 李大…

【CT】LeetCode手撕—160. 相交链表

目录 题目1- 思路2- 实现⭐160. 相交链表——题解思路 3- ACM 实现 题目 原题连接&#xff1a;160. 相交链表 1- 思路 模式识别&#xff1a;相交链表 ——> 判断是否相交 思路 保证 headA 是最长的那个链表&#xff0c;之后对其开始依次遍历 2- 实现 ⭐160. 相交链表—…

基于振弦采集仪的地下综合管廊工程安全监测技术研究

基于振弦采集仪的地下综合管廊工程安全监测技术研究 地下综合管廊工程是一项重要的城市基础设施工程&#xff0c;承载着城市供水、供电、供热、排水等重要功能。为了确保地下综合管廊工程的安全运行&#xff0c;需要进行有效的安全监测。本文将重点研究基于振弦采集仪的地下综…

【HarmonyOS NEXT】使用RSA非对称密钥分段加解密

加密 调用cryptoFramework.createAsyKeyGenerator、AsyKeyGenerator.generateKeyPair&#xff0c;生成RSA密钥类型为RSA1024、素数个数为2&#xff08;不填默认&#xff09;的非对称密钥对&#xff08;KeyPair&#xff09;。KeyPair对象中包括公钥PubKey、私钥PriKey。 如何生…

【中南林业科技大学校园生存指南】序 | 大学之道

前言 本专栏所有内容来自同学们所提供的建议&#xff0c;已经征得收集者意见在此发布。 由于刚开始做&#xff0c;故后续内容会在积累一定程度时发布&#xff0c;感谢支持。 序 回顾大学四年&#xff0c;我仔细梳理了每一刻&#xff0c;把它们凝结成文字&#xff0c;记录下我…

Socket编程之多进程模型

一、多进程模型概述 基于最初的阻塞网络 I/O &#xff0c;若服务器要为多个客户端提供支持&#xff0c;在较为传统的手段中&#xff0c;多进程模型是常用的选择&#xff0c;即为每个客户端都分配一个进程来处理其请求。 服务器的主进程主要负责对客户连接的监听&#xff0c;一旦…

JSON 对象

JSON 对象 JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。它基于JavaScript编程语言的一个子集,但JSON是独立于语言的文本格式,代码中可以使用各种语言来解析和生成它。JSON格式通常用于数据交换、配置文件以…

vmware 虚拟机保留数据扩展C盘

1&#xff0c;在默认安装系统的时候&#xff0c;VMWARE一般给C盘50G&#xff0c;很多人想着够用了&#xff0c;但是后面慢慢的安装各种大型软件&#xff0c;游戏&#xff0c;才发现&#xff0c;悔时已晚。 2&#xff0c;有很多人虚拟机其实就是拿来游戏多开&#xff0c;但是当…

局域网共享文件夹怎么加密?方法很简单

局域网共享文件夹是企业内部信息、数据传递沟通的重要工具&#xff0c;而为了保护共享文件夹数据安全&#xff0c;我们需要使用专业的加密软件加密保护局域网共享文件夹。下面我们就来了解一下局域网共享文件夹加密方法。 局域网共享文件夹加密 在加密共享文件夹时&#xff0c…

PyCharm新手入门

前言 在之前《Python集成开发工具的选择》一文中介绍了python初学者可以使用Jupyter Notebook&#xff0c;Jupyter Notebook简单易用&#xff0c;可以用来练习代码编写&#xff0c;但是实际生产开发环境使用这个工具是远远不够用的&#xff0c;因为实际软件开发中需要软件调试…

计算机组成原理(Wrong Question)

目录 一、计算机系统概述 *1.1 计算机发展历程 1.2 计算机系统层次结构 1.3 计算机的性能指标 二、 数据的表示和运算 2.1 数制和编码 2.2 运算方法和运算电路 2.3 浮点数的表示与运算 三、存储系统 3.1 存储器概述 3.2 主存储器 3.3 主存储器与CPU的连接 3.4 外部…

面试技巧:正确回答JavaScript中Map和Object的选择问题

在JavaScript的面试中&#xff0c;对于何时使用Map和Object的选择问题&#xff0c;是一个常见的考察点。这两个数据结构都能存储键值对&#xff0c;但它们各有优势和适用场景。本文将深入探讨两者的区别&#xff0c;并通过实际代码示例来指导您如何选择。 基本概念 Map&#…

MFC扩展库BCGControlBar Pro v35.0

LINK : fatal error LNK1104: 无法打开文件“BCGCBPRO2800U140.lib” BCGControlBar v25.0版本 环境VS2015&#xff0c;在运行程序时出现提示错误 &#xff1a;LINK : fatal error LNK1104: 无法打开文件“BCGCBPRO2800U140.lib” 1、需要编译一下BGCControlBar&#xff0c;在…

串口rx + RAM + LCD

REVIEW 昨天摸鱼怪发现高两位的数据写入or读出存在问题&#xff1a; RAM 串口的简单应用-CSDN博客 1. 今日摸鱼任务 UART_RX RAM LCD 来显示一下是 rx or tx 的问题 2. 代码部分 rx_ram_lcd.v module rx_ram_lcd(input clk ,input reset_n ,input uart_rx ,output …

数据结构试题 20-21

真需要就死记吧 二叉树遍历-先序(非递归)【图解代码】_哔哩哔哩_bilibili 解释一下步骤&#xff1a; 一个循环为&#xff1a; 1.取节点 2.放右子树 3.放左子树 每次循环&#xff0c;都要从栈里取出一个节点 先放右子树&#xff0c;再放左子树 那这道题就是&#xff0c;先放1&am…

计算机组成原理必备知识点

计算机组成原理必备知识点 前言 本文档由本人复习计算机组成原理期末考试所总结&#xff0c;所有习题以及知识点的页数参考2025年王道计算机组成原理 中断处理过程 硬件完成 1.关中断 2.保存断点 3.中断服务程序寻址 中断程序完成 4.保存现场和屏蔽字 5.开中断 6.执…