ACL策略

已于 2023-06-07 09:47:40 修改
阅读量1.8k 收藏 2
点赞数
文章标签: 网络 tcp/ip udp
于 2023-06-07 09:22:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZWH9991/article/details/131076855
版权

acl:访问控制列表

1、对数据包能否访问做控制

2、结合其他协议(例:icmp http udp)从而进一步控制范围

acl可以控制相关协议的流量能不能通过

acl可以配置多条策略

2000~2999 基本acl 只能匹配源ip地址

3000~3999 高级acl 可以匹配源ip、目标ip以及源端口和目的端口号、以及三层和四层的相关协议(例:icmp udp tcp)

创建格式命令:acl number 2000

拒绝所有命令:rule deny source any 

允许所有:rule permit source any

调用接口:traffic-fitter outbound acl 2000  (出口)

                  traffic-fitter inbound acl 2000     (入口)

多条策略的匹配原则:

1、有则匹配,无则放行

2、匹配到第一条acl策略后,即使后面还有相同的acl策略也将不再匹配

一个接口只能配一个acl(即使编号不同也不行)

172.16.40.0/24 匹配子网当中16 20 24 28

10101100.00010000.00101000.00000000

10101100.00010000.00101000.00010000   (16)

10101100.00010000.00101000.00010100   (20)

10101100.00010000.00101000.00011000   (24)

10101100.00010000.00101000.00011100   (28)

根据通配符规则:0表示匹配(即不变的)    1表示随机分配(即有变化的)

即:不变的为0   有变动的为1

可得:

00000000.00000000.00000000.00001100    转换为十进制可得反掩码为:

0.0.0.12

0.0.0.255  一般用于网段

0(即:0.0.0.0)一般用于IP地址

acl的应用原则:

1、在同一个方向中,一个接口只能调用一个acl

2、一个acl中可以有多个rule规则,按照规则id从小到大排序,从上往下依次执行(一般来说id小的优先级要高)

3、数据包一旦被某个rule匹配执行,就不会再接着向下匹配

4、做数据包访问控制时,默认放过所有(即你不设置规定时,系统默认放过所有。注:仅适用华为设备)

高级acl命令:rule deny icmp soure 192.168.10.1 0 destination 192.168.0.20 0(这里的意思为拒绝192.168.10.1的所有网段访问目的ip 192.168.0.20  其中icmp即通过网际控制协议来达到控制访问的目的)

注:一般来说基本acl靠近目的,而高级acl靠近源(不绝对,依据具体情况而做决定)

client(客户端)设置命令:

rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port eq 80(即允许192.168.1.30的ip访问192.168.3.30的ip   通过tcp协议控制80端口   TCP协议即端对端)

操作示意图如下:

ACL策略

各个配置连线图:

服务器与pc客户端的配置如下:

这里的交换机不用配置,它只提供端口

路由器的配置如下图:

配置完成后测试一下,抓包看一下

五彩斑斓的黑@
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ACL访问控制
weixin_42753043的博客
04-21 5667
ACL (仅作为个人笔记,如有雷同,请联系删除。。) 访问控制列表(ACL):是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的
锐捷交换机ACL配置
05-08
锐捷交换机ACL配置 基于时间的acl配置
ACL原理与配置
Mo_nor的博客
06-07 2047
3000~3999为高级acl,可以匹配源IP地址、目标IP、源端口号、目标端口、三层(icmp)和四层(tcpudp)的协议字段。高级acl,尽量用在靠近源地址的地方,保护带宽(涉及协议的必须用高级acl,例:ping,http等)允许tcp协议的指定源地址访问192.168.3.30,然后将acl 3000配置给端口g0/0/1。2、结合其他协议(例:传输层的tcpudp),ACL可以控制协议的流量能否通过。先允许指定的源地址通行,再拒绝所有源地址通行并配置给端口g0/0/0。
2.1: 基本权限和归属 、 附加权限 、 ACL策略管理.docx
03-04
2.1: 基本权限和归属 、 附加权限 、 ACL策略管理.docx
实验:使用基本ACL限制公司网络访问.docx
11-09
本实验使用基本ACL限制公司网络访问,三层交换机的访问策略主要是通过ACL访问控制列表对不同VLAN的IP地址段进行流量匹配控制。
tencentyun#qcloud-documents#查询本端IP转换ACL策略_en1
07-25
This API (DescribeLocalIPTranslationAclRule) is used to query the ACL rules for
tencentyun#qcloud-documents#添加本端IP转换ACL策略_intl2
07-25
This API (CreateLocalIPTranslationAclRule) is used to add ACL rules for local IP
ACL原理及配置
m0_56509725的博客
06-07 1905
可以理解为ACL也就是控制用户或进程对计算机系统或网络中资源的访问权限。它可以限制谁可以访问、何时可以访问以及访问所允许的操作类型。2.ACL可以结合其他协议(传输层:TCPUDP通过端对端进行通信)、匹配范围。控制协议的流量是否通过。:ACL就是访问控制,就是用来确定流量是否可以通过。通过----->放行,不通过------>丢弃。配置ACL在路由器上配置,或者在三层交换机上进行配置。客户端pingPc3失败---------->成功。Pc2pingpC3失败--------->成功。
计算机网络ACL策略
qq_44685426的博客
11-15 6060
ACL--访问控制列表 配置ACL网络设备,根据事先设定好的报文匹配规则,对经过该设备的流量按照规则进行匹配,对匹配上的流量执行设定好的动作 ACL的功能: 1.访问控制:在路由器流量流入或者流出的接口上,匹配流量,然后执行设定好的动作。-- permit(允许),deny(拒绝) 2.抓举感兴趣流:ACL和其他的服务结合使用,ACL负责匹配对应的流量,而其他的服务对匹配到的流量执行相应的动作(流量控制--ACL和Qos--服务质量技术) ACL控制列表的匹配规则: 自上而...
ACL详解
享你所想
12-22 4935
就比如说做流控,不是说不让访问,可以访问,但要对流量、速度等做一些限制,遇到这样的情况,光靠这两种动作是无法实现这个功能的,所以,ACL在某些情况下只做第一件事 --- 只抓取流量,但不去做动作。某些设备配置ACLACL中声明了一些匹配规则,通过这个规则来匹配一些流量,对匹配到的流量再执行相应的动作,即,提前设定好了怎么处理这些流量,比如说,是让它访问还是不让访问,从而就实现了控制的功能。---- 通过telnet管理路由器 ---- 通过web界面管理路由器 ---- 通过SNMP协议进行设备管理。
网络ACL原理与配置
m0_70893463的博客
06-06 3208
3000-3999 高级acl,可以匹配源ip和目标ip、源端口和目标端口、三层和四层的协议字段(三层:icmp,arp。四层:udptcp)虽然划分了vlan,但是不是流量控制,只是单纯的划分了广播域,而且通过三层交换机或者单臂路由还能实现不同vlan之间的通信,要求1:允许pc1访问pc3 pc1访问192.168.2.0/24(pc1能ping通pc3,其他pc不能)所以最后一位都是1是固定的,固定的位置是0,前面的都会变,所以结果是11111110 十进制为254。
基于ACL的简化流策略配置.pdf
03-16
基于ACL的简化流策略配置
Cisco路由器ACL配置实现网络安全策略.pdf
09-20
Cisco路由器ACL配置实现网络安全策略.pdf
天融信防火墙策略配置方法
06-15
天融信防火墙策略配置方法 cisco设备: 1.创建ACL规则 ip access-list extended 445 deny tcp any any eq 445 deny tcp any any eq 135 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any ...
acl控制列表
06-12
信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络...
计算机网络ACL原理与配置
Z的博客
06-07 2012
ACL : 访问控制协议(访问控制列表)作用:1.用来对做访问控制2.其结合其他协议,匹配范围(传输层:tcpudp);ACL可以控制协议的流量是否可以通过。总结:ACL为访问控制,其确定流量是否能通过;=====》如果通过,则放行数据包;如果不通过则直接丢弃。
ACL理论及简单配置
weixin_58107256的博客
05-04 1万+
应用意义 ACL可以通过定义规则来允许或者拒绝流量的通过。 如图所示,192.168.1.0网段的社交场所为只能够进入公网,而不能够进入服务器,这个时候我们在路由器或者是三层交换机上(带路由功能的交换设备)上配置ACL策略,在192.168.1.0网段的数据包发送到RTA的时候会在入网口进行检测,从而判断能否让该(IP/MAC/端口)通过。 1.ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 2.本示例中,网关RTA允许192.16.
【华为网络-配置-006】-ACL 访问控制列表配置(基于源地址的配置)(逐步完善其他配置
最新发布
sunsun778的博客
11-01 850
结果正确,PC1 可以与 PC2 通信(丢一个包是正常的)结果正确,PC1 不能与 PC3 通信。
ACL技术配置
热门推荐
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
10-31 1万+
ACL华为命令 1.基本ACL配置 [Huawei]acl number 2000 ###创建acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加) [Huawei] interface GigabitEthernet 0/0/1 [ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254
ensp中查看acl策略的命令
03-28
在ensp中查看acl策略的命令是: 1. 显示所有acl策略:display acl all 2. 显示指定acl策略:display acl name <acl策略名称> 3. 显示指定acl策略的统计信息:display acl name <acl策略名称> statistics 4. 显示指定acl策略配置信息:display acl name <acl策略名称> configuration 5. 显示指定acl策略的匹配规则:display acl name <acl策略名称> rule <匹配规则编号> 注意:在命令中,尖括号(< >)表示需要替换成实际的参数,不需要输入尖括号。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值