ACL的介绍

最新推荐文章于 2023-09-22 22:29:06 发布
最新推荐文章于 2023-09-22 22:29:06 发布
阅读量670 收藏
点赞数
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_77625887/article/details/131572520
版权

一、ACL功能(指定某些人能做某些事)

ACL---访问控制列表,用于数据流的匹配和筛选

功能:

访问控制:ACL+Packet-filter(包过滤)

路由控制:ACL+Route-policy(路由策略)

流量控制:ACL+QOS(服务质量)

二、ACL组成

组成:由若干条permit或deny语句组成,每条语句就是一条规则

语句形式:

rule permit(deny) source 192.168.1.0 0.0.0.255

rule 2 permit(deny)source 172.16.0.0 0.0.255.255

若为一个网段则配反掩码,具体的则用0.0.0.0

手动指定:0、1、2、3......

自动生成:5、10、15....5的倍数(为了以后加规则)

通配符(反掩码)

三、ACL分类

基本ACL:只关心报文的源地址,2000~2999

高级ACL:对数据包的五元组(源IP、目的IP、源端口、目的端口、协议类型)进行检查,编号3000~3999

二层ACL(二层联想到数据链路层):检查二层帧的头部信息,源MAC地址\目的MAC地址\二层协议类型等等,编号4000~4999

三层联想到路由层

用户自定义ACL:使用报文头部、字符串掩码和用户自定义字符串来定义规则,编号5000~5999(相当于以上的结合)

四、匹配机制

包过滤方向:

出方向:数据流出的方向

入方向:数据流入的方向

注:包过滤不许配置在接口某个方向上才能生效,一个接口的一个方向只能配置一个包过滤策略。

建议:在不影响实际效果的前提下,包过滤尽量配置在离源地址最近的接口的入方向。

匹配机制:

1、数据包到达接口先检查是否应用了ACL

2、按照ACL编号顺序(从小到大)匹配第一条规则,匹配进一步检查该条规则的动作。否则与下一跳规则进行匹配....

3、所以规则都不匹配,检查默认动作,默认动作允许则放行,默认动作拒绝则放弃

练习1:

rule permit source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

允许192.168.1.0这个网段访问192.168.2.0这个网段

练习2:

rule deny source 192.168.1.5 0.0.0.0 destination 192.168.2.10 0.0.0.0

拒绝192.168.1.5这个地址访问192.168.2.10这个地址

练习3:

rule permit source 100.1.1.1 0.0.0.0 destination 192.168.10.1 0.0.0.0

rule deny source 100.1.1.0 0.0.0.255 destination 192.168.10.1 0.0.0.0

在100.1.1.0这个网段中只有100.1.1.1这个地址能访问192.168.10.1这个地址

练习4:

rule deny source 100.1.1.0 0.0.0.255 destination 192.168.10.1 0.0.0.0

rule permit source 100.1.1.1 0.0.0.0 destination 192.168.10.1 0.0.0.0

拒绝100.1.1.0这个网段中所有的地址访问192.168.10.1这个地址

练习5:

rule permit source 0.0.0.0 255.255.255.255 destination 192.168.10.1 0.0.0.0

允许任何地址访问192.168.10.1这个地址

练习6:

rule permit source 100.2.2.0 0.0.0.255 destination any

允许100.2.2.0这个网段访问任何地址

用一条静态默认路由来模拟网关

-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
cisco-ACL介绍配置
03-01
### cisco-ACL介绍配置 #### 一、访问控制列表(ACL)概述 访问控制列表(Access Control List,简称ACL)是一种重要的网络安全管理工具,在Cisco路由器等网络设备中被广泛使用。ACL是一系列预定义规则的集合,这些...
什么是ACL.pdf
04-28
ACL介绍 **定义** 访问控制列表(ACL)是一组由一条或多条规则组成的集合。每条规则都是一个描述报文匹配条件的判断语句,包括但不限于报文的源地址、目的地址、端口号等。简单来说,ACL就是一种报文过滤器,它...
第七章 ACL技术 笔记
m0_74349974的博客
07-06 236
PC1]ip route-static 0.0.0.0 0 192.168.1.254-------模拟网关。[PC2]ip route-static 0.0.0.0 0 192.168.1.254-------模拟网关。按照ACL编号顺序(从小到大)匹配第一条规则,匹配进一步检查该条规则的动作,否则与下一条规则进行匹配……对数据包的五元组(源IP、目的IP、源端口、目的端口、协议类型)进行检查,编号3000- 3999。ACL--访问控制列表,用于数据流的匹配和筛选。ACL+QOS(服务质量)
ACL技术配置
热门推荐
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
10-31 1万+
ACL华为命令 1.基本ACL配置 [Huawei]acl number 2000 ###创建acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加) [Huawei] interface GigabitEthernet 0/0/1 [ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254
学习日记Day27:ACL原理与配置
qq_40909772的博客
08-13 3233
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
CCNA-ACL(访问控制列表)技术
Slash的博客
02-23 1984
一、基本概念 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。 访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障 网络安全。 ACL是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收 还是拒...
ACL规则匹配顺序
Jian Sun_的博客
07-26 5061
从上面的ACL匹配报文流程图中,可以看到,只要报文未命中规则且仍剩余规则,系统会一直从剩余规则中选择下一条与报文进行匹配。 系统是根据什么样的顺序来选择规则进行报文匹配的呢? 回答这个问题之前,先来看个例子。假设我们先后执行了以下两条命令进行配置: rule deny ip destination 1.1.0.0 0.0.255.255//表示拒绝目的IP地址为1.1.0.0网段的报文通过 rule permit ip destination 1.1.1.0 0.0.0.255//表示允...
扩展ACL故障处理与优化扩展ACL介绍.pptx
11-26
**扩展ACL故障处理与优化** 扩展ACL,全称为Extended Access Control List,是网络设备用于进行精细化流量控制的一种机制。它允许管理员根据多种条件来定义过滤规则,包括但不限于源IP地址、目的IP地址、IP协议类型...
ACL权限介绍.pdf
07-10
**ACL权限介绍** 在计算机系统中,访问控制列表(Access Control List,简称ACL)是一种用于精细化权限管理的技术,尤其在Linux和Unix系统中被广泛使用。传统的Linux权限模型基于所有者(owner)、用户组(group)...
ACL详解视频7讲.zip
04-24
总的来说,这7个视频将深入浅出地介绍ACL的基本概念、配置方法、应用场景及常见问题,适合网络管理员和对网络安全感兴趣的初学者学习。通过学习,你将能够掌握如何利用ACL有效地管理和保护你的网络环境。
访问控制列表
weixin_34067102的博客
06-27 1016
创建ACL命令语法如下:Router(config)# access-list access-list-number { permit | deny } protocol { sourcesource-wildcard destination destination-wildcard } [ operator operan ] 下面是命令参数的详细说明:acce...
Android Permission denied 错误 ( 附Android权限大全 )
chen825919148的专栏
05-02 2470
java.net.SocketException: Permission denied (maybe missing INTERNET permission) 这是一个经典错误, Socket不能对外连接,错误不会被报出,调试的时候,能看到Exception, 这个Exception会有很多变体。 Android默认不允许访问网络,所以,在AndroidManifest.xml中,需要
pam_permit.so…pam_deny.so…pam_time.so…pam_echo.so…pam_limits.so
weixin_33810006的博客
12-04 652
OS version:Red Hat Enterprise Linux Server release 6.4Kernel version:2.6.32-358.el6.x86_64-------------------------------------------------------------------------准备工作:[root@Zhai ~]# groupa...
华为 路由策略
m0_60655253的博客
11-14 407
配置好IP地址写好bgp路由表ar 10 是bgp 10 ar9 是bgp 20 ar11是bgp 30 在ar9上面配置 [Huawei]ip as-path-filter 1 deny _30_ [Huawei]ip as-path-filter 2 deny _10_ [Huawei]ip as-path-filter 2 permit .* [Huawei]ip as-path-filter 1 permit .* [Huawei]bgp 20 [Huawei-bgp]...
软考网络工程师防火墙配置考点总结
最新发布
ducanwang的博客
09-22 773
内网发起的流量,设备会根据流量的第三层和第四层信息,生成一个临时性的反向ACL,并且保持一段的时间,此临时性的ACL中,协议类型不变,而源IP和目的IP、源端口和目的端口与初始的ACL进行对调,而且可以设置老化周期,如果老化周期内没有相对应的流量返回,则自反的ACL会被删除,增加老化的安全性。(也就是配置了自反ACL后,主机发送给服务器流量后,服务器才能返回流量给主机,而服务器主动发起的流量则会被ACL丢弃。DMZ区(50):本区域内的网络受信程度中等,通常用来定义公共服务器所在的区域。
高级ACL应用
weixin_50339832的博客
06-14 675
高级ACL
华三IPsec
qq_47529104的博客
06-19 1574
华三ipsec
路由Import&Control
zljszn的博客
09-15 920
ip-prefix FILTER index 10 permit 1.1.1.0 24 greater-equal 26 less-equal 32 //首先先是匹配路由为1.1.1.0/24位的路由,只有满足这个条件之后才回去匹配后面的掩码范围,greater-equal 26的意思是大于或等于26位掩码的意思,less-equal 32是小于或等于32位的意思,总结的来说,对于1.1.1.0这条路由,前面的1.1.1必须要一样,至于后面的主机位,要符合满26到32位的条件就可以了。
理解Cisco ACL:配置与工作原理
"cisco-ACL介绍配置" 访问控制列表(Access Control List,简称ACL)是Cisco网络设备中的一种核心安全机制,它主要用于控制网络流量,实现精细化的访问策略。通过对数据包进行过滤,ACL可以决定哪些数据包可以通过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值