华为ACL配置命令详解

最新推荐文章于 2024-08-14 10:23:15 发布
最新推荐文章于 2024-08-14 10:23:15 发布
阅读量7.4k 收藏 25
点赞数 3
分类专栏: 华为路由交换 系统运维 安全攻防 文章标签: 华为 网络 开发语言
原文链接:https://www.python100.com/html/115941.html
版权
本文详细介绍了ACL(访问控制列表)在路由器和交换机中的应用,包括标准ACL、扩展ACL和规则集ACL的定义、配置示例以及常用命令,旨在提升网络安全性。
摘要由CSDN通过智能技术生成

一、ACL简介

ACL(Access Control List)即访问控制列表,可以在路由器、交换机等设备上进行配置,用来限制网络中数据流的访问,实现基本网络安全控制。ACL通过匹配数据包的源地址、目的地址、协议类型、端口号等信息来控制数据流在网络中的流向。

二、ACL类型

1、标准ACL:基于源IP地址进行匹配,不能指定协议类型、端口号等。标准ACL适用于对IP地址进行过滤,例如限制某一IP地址的访问。

2、扩展ACL:基于源IP地址、目的IP地址、协议类型、端口号等多种条件进行匹配。扩展ACL适用于更加复杂的安全策略,例如限制访问某一特定端口或限制某一应用程序的访问。

3、规则集ACL:可同时对标准ACL和扩展ACL进行配置,多条规则按顺序依次匹配,匹配成功后停止匹配。

三、ACL配置命令

1、标准ACL配置命令

#创建标准ACL
[huawei]acl number 2000
[huawei-acl-basic-2000]rule permit source 10.1.1.0 0.0.0.255
[huawei-acl-basic-2000]rule deny source 0.0.0.0 255.255.255.255
#将ACL应用于接口
[huawei]interface gigabitethernet 0/0/1
[huawei-GigabitEthernet0/0/1]ip address 10.1.1.1 24
[huawei-GigabitEthernet0/0/1]packet-filter 2000 inbound

说明:以上命令创建了一个编号为2000的标准ACL,允许源IP地址为10.1.1.0/24的数据包通过,拒绝所有其他IP地址的数据包。将ACL应用于GigabitEthernet0/0/1接口,数据包进入该端口时会被过滤。

2、扩展ACL配置命令

#创建扩展ACL
[huawei]acl number 3000
[huawei-acl-adv-3000]rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.2.2.0 0.0.0.255 destination-port eq 80
[huawei-acl-adv-3000]rule deny ip source 0.0.0.0 255.255.255.255 destination 255.255.255.255
#将ACL应用于接口
[huawei]interface gigabitethernet 0/0/2
[huawei-GigabitEthernet0/0/2]ip address 10.2.2.1 24
[huawei-GigabitEthernet0/0/2]packet-filter 3000 inbound

说明:以上命令创建了一个编号为3000的扩展ACL,允许源IP地址为10.1.1.0/24、目的IP地址为10.2.2.0/24、协议类型为TCP,目的端口号为80的数据包通过,拒绝所有其他IP地址和协议类型的数据包。将ACL应用于GigabitEthernet0/0/2接口,数据包进入该端口时会被过滤。

3、规则集ACL配置命令

#创建规则集ACL
[huawei]acl number 4000
[huawei-acl-rule-4000]rule 0 permit tcp source 10.1.1.0 0.0.0.255 destination 10.2.2.0 0.0.0.255 destination-port eq 80
[huawei-acl-rule-4000]rule 1 permit udp source 10.1.1.0 0.0.0.255 destination 10.2.2.0 0.0.0.255 destination-port eq 53
[huawei-acl-rule-4000]rule 2 deny ip source 0.0.0.0 255.255.255.255 destination 255.255.255.255
#将ACL应用于接口
[huawei]interface gigabitethernet 0/0/3
[huawei-GigabitEthernet0/0/3]ip address 10.3.3.1 24
[huawei-GigabitEthernet0/0/3]packet-filter inbound acl rule 4000

说明:以上命令创建了一个编号为4000的规则集ACL,共有三条规则:第一条允许源IP地址为10.1.1.0/24、目的IP地址为10.2.2.0/24、协议类型为TCP,目的端口号为80的数据包通过;第二条允许源IP地址为10.1.1.0/24、目的IP地址为10.2.2.0/24、协议类型为UDP,目的端口号为53的数据包通过;第三条拒绝所有其他IP地址和协议类型的数据包。将ACL应用于GigabitEthernet0/0/3接口,数据包进入该端口时会被过滤。

四、ACL常用命令

1、查看ACL

[huawei]display acl 2000
[huawei]display acl 3000
[huawei]display acl 4000

2、查看接口上应用的ACL

[huawei]display interface gigabitethernet 0/0/1
[huawei]display interface gigabitethernet 0/0/2
[huawei]display interface gigabitethernet 0/0/3

3、删除ACL

[huawei]undo acl number 2000
[huawei]undo acl number 3000
[huawei]undo acl number 4000

五、总结

ACL是网络设备中常用的安全配置之一,通过限制数据流的访问,提高了网络的安全性。文章从ACL类型、配置命令、常用命令等多个方面进行了详细的阐述,希望对大家在实际应用中使用ACL有所帮助。

行yutian空
关注
专栏目录
华为ENSP配置静态NAT
无缘世家的博客
02-14 1万+
实验环境:华为ENSP搭建静态NAT 设备:ENSP模拟软件、AR1220路由器、FTP服务端、FTP客户端 此次实验时跳了一个坑,无论如何操作均不能成功; 1、AR1220开启失败,根据ENSP帮助文档发现虚拟网口属性中缺失“VirtualBox NDIS6 Bridged Networking Driver”。通过重装ENSP和VM VirtualBox后,可正常开启。 2、实验使用...
华为ACL配置(基本ACL+高级ACL+综合应用)
Ablimit17的博客
12-21 7569
R3-acl-adv-3000]rule 20 permit tcp source 14.1.1.1 0 destination 15.1.1.1 0 destination-port eq 80 // 允许 14.1.1.1 仅能访问 15.1.1.1之间的 web 流量。[R2-acl-adv-3000]rule 10 permit ip source 11.1.1.1 0 destination 10.1.1.1 0 //允许11.1.1.1和10.1.1.1之间的所有流量。
华为交换机路由器ACL原理+最常用操作配置手册
11-23
华为交换机路由器ACL原理+最常用操作配置手册
ACL配置大全及命令
01-16
ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。
华为交换机用ACL访问控制实现高危端口禁用
最新发布
2302_78339399的博客
08-14 1196
classifier anti_wana behavior anti_wana //将流分类和流行为进行关联。traffic-policy anti_wana global outbound //全局应用出方向流策略。traffic-policy anti_wana global inbound //全局应用入方向流策略。#traffic policy anti_wana //创建流策略。deny //动作为禁止。
华为ensp配置ACL
2301_77324496的博客
06-21 1万+
基础ACL和高级ACL配置
华为---ACL配置
weixin_72907400的博客
09-19 1万+
ACL分类,ACL概念 ,ACL配置
华为ensp中基本acl 原理及配置命令(详解)
博客之路,前途漫漫
04-05 5457
华为ensp中的基本acl是指华为设备中用于控制网络访问的访问控制列表的其中一种类型。基本acl可以根据数据包的源IP地址进行过滤,配置简单,但功能有限。ACL的匹配规则。
华为设备ACL配置命令
Tony_long7483的博客
08-17 4244
华为设备ACL配置命令
华为---配置基本的访问控制列表(ACL
weixin_43773979的博客
06-27 2705
访问控制列表 ACL
华为网络配置ACL
热门推荐
1风天云月的博客
11-14 2万+
​ 目录 前言 一、ACL概述 1、ACL简介 2、ACL分类 (1)基本ACL (2)高级ACL (3)二层ACL (4)用户自定义ACL (5)用户ACL 3、ACL组成 (1)ACL标识 (2)ACL规则 4、ACL匹配机制 5、ACL步长 6、ACL的匹配顺序 (1)配置顺序 (2)自动排序 7、ACL应用场景 (1)在NAT中使用ACL (2)在防火墙中使用ACL (3)在QoS中使用ACL 8、常见TCP/UDP端口号 (1)TCP (2)UDP
华为高级ACL配置.topo
08-27
实验名称:华为高级ACL配置 需求: 1)允许Client1访问Server1的Web服务 2)允许Client1访问网络192.168.2.0/24 3)禁止Client1访问其它网络
华为s5700vlan划分和acl配置命令.docx
09-11
详细解答华为S5700交换机, VLAN划分 和 ACL配置命令,非常适合新手
华为配置命令详解归纳.pdf
11-14
本文将详细解析华为配置命令,帮助读者理解并掌握在华为设备上进行网络配置的基本操作。这些命令涵盖了从基本的文件管理和网络诊断到高级的接口配置和安全设置等多个方面。 首先,让我们从监控视图的命令开始。`...
华为路由器:ACL介绍及配置实验
迷逝
12-10 1万+
一、ACL介绍 ACL作用 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 应用设备——路由器 访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定
华为H3C ACL配置实例
csgd2000的博客
10-19 1万+
需要注意的是:1)当高级ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;4) 当高级ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。2. 高级ACL:高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)内容定义规则。
华为设备ACL与NAT技术
weixin_30655219的博客
07-08 605
ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制数据的流入与流出. NAT 网络地址转换(Network Address Translation),是一个互联网工程任务组的...
华为配置命令——ACL配置
zsrzy的博客
04-23 5962
华为配置命令ACL设置
ACL配置命令
weixin_44505291的博客
02-25 2万+
ACL配置命令 文章目录ACL配置命令一、ACL访问控制列表1.访问控制列表(acl)2.访问控制列表在接口应用的方向二、访问控制列表的处理过程1.ACL工作原理2.ACL两种作用3.ACL种类4.ACL的应用原则三、ACL华为命令1、基本ACL配置2、高级ACL配置 一、ACL访问控制列表 1.访问控制列表(acl) 读取第三层,第四层包头信息 根据预先定义好的规则对包进行过滤 (防火墙的功 能) 第三层传输层 —— 数据段——源端口、目的端口 —————————————————————— 通信四元组
华为交换机配置ACL
09-03
您好!感谢您的提问。以下是配置华为交换机 ACL(访问控制列表)的基本步骤: 1. 进入交换机的命令行界面,通过 SSH、Telnet 或者本地访问等方式进行登录。 2. 进入全局配置模式: ``` <Switch> system-view [Switch] acl number 2000 // 创建一个编号为2000的ACL [Switch-acl-basic-2000] rule 5 permit source 10.0.0.1 0.0.0.255 // 设置允许源IP为10.0.0.1的流量通过 [Switch-acl-basic-2000] rule 10 deny // 设置默认拒绝所有其他流量 ``` 3. 在 ACL 中添加更多规则: ``` [Switch-acl-basic-2000] rule 10 permit tcp source 192.168.0.0 0.0.255.255 destination eq 80 // 允许源IP为192.168.x.x且目标端口为80的TCP流量通过 [Switch-acl-basic-2000] rule 20 deny icmp source any // 拒绝所有 ICMP 流量 ``` 4. 将 ACL 应用到接口: ``` [Switch] interface GigabitEthernet 0/0/1 // 进入需要应用 ACL 的接口 [Switch-GigabitEthernet0/0/1] port link-type access // 设置接口链路类型为访问链路 [Switch-GigabitEthernet0/0/1] port default vlan 10 // 设置接口默认 VLAN [Switch-GigabitEthernet0/0/1] traffic-filter inbound acl number 2000 // 将 ACL 应用到入方向流量 ``` 5. 保存配置并退出: ``` [Switch-GigabitEthernet0/0/1] quit [Switch] save // 保存配置 [Switch] quit // 退出交换机配置模式 ``` 请注意,以上是一个简化的示例配置。您可以根据自己的需求和网络环境进行相应的调整。在实际操作中,请务必谨慎配置 ACL,并确保测试和验证配置的正确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值