沉浸式学习ACL基本原理与配置(上)

于 2024-08-29 17:28:12 发布
阅读量441 收藏 6
点赞数 22
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79308927/article/details/141683934
版权

随着网络技术的飞速发展,网络安全问题日益突出。ACL(Access Control List,访问控制列表)可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

ACL使用包过滤技术,在路由器上读取第三层以及第四层包头中的信息。如源地址、目的地址、源端口和目的端口等。

根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

ACL的种类

1、基本ACL

基本ACL最简单,通过使用IP包中的源IP地址进行过滤,表号范围2000-2999

2、高级ACL

高级ACL比基本ACL具有跟多的匹配项,功能更加强大和细化,可以针对协议类型、源地址、目的地址、源端口、目的端口和TCP链接等进行过滤。表号反问3000-3999。

3、基于时间的ACL

ACL的生效时间段可以规定ACL规定在任何时间生效,比如某个特定时间段或者每周的某个固定时间段。

4、自反ACL

通过自反ACL可以实现网络节点的单向访问。

实验一:基本ACL

实验目的

掌握基本的ACL配置方法,以及ACL在接口下的应用与过滤方案。

实验拓扑

实验步骤

PC1设置

PC2设置

Server1设置

SW1配置

<Huawei>system-view

[Huawei]undo info-center enable

[Huawei]sysname SW1

[SW1]vlan batch 10 20

[SW1]interface GigabitEthernet 0/0/1

[SW1-GigabitEthernet0/0/1]port link-type access

[SW1-GigabitEthernet0/0/1]port default vlan 10

[SW1-GigabitEthernet0/0/1]quit

[SW1]interface GigabitEthernet 0/0/2

[SW1-GigabitEthernet0/0/2]port link-type access

[SW1-GigabitEthernet0/0/2]port default vlan 20

[SW1-GigabitEthernet0/0/2]quit

[SW1]interface GigabitEthernet 0/0/3

[SW1-GigabitEthernet0/0/3]port link-type trunk

[SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20

R1设置

<Huawei>system-view  

[Huawei]undo  info-center enable

[Huawei]sysname R1

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]undo shutdown

[R1-GigabitEthernet0/0/1]quit

[R1]interface GigabitEthernet 0/0/1.10

[R1-GigabitEthernet0/0/1.10]dot1q termination vid 10

[R1-GigabitEthernet0/0/1.10]ip address 192.168.10.254 24

[R1-GigabitEthernet0/0/1.10]arp broadcast enable

[R1-GigabitEthernet0/0/1.10]quit

[R1]interface GigabitEthernet 0/0/1.20

[R1-GigabitEthernet0/0/1.20]dot1q termination vid 20

[R1-GigabitEthernet0/0/1.20]ip address 192.168.20.254 24

[R1-GigabitEthernet0/0/1.20]arp broadcast enable

[R1-GigabitEthernet0/0/1.20]quit

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24

测试1

在R1上设置ACL

[R1]acl 2000 //创建编号为2000的ACL

[R1-acl-basic-2000]rule 10 deny source 192.168.20.0 0.0.0.255 

//写一条策略,拒绝192.168.20.0/24的网段。

[R1-acl-basic-2000]quit

[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000  

//使用过滤方案在此接口进口方向应用ACL 2000策略。

[R1-GigabitEthernet0/0/1]display traffic-filter applied-record

-----------------------------------------------------------

Interface                   Direction  AppliedRecord       

-----------------------------------------------------------

GigabitEthernet0/0/1        inbound    acl 2000

-----------------------------------------------------------

[R1-GigabitEthernet0/0/1]display acl 2000

Basic ACL 2000, 1 rule

Acl's step is 5

 rule 10 deny source 192.168.20.0 0.0.0.255

测试2

PC1正常访问Server1,PC2因为ACL2000的原因,无法访问Server1。

技术要点

如果配置在接口上,默认规则为允许;如果配置在其他地方,默认规则为拒绝。

关注+点赞+评论+收藏,分享更多网工实验小技巧

运维骁哥
关注
  • 22
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AI Agent: AI的下一个风口 感知和解析环境与自主决策
禅与计算机程序设计艺术
06-11 637
智能感知和决策无疑代表了人工智能技术的重要发展方向。语义理解将更加深入,AI系统对文本、语音、视觉信息的理解将达到前所未有的程度,接近甚至超越人类水平。知识库将更加丰富完备,囊括各领域结构化、非结构化知识,赋予AI更全面的认知能力。决策智能将更加灵活多变,能够在动态环境中进行自主探索学习,适应不确定性。人机交互将更加自然融洽,AI助手能以人性化的方提供个性化服务。多模态融合将成为主流,视觉、语音、文本等信息源将无缝整合,联合驱动智能系统。缺乏大规模、高质量的异构数据和标注。
AI Agent: AI的下一个风口 AutoGPT:通过自然语言的需求描述执行自动化任务
禅与计算机程序设计艺术
06-29 637
随着人工智能技术的快速发展,我们正在进入一个新的AI时代。传统的AI系统虽然在特定任务上表现出色,但往往缺乏灵活性和自主性。用户需要一种更智能、更自主的AI系统,能够理解复杂的自然语言指令,并自动执行各种任务。这种需求催生了AI Agent的概念,其中AutoGPT作为一个典型代表,正在引领AI的下一个风口。基于大型语言模型的自然语言理解和生成任务分解与规划上下文管理和记忆机制自主决策与执行持续学习与优化。
新书推荐—华为HCIA路由交换技术实战
正月十六工作室
05-29 764
HCIE认证讲师、技术能手、ICT大赛优秀指导教师、教学名师、国家规划教材作者联袂编撰
HCIE-RS的学习过程&考证心得(面试过渡新版本)
WFlySky的博客
05-07 3875
HCIE的成长史
AIGC从入门到实战:AIGC 的发展历程
禅与计算机程序设计艺术
07-02 768
AIGC从入门到实战:AIGC 的发展历程0 1. 背景介绍 1.1 问题的由来 AIGC(AI-Generated Content,人工智能生成内容)是近年来人工智能领域的一个热门话题。随着深度学习、自然语言处理、计算机视觉等技术
AI在电商中的应用系列文章
禅与计算机程序设计艺术
10-03 912
作者:禅与计算机程序设计艺术随着互联网的发展和普及,越来越多的人把目光投向了电子商务这个新领域。许多企业都希望通过这个平台让顾客得到更高品质的服务和体验,从而实现自己的盈利目的。同时,电商也受到了人们的青睐,它给用户带来的便捷感、快速购买、低廉价格以及便于使用的优点,都令人印象深刻。基于这些原因,当下越来越多的企业开始在电商中积极布局,而在大数据、人工智能等新兴技术的驱动下,许多电商公司也纷纷开始了探索和尝试,尝试利用人工智能技术来提升产品的个性化推荐、商品分类以及品牌营销等方面。然而,对于如何将电商中的人
OPPO小布助手算法系统探索、实践与思考
OPPO数智技术
12-28 806
作为全球TOP级智能设备制造商,OPPO把万物互融作为未来的战略方向,而AI助手是该战略方向不可或缺的重要组成部分。本文以OPPO小布助手为案例,分享亿级月活AI助手算法系统的实践经验与未来思考。
浏览器发送HTTP请求的过程
学Python的小白!
08-25 1489
浏览器发送HTTP请求的过程是一个复杂但有序的步骤,‌主要包括以下几个阶段:‌1.构建请求,2.查找缓存、3.DNS解析、4.建立TCP连接、5.发送HTTP请求、6.服务器处理请求、7.服务器发送响应、8.客户端处理响应、9.关闭连接。
哪些类型的企业需要开展TPM管理培训?
tianxingjian713的博客
08-23 1251
例如汽车制造企业、电子制造企业等,这些企业的生产线通常由大量高精度的自动化设备组成,一旦设备出现故障,可能会导致整个生产线停产,造成巨大的经济损失。开展TPM管理培训可以提高员工对设备的维护和管理能力,延长设备的使用寿命,降低设备维修成本,提高物流服务的效率和质量。通过开展TPM管理培训,让设备操作人员、维护人员和管理人员共同参与设备维护,实现设备的零故障运行,从而提高企业的竞争力。通过开展TPM管理培训,让员工了解设备的运行原理和风险点,加强设备的日常巡检和维护,提高设备的安全性和可靠性。
服务器远程管理
m0_64827698的博客
08-26 522
SSH两种级别的安全认证:基于口令(口令在网络上传播,易受中间人攻击),基于密钥(传公钥,公钥是否相同,公钥加密质询,私钥解密)(密钥不在网络上传)2.启用服务services.msc(telnet)/配置远程桌面服务gpedit.msc(rdp)/使⽤SSH,你可以把所有传输的数据进⾏加密,这样“中间 ⼈”这种攻击⽅就不可能实现了。实验总结:在windows开启telnet服务(2019不支持),RDP服务,SSH。SSH协议允许⽤户通过配置⽂件⾃定义选择加密算法,以优化安全性和性能。
系统编程 网络 http协议
qq_69971969的博客
08-24 788
--------------------------------------表示了资源所在的路径。意思:域名解析=>把对应的域名解析为对应的ip。<协议>://<主机>:<端口>/<路径>万维网:http解决万维网之间互联互通。http:应用层协议,底层是tcp协议。http协议------应用层的协议。1.如何在万维网中表示一个资源?http协议加密:tls,ssl。计算机web端网络只能看到文字。<http>只是协议的一种。html 超文本标记语言。http 超文本传输协议。
33.python socket
笔生花的博客
08-27 1110
python socket 心跳包 数据包
【CVPR‘24】BP-Net:用于深度补全的双边传播网络,新 SOTA!
最新发布
梁瑛平的博客
08-28 184
深度补全任务旨在从稀疏的深度测量数据和同步的彩色图像中生成密集的深度图。现有的最先进方法多为基于传播的,通常作为对初始估计的密集深度的迭代改进。然而,这些初始深度估计通常直接将卷积层应用于稀疏深度图。在本文中,我们提出了一种双边传播网络(BP-Net),在最早阶段进行深度传播,以避免直接在稀疏数据上进行卷积。具体而言,我们的方法通过一个非线性模型从附近的深度测量中传播目标深度,该模型的系数由一个多层感知器生成,并基于辐射差异和空间距离进行调整。
SSH是什么?
思索的涟漪,突破自我
08-28 226
SSH的工作原理可以简单理解为,它在用户和服务器之间建立了一条“安全隧道”,通过这条隧道传输的数据都被加密,防止中间人攻击或数据泄露。公钥认证的原理是用户在本地生成一对密钥,其中公钥存放在服务器上,私钥则保存在本地。在现代互联网环境中,安全性越来越受到重视,SSH凭借其强大的加密能力和灵活的认证方,成为了维护网络安全的重要工具之一。使用SSH时,用户只需要在终端或命令行界面输入简单的命令,就可以连接到远程服务器,执行各种操作,如文件传输、远程执行命令,甚至通过端口转发实现复杂的网络功能。
2024年入职/转行网络安全,该如何规划?_网络安全职业规划
2401_85023531的博客
08-23 1557
前段时间,知名机构麦可思研究院发布了《2022年中国本科生就业报告》,其中详细列出近五年的本科绿牌专业,其中,信息安全位列第一。
动态代理和静态代理的区别,动态代理怎么提高网络安全性
yls5yl的博客
08-28 257
动态代理通过不断变化的IP地址,不仅在网络匿名性、隐私保护和抗攻击方面具有显著优势,还能有效提升用户的网络安全性。尽管与静态代理相比,动态代理可能在稳定性方面有所欠缺,但在现代复杂的网络环境中,它依然是保障网络安全的强大工具。了解并正确使用动态代理,将帮助用户在网络世界中游刃有余,最大程度地保护自己的隐私和数据安全。
配置ospf单区域
m0_70063775的博客
08-26 1042
OSPF是一种基于链路状态的路由协议,可以将链路视为路由器的接口。链路状态是对接口及接口与相邻路由器的关系的描述。例如接口的信息包括接口的IP地址、掩码、所连接的网络的类型、连接的邻居等。所有这些链路状态的集合形成链路状态数据库。OSPF共有8种状态机,分别是:Down、Attempt、Init、2-way、Exstart、Exchange、Loading、Full。邻居会话的初始阶段,表明没有在邻居失效时间间隔内收到来自邻居路由器的Hello数据包。
网络互联基础
任我行的博客
08-25 479
与集线器相连的所有主机组成一个简单局域网LAN,都属于同一个冲突域,且属于同一个广播域。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值