华为数通——ACL

ACL基本介绍

ACL:访问控制列表,通过端口对数据流进行过滤,ACL判别依据是五元组:源IP地址,源端口,目的IP地址,目的端口、协议。(ACL工作于OSI模型第三层,是路由器和三层交换机接口的指令列表,用来控制端口进出的数据包)

ACL  两种作用:

  1. 用来对数据包做访问控制
  2. 结合其他协议用来匹配范围

ACL常用两种:

  1. 基本ACL(2000-2999):只能匹配源ip地址。
  2. 高级ACL(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。

ACL配置原则:

  1. 基于协议设置ACL(TCP、UDP、ICMP、HTTP)
  2. 基于方向设置ACL(数据的进和出)
  3. 基于接口设置ACL

注意点:

  1. 一个接口的同一个方向,只能调用一个ACL
  2. 一个端口、一个方向、一条协议只能对应一条访问列表
  3. 一个ACL列表里面有多个rule(规则),从上往下依次执行
  4. 具有严格限制条件的语句应放在列表最上面
  5. 数据包一旦被某个rule(规则)匹配,就不在继续往下匹配
  6. 访问控制列表不能过滤路由器自己产生的数据
  7. 华为设备:配置ACL时,默认隐含放过所有数据包

华为ACL配置顺序,系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。

需求1:在R2配置基本acl 拒绝PC1访问172.16.10.0 网络配置接口静态路由

R1

[ ]Int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 192.168.10.254   24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 12.1.1.1  24

[R1]ip route-static 172.16.10.0  24  12.1.1.2

R2

[ ]Int g0/0/0

[R2-GigabitEthernet0/0/0]ip add 172.16.10.254 24

[R2-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24

[R2]ip route-static 192.168.10.0 24 12.1.1.1

测试互通之后,配置ACL

[R2]acl 2000

设置acl 2000

[AR2-acl-basic-2000]rule deny source 192.168.10.1  0

设置规则拒绝源地址范围,这里是精准IP地址,这里掩码是反掩码0.0.0.0=0

[AR2]int g0/0/0

进入接口

[R2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

在设备接口里应用规则出口acl 2000

进行测试

需求2:在R2上配置高级acl拒绝PC1和PC2 ping  server,但是允许其HTTP访问server

[R2]acl 3000

设置acl 3000

[AR2-acl-basic-3000]rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0

设置规则拒绝icmp协议(ping)源地址范围,反掩码0.0.0.255,到172.16.10.2,这里精准地址,反掩码0.0.0.0=0

[AR2]int g0/0/0

进入接口

[R2-GigabitEthernet0/0/0]traffic-filter outbound acl 3000

在设备接口里应用规则出口acl 3000

进行测试

 

注意:只有报文是① icmp、且② 源地址是192.168.10.x、且③ 目标地址是172.16.10.2才会被拒绝。需同时满足这三个条件才会被匹配。

需求3:拒绝源地址192.168.10.2   telnet   访问  12.0.0.2

[R2]acl 3001

设置acl 3001

[AR2-acl-adv-3001]rule deny tcp source 192.168.10.2 0 destination 12.0.0.2 0 destination-port eq 23

设置规则拒绝TCP协议,这里精准地址,反掩码0.0.0.0=0,到目的172.16.10.2,这里精准地址,反掩码0.0.0.0=0,端口23,eq=等于

[AR2]int g0/0/0

进入接口

[R2-GigabitEthernet0/0/0]traffic-filter outbound acl 3001

在设备接口里应用规则出口acl 3001

需求4:允许源地址1.1.1.1访问2.2.2.2.其他剩下的报文全部被拒绝。

[R2]acl 3002

设置acl 3002

[AR2-acl-adv-3002]rule 5 permit ip source 192.168.10.2 0 destination 172.16.10.1 0

规则允许IP源端口192.168.10.2到目的172.16.10.1

[AR2-acl-adv-3002]rule 10 deny ip

规则拒绝所有IP

需求5:拒绝任何人上QQ   :传输层  UDP 8000

[R2]acl 3003

设置acl 3003

[AR2-acl-adv-3003]rule deny udp destination-port eq 8000

规则拒绝udp端口等于8000的

注意:

①如果某acl  没有在端口调用,该acl不起任何作用

②acl 属于三层技术只能部署在三层设备上面,acl适合用于不同网段互访的访问控制

③相同vlan相同网段的pc互访控制(这种情况不适合用 acl),建议使用端口隔离来实现。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/30621.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

SpringBoot的配置文件和YAML文件的语法

1.SpringBoot的有两种格式的全局配置文件,使用任何一个功能都是一样的 注意:SpringBoot的全局配置文件名都是固定的application.xxx ① application.properties, 这个是默认Spring initializr默认自动生成的配置文件,也是我们属…

2024免费数据恢复工具EasyRecovery电脑必备软件

🎉 数据安全小能手,EasyRecovery最新功能揭秘 🔓 亲爱的小红书的朋友们!你们有没有因为不小心删除了重要文件而焦急万分?或者因为电脑突然崩溃,担心珍贵的资料丢失?别怕,今天我就来给…

岁月长河中的温柔等待

在那个年代,爱情往往像是一条静静流淌的小河,不动声色却又波澜不惊。在一个小村庄里,住着一对中年夫妻,人们叫他们李大叔和赵阿姨。他们的故事,就像是那个时代的缩影,承载着岁月的沧桑与深情的守候。 李大…

【CT】LeetCode手撕—160. 相交链表

目录 题目1- 思路2- 实现⭐160. 相交链表——题解思路 3- ACM 实现 题目 原题连接:160. 相交链表 1- 思路 模式识别:相交链表 ——> 判断是否相交 思路 保证 headA 是最长的那个链表,之后对其开始依次遍历 2- 实现 ⭐160. 相交链表—…

基于振弦采集仪的地下综合管廊工程安全监测技术研究

基于振弦采集仪的地下综合管廊工程安全监测技术研究 地下综合管廊工程是一项重要的城市基础设施工程,承载着城市供水、供电、供热、排水等重要功能。为了确保地下综合管廊工程的安全运行,需要进行有效的安全监测。本文将重点研究基于振弦采集仪的地下综…

Socket编程之多进程模型

一、多进程模型概述 基于最初的阻塞网络 I/O ,若服务器要为多个客户端提供支持,在较为传统的手段中,多进程模型是常用的选择,即为每个客户端都分配一个进程来处理其请求。 服务器的主进程主要负责对客户连接的监听,一旦…

局域网共享文件夹怎么加密?方法很简单

局域网共享文件夹是企业内部信息、数据传递沟通的重要工具,而为了保护共享文件夹数据安全,我们需要使用专业的加密软件加密保护局域网共享文件夹。下面我们就来了解一下局域网共享文件夹加密方法。 局域网共享文件夹加密 在加密共享文件夹时&#xff0c…

PyCharm新手入门

前言 在之前《Python集成开发工具的选择》一文中介绍了python初学者可以使用Jupyter Notebook,Jupyter Notebook简单易用,可以用来练习代码编写,但是实际生产开发环境使用这个工具是远远不够用的,因为实际软件开发中需要软件调试…

计算机组成原理(Wrong Question)

目录 一、计算机系统概述 *1.1 计算机发展历程 1.2 计算机系统层次结构 1.3 计算机的性能指标 二、 数据的表示和运算 2.1 数制和编码 2.2 运算方法和运算电路 2.3 浮点数的表示与运算 三、存储系统 3.1 存储器概述 3.2 主存储器 3.3 主存储器与CPU的连接 3.4 外部…

MFC扩展库BCGControlBar Pro v35.0

LINK : fatal error LNK1104: 无法打开文件“BCGCBPRO2800U140.lib” BCGControlBar v25.0版本 环境VS2015,在运行程序时出现提示错误 :LINK : fatal error LNK1104: 无法打开文件“BCGCBPRO2800U140.lib” 1、需要编译一下BGCControlBar,在…

串口rx + RAM + LCD

REVIEW 昨天摸鱼怪发现高两位的数据写入or读出存在问题: RAM 串口的简单应用-CSDN博客 1. 今日摸鱼任务 UART_RX RAM LCD 来显示一下是 rx or tx 的问题 2. 代码部分 rx_ram_lcd.v module rx_ram_lcd(input clk ,input reset_n ,input uart_rx ,output …

数据结构试题 20-21

真需要就死记吧 二叉树遍历-先序(非递归)【图解代码】_哔哩哔哩_bilibili 解释一下步骤: 一个循环为: 1.取节点 2.放右子树 3.放左子树 每次循环,都要从栈里取出一个节点 先放右子树,再放左子树 那这道题就是,先放1&am…

计算机组成原理必备知识点

计算机组成原理必备知识点 前言 本文档由本人复习计算机组成原理期末考试所总结,所有习题以及知识点的页数参考2025年王道计算机组成原理 中断处理过程 硬件完成 1.关中断 2.保存断点 3.中断服务程序寻址 中断程序完成 4.保存现场和屏蔽字 5.开中断 6.执…

【计算机网络仿真】b站湖科大教书匠思科Packet Tracer——实验2 MAC地址,IP地址,ARP协议

一、实验目的 1.掌握计算机网络的寻址问题; 2.验证MAC地址与IP地址的关系; 3.了解ARP协议的作用。 二、实验要求 1.使用Cisco Packet Tracer仿真平台; 2.观看B站湖科大教书匠仿真实验视频,完成对应实验。 三、实验内容 1.构建网络…

ASP.NET MVC企业级程序设计(增删,页面水平排列,字符串拼接,非空,添加框内默认提示)

目录 题目: 实现过程 控制器代码 DAL BLL Index Deile 题目: 实现过程 控制器代码 using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; using MvcApplication1.Models;namespac…

双通道-程控绝缘测试电阻箱的性能

双通道-程控绝缘测试电阻箱是高精度、高性能的电气测量设备,广泛应用于电力系统、电气设备、电子设备等领域。采用先进的数字式电阻测量技术,具有高精度、高稳定性的测量性能。其测量误差小于0.05%,能够满足各种精密测量的需求。 双通道-程控…

MacBook Air M3的电脑怎么样 新买MacBook Air提示内存不足 苹果电脑内存不够用怎么办

Apple的MacBook Air系列一直是轻薄便携笔记本电脑的代表,最新推出的MacBook Air M3因其出色的性能和优雅的设计而受到广泛关注。然而,许多用户在购买全新的MacBook Air后反应他们遇到了内存不足的提示。 本文将探讨MacBook Air M3的电脑怎么样&#xff0…

Java 集合框架:Vector、Stack 的介绍、使用、原理与源码解析

大家好,我是栗筝i,这篇文章是我的 “栗筝i 的 Java 技术栈” 专栏的第 015 篇文章,在 “栗筝i 的 Java 技术栈” 这个专栏中我会持续为大家更新 Java 技术相关全套技术栈内容。专栏的主要目标是已经有一定 Java 开发经验,并希望进…

设计模式——观察者模式(发布/订阅模式)

观察者模式(发布/订阅模式) 是一种行为模式,允许你定义一种订阅机制,可在对象事件发生时通知多个“观察”该对象的其他对象 观察者模式定义了一种一对多的依赖关系,让多个观察者对象同时监听某一主题对象。这个主题对象在状态发生变化时&am…

[机器学习算法]支持向量机

支持向量机(SVM)是一种用于分类和回归分析的监督学习模型。SVM通过找到一个超平面来将数据点分开,从而实现分类。 1. 理解基本概念和理论: 超平面(Hyperplane):在高维空间中,将数据…