H3CNE-用访问控制列表实现包过滤(ACL)

最新推荐文章于 2024-06-04 10:53:40 发布
最新推荐文章于 2024-06-04 10:53:40 发布
阅读量3.9k 收藏 7
点赞数 5
分类专栏: H3CNE H3CNE-H3CTE学习历程 文章标签: H3CNE ACL 访问控制列表 网络技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSerwangjun/article/details/79385125
版权

PS:本篇仅挑选作者认为重要的模块,并不全面仅供复习参考,具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏,敬请关注。



用访问控制列表实现包过滤

ACL:访问控制列表,用来实现数据包识别功能

       NE课程中的ACL的应用:

            ACL下发到路由器的接口下,过滤接口收发的用户数据

             该过滤功能是通过路由器的防火墙功能模块实现

整体叫包过滤防火墙技术


ACL分类

基本:数字序号20002999,只根据报文的源IP地址信息制定规则

高级:30003999,可匹配报文的源IP地址,目的IP地址,IP承载的协议类型、特性等

基于二层的ACL40004999:根据报文的源MAC,目的MAC802.1p优先级等二层

不同的ACL匹配的对象不同




注意:包过滤防火墙功能,V7设备默认开启,V5设备默认关闭

[ ]firewall enable


定义默认规则:

[ ]packet-filter default permit/deny. 允许所有/拒绝所有

注意:在H3C设备上,ACL如果在包过滤防火墙技术中使用,默认规则是permit,但是在其他技术中使用,默认规则是deny,思科华为全是deny




配置ACL 已经定义ACL下的具体规则

V7:acl basic 2000-2999/acl advanced 3000-3999

      Rule 0

      Rule 5

      Rule 10

      最后隐藏的默认规则

具体自己打问号看

[ ] rule number deny/permit [counting|fragment|logging] source {sou-addr wildcard|any} |time-range timerange-name

[ ]rule number deny/permit protocol destination  {dest-addr wildcard|any} |destination-port 

Operator port1[port2] established|fragment|source  {sou-addr wildcard|any} |destination-port Operator port1[port2] |time-range timerange-name


Operator 取值位lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range 

EstablishedTCP连接建立标识。是TCP协议特有的参数,定义规则匹配带有ack或者rstTCP连接报文

Frament:分片信息。定义规则仅对非首片分片报文有效,而对非分片和首片报文无效

在接口上应用

[int]packet-filter {acl-number|name acl-name} {inbound|outbound}


匹配顺序:

auto:深度优先

config:顺序匹配,从小到大,最后匹配默认规则

[ ]acl basic|advanced match-order auto|config


部署原则:

1.越靠近源越好

2.尽量在连接在终端的端口下部署acl


奋力翻身的咸鱼=_=
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ACL(用访问控制列表实现过滤
m0_51600840的博客
07-12 3321
ACL(AccessControlList,访问控制列表
H3CNE超详细实验手册
10-24
手册中会含关于访问控制列表ACL)的应用,以实现基于端口、IP地址或协议的流量过滤。同时,还会涉及设备安全配置,如SSH安全登录、密码策略和设备日志的设置。 最后,为了确保考生能熟练应对考试,手册可能还...
华为H3C ACL配置
热门推荐
弱水滴石的博客
01-16 6万+
一、ACL功能简介 随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现过滤的功能。 二、ACL种类 1. 基本ACL:只根据数据的源IP地址制定规则,序号
H3C acl配置举例
qq_20127559的博客
10-16 4347
ACL配置举例
H3CACL过滤
2402_83731852的博客
06-04 690
查看特定槽位的ACL资源。
H3C配置ACL过滤
weixin_45123715的博客
11-05 2190
拓扑图 测试ACL: 192.168.1.1可以ping通192.168.1.3 192.168.1.2不能ping通192…168.1.3 接口成功应用
H3C_ACL过滤基础配置案例
04-18
H3C_ACL过滤基础配置案例,原创文档。 适用于H3CV7版本的网络设备,括交换机、路由器等。 搭建环境为HCL3.0.1,适用于刚入门的网络工程师学习参考。
H3C交换机单向访问控制
zdl244的博客
12-03 5865
H3C交换机单向访问控制 交换机vlan10:172.16.1.254,vlan1:192.168.1.225 PC1:192.168.1.224 网关192.168.1.225 PC2:172.16.1.10 网关 172.16.1.254 ICMP单向访问控制: 192.168.1.224可以ping172.16.1.10,反过来拒绝 抓分析: 上图是192.168.1.224去ping...
H3CNE教程.pdf
05-17
访问控制列表ACL)是用来实现数据识别功能的,ACL 可以应用于诸多方面,括入站在过滤、出站在过滤等。ACL 的优点括:提高网络的安全性、减少网络的攻击风险等。 地址转换是指将私有地址转换为公有地址...
H3CNE教学视频.zip
03-17
目录 第1章计算机网络述 第2章OsI模型2 第2章.0SI模型1 第3章局域网基本原理 ...第27章:用访问控制列表实现过滤 ACL 第28章:网络地址转换 NAT Easy IP 第29章:配置HDLC 第30章:配置PPP 第31章:配置帧中继
H3CNE XMind思维导图.xmind
01-22
目录: OSPF 计算机网络概述 网络参考模型 局域网基本原理 广域网基本原理 TCP/UDP原理 IP基本原理 命令行操作基础 网络设备文件管理 网络设备调试 以太网交换机工作原理 Vlan和Trunk ...ACL过滤 NAT
H3C交换机典型(ACL访问控制列表配置实例
10-01
本文将介绍如何配置H3C交换机典型(ACL访问控制列表,需要的朋友可以参考下
h3cne综合实验资源程序:h3cne综合实验的代码和详解以及相关的知识汇总
最新发布
06-10
5. **访问控制列表**:ACL是网络设备上的过滤规则,用于控制数据流的进出。在实验中,学生将学习如何创建和应用ACL实现基于源IP、目的IP、端口等条件的流量控制。 通过"实验11234",我们可以推测这可能是多个小...
HuaWei ❀ ACL对分片报文的支持
无糖可乐没有灵魂
06-13 401
ACL对分片报文的支持 传统的过滤并不处理所有IP报文分片,而是只对第一个分片报文进行匹配处理,后续分片一律放行,这样,网络攻击者可能构造后续的分片报文进行流量攻击,带来安全隐患; 设备的过滤提供了对分片报文过滤的功能,括对所有分片报文进行三层匹配过滤; 在ACL规则中,可以配置该ACL规则对所有分片报文有效,可以配置该规则仅对非首片分片报文有效,也可以配置规则对所有报文均有效; ...
packet-filte和traffic-filter的异同
weixin_59686867的博客
08-08 1144
Packet-filter 和traffic-filter 虽然都是对数据进行过滤,但还是一点小小的差异。根据结果显示:华三的过滤工具packet-filter 对自身的产生的数据可以生效。结果显示:traffic-filter过滤工具对自身产生的数据无法生效过滤行为。我们都知道这两个过滤工具呢 作用是相同的,都是基于ACL对报文进行过滤的、(技术为王,专注每一个细节)。而华为的traffic-filter不可以对自身的数据进行过滤。华三的Packet-filter可以对自身产生的数据进行过滤
H3CNEACL访问控制实验
剁椒鱼头没剁椒的博客
05-06 3005
1、实验需求:   根据拓扑图中的IP地址对所有设备进行地址配置,使其能够实现全网通,在server上配置telnet服务。   通过使用ACL访问控制实现192.168.1.0网段无法访问192.168.2.0服务,PC1能够访问telnet服务,PC2无法访问telnet服务。PC3无法访问server1。 2、实验拓扑 3、实验步骤 (1)根据图中的IP对设备进行接口配置,此部分省略。 (2)由于H3C模拟器中的PC无法使用telnet服务,所以使用路由器模拟,路由器模拟PC,需要配置网关,否则全
网络技术二十一:ACL过滤
weixin_62715196的博客
09-07 535
网络学习
H3C-防火墙-交换机基础配置,值得收藏学习
m0_68698993的博客
05-25 5441
H3C] Firewall zone trust 配置安全域(这里分四个域,local,trust,untrust,DMZ,其中DMZ是介于内网和外网之间的网络,例如,在一个提供电子商务服务的网络中,某些主机需要对外提供服务,如Web服务器、FTP服务器和邮件服务器等,为了更好地提供优质的服务,同时又要有效保护内部网络的安全)system-view是我们最常用的视图,在系统视图,我们可以查看全局配置,同时可以修改和进行所有系统配置,每一个接口视图间的切换都需要回到系统视图。
华三(H3C)模拟器配置ACL实验
qq_52867389的博客
12-23 5933
华三(H3C)模拟器配置ACL实验实现数据过滤拦截
H3CNE-GB0-191题库:中小企业网络构建V7.0详解
"H3CNE-GB0-191题库《构建中小企业网络V7.0》是一份专注于H3C认证的考试资料,适用于准备参加H3C Network Engineer (H3CNE)系列考试的考生。该题库含9个部分,共涉及多个章节,涵盖了数据链路层、网络层、TCP/IP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值