ACL原理与配置

于 2023-06-07 10:07:07 发布
阅读量831 收藏 2
点赞数 1
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenzhivhao/article/details/131080408
版权

目录

引言

 一、ACL的分类

二、ACL匹配规则

三、通配符

四、ACL的配置

引言

引入:随之网络的飞速发展,网络安全和网络质量QoS(Quality of Service)问题日益突出。访问控制列表(ACL,Access Control List)是与其紧密相关的一个技术。

ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为,防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

(ACL 可以配置多条策略)

技术背景:需要一个工具,实现流量过滤

ACL:访问控制协议

数据包经过端口,端口配置acl,路由器会对数据包的报文进行检查,并做出相对反应

主要配置设备:路由器

 一、ACL的分类

2000-2999基本ACL只能匹配源IP地址
3000-3999高级ACL

可以匹配源IP 目标IP 源端口 目标端口

三层和四层的协议字段 icmp tcp udp

4000-4999根据数据包的源mac地址,目的mac地址,802.1q优先级 二层协议

二、ACL匹配规则

当数据包经过路由器端口,系统会检查端口是否配置ACL

如果ACL不存在,则放行

如果ACL 存在,则检查ACL 规则

当ACL规则与数据包报文不匹配 则被放行

当ACL 规则与数据包报文匹配则从ACLZ中编号最小的规则开始查找

如未匹配上规则,则继续查找下一条,以此循环

permit:通过

deny:丢弃

三、通配符

 通配符

不变置0,变置1

0指固定IP0.0.0.255 是指一个网段

如/28的网络掩码写成二进制是:

1111 1111.1111 1111.1111 1111.1111 0000

其通配符掩码,按位取反的结果是:

0000 0000.0000 0000.0000 0000.0000 1111

点分十进制表示如下:

0.0.0.15

四、ACL的配置

 (先配置好主机的IP地址,网关和子网掩码)

配置好服务器端口的网关地址

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add	
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add	
[Huawei-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/2]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add	
[Huawei-GigabitEthernet0/0/1]ip address 192.168.3.254 24

任务1

设置基本ACL2000

[Huawei]acl nu	
[Huawei]acl number 2000
[Huawei-acl-basic-2000]rul	
[Huawei-acl-basic-2000]rule pe	
[Huawei-acl-basic-2000]rule permit sou	
[Huawei-acl-basic-2000]rule permit source 192.168.1.10 0
[Huawei-acl-basic-2000]ru	
[Huawei-acl-basic-2000]rule de	
[Huawei-acl-basic-2000]rule deny sou	
[Huawei-acl-basic-2000]rule deny source any

 将ACL2000配置到g0/0/2

[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]tru	
[Huawei-GigabitEthernet0/0/2]traff	
[Huawei-GigabitEthernet0/0/2]traffic-filter out	
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 2000

  现在pc1只能和pc5相ping

 任务二

设置高级acl ,拒绝网段192.168.1.0访问IP地址192.168.3.30

[Huawei]acl u	
[Huawei]acl nu	
[Huawei]acl number 3000
[Huawei-acl-adv-3000]rul	
[Huawei-acl-adv-3000]rule de	
[Huawei-acl-adv-3000]rule deny icmp so	
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 desk	
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 dest	
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192
.168.3.30 0

 将acl 3000配置到g0/0/0

Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]trff	
[Huawei-GigabitEthernet0/0/0]traff	
[Huawei-GigabitEthernet0/0/0]traffic-filter in	
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

网段192.168.1.0无法访问IP地址192.168.3.30

 任务三

创建高级3001,允许tcp协议的源地址访问

[Huawei]acl nu	
[Huawei]acl number 3001
[Huawei-acl-adv-3001]ru	
[Huawei-acl-adv-3001]rule p	
[Huawei-acl-adv-3001]rule permit tcp s	
[Huawei-acl-adv-3001]rule permit tcp source 192.168.1.30 0 dest	
[Huawei-acl-adv-3001]rule permit tcp source 192.168.1.30 0 destination 192.168.3
.30 0 dest	
[Huawei-acl-adv-3001]rule permit tcp source 192.168.1.30 0 destination 192.168.3
.30 0 destination-port eq www

将acl3001配置到g0/0/1

[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traff	
[Huawei-GigabitEthernet0/0/1]traffic-filter out	
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3001

云开朗
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ACL(访问控制列表)
m0_59331971的博客
01-16 1100
ACLACL的基本概念ACL规则ACL规则匹配ACL的分类ACL配置命令 ACL的基本概念 ACL(Access Control List)访问控制列表:是由一系列规则组成的集合 ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理 一个ACL通常由若干条“deny|permit”语句组成,每条语句就是该ACL的一条规则,每条语句中的“deny|permit”就是与这条规则相对应的处理动作 特别需要说明的是,ACL技术总是与其他技术结合在一起使用的,因此,所结合的技术不同,“允许
12 ACL原理配置.pptx
最新发布
01-25
12 ACL原理配置
ACL原理配置
zhangchang3的博客
02-10 2283
ACL原理配置
ACL入门指南:如何使用它轻松保护网络安全
weixin_43263566的博客
12-07 5070
ACL包过滤技术
ACL原理配置
zcien的博客
11-15 1933
ALC的原理配置,附实验
ACL原理以及配置
zy748539的博客
05-23 2万+
一.什么是ACL?   访问控制列表(Access Control list,ACL)是应用在路由器接口的指令列表(即规则)。它读取的是TCP/IP五层模型的第三层、第四层的报文头信息,根据预先定义好的规则对报文进行过滤。 IP数据报报头结构 TCP报头结构   ACL根据IP报头中的源地址、协议号、目标地址和TCP报头中的源端口、目标端口这5个元素来定义规则ACL的作用   ACL的作用是用于控制设备之间的数据包的互通。 二.ACL的类型 基本ACL   编号范围2000-2999   参数:
ACL原理配置实例
11-05
ACL原理配置实例
ACL原理配置ACL原理
10-17
ACL原理配置ACL原理)中兴售后工程师认证培训资料
华为ACL(V4.0)专题原理配置指导
09-16
系统介绍了ACL的基本概念,及其在华为产品上的实现原理配置指导。
ACL里面匹配网段的规则原来是这样,终于理解了
NeverGUM的博客
10-14 1万+
一直对ACL和OSPF里面匹配网段的掩码有点模糊,OSPF使用反掩码,ACL则使用通配符掩码,看样子一样,其实略有点区别。 先来看看度娘对通配符掩码的定义。 通配符掩码(wildcard-mask) 通配符掩码(wildcard-mask)路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围,它与子网掩码不同。它不像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。这个地址掩码可以只使用两个32位的号码来确定IP地址的范围。这是
ACL基础知识
weixin_33928137的博客
02-26 447
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强...
acl规则配置
m0_66431375的博客
03-30 2313
技术背景:需要一个工具实现流量过滤 使用eNSP搭建一个实验环境拓扑图如下 需求如下: 需求1:先使PC1/PC2,Server1/Server2能互相通信 需求2:使PC1不能访问Server1/Server2,但能访问PC2 需求3:使PC2可以访问Server2,不能访问Server1 配置思路是首先需要让设备之间能互相通信配置PC1/PC2,Server1/Server2,IP/掩码/网关。配置路由器接口地址,配置静态路由。 <AR2>system-view [AR2]in
ACL访问控制列表(详细配置教程)
亦在春风的博客
07-14 2万+
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。 这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。1~99 和 1300~1999:标准IP ACL。(基于源P地址过滤) 100~199 和 2000~2699:扩展IP ACL。 (基于源、目的IP地址;源、目的TCP/UDP端口;协议类型) AppleTalk: 600~699 IPX:800~899基于每种协议设置一个ACL(per p
ACL配置
云计算运维工程师的成长之路
07-19 7060
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换技术,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。......
网络安全篇 全局ACL与URPF-12
佐德将军的博客
01-15 1360
目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 实验难度 3 实验复杂度 3 一、实验原理 我们平时配置过滤数据流量的ACL都是应用在接口上的,但是有这样的一个问题,若有多个接口都有相同的需求会如何呢?我们会把相关的ACL一一应用到相应的接口上,这样可以精确的过滤我们定义的数据流量,但是这样一来就势必造成设备资源占用的情况,相对一些高端设备来说,这些资源的占用无够轻重,但是相对一些负载较小的中低端设备来说,这些资源都是十分可贵的。我们可以使用..
华为交换机ACL配置规则及实例
热门推荐
ChaseAug的博客
11-12 3万+
ACL(访问控制列表)的应用原则: 标准ACL,尽量用在靠近目的点 扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源) 方向:在应用时,一定要注意方向 ACL分类 基本ACL #范围为2000~2999 可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则 高级ACL #范围为3000~3999 既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则 二层ACL #
了解ACL及其配置方法
wanghaoyang0324的博客
08-27 8739
目录一.ACL概念二.ACL作用三.访问控制列表的调用方向3.1、入接口3.2、出接口四.入接口调用与出接口调用的区别五.访问控制列表的处理原则六.访问控制列表类型6.1、标准访问控制列表6.2、扩展访问控制列表七.ACL配置7.1、项目测试拓扑图7.2、Client客户机设置7.3、二层交换机设置7.4、路由器设置7.5、服务器设置7.6、测试ACL配置 一.ACL概念 ACL——访问控制列表 ACL:访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许
路由器ACL(访问控制列表)的类型及配置
看清所以看轻
05-23 5279
ACL是应用在路由器接口的指令列表,通过这些指令,来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝,基本原理就是:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。 ACL有三种类型: 标准ACL:根据数据包的源IP地址来允许或拒绝数据包,标准ACL的访问列表控制号是...
华为交换机路由器acl原理+最常用操作配置手册
09-06
华为交换机和路由器中采用的ACL(访问控制列表)是一种用于筛选网络流量的功能。它通过在设备上设置规则来限制数据包的流动,以保护网络安全。 ACL原理主要包括三个方面:匹配条件、规则动作和规则优先级。匹配条件用于指定要过滤或允许通过的数据包,包括源IP地址、目的IP地址、传输层协议(如TCP或UDP)等。规则动作用于定义匹配条件满足时要采取的操作,如允许通过或丢弃数据包。规则优先级用于确定应用规则的顺序,以便正确处理数据包。 最常用的操作配置手册通常包括以下内容: 1. 创建ACL:通过命令行界面或网络管理界面,用户可以创建ACL实例。ACL实例是一组规则的容器,用于实现ACL功能。 2. 添加规则:通过命令行界面或网络管理界面,用户可以为ACL实例添加规则。每个规则由匹配条件和规则动作组成。 3. 配置规则优先级:用户可以为每个规则指定优先级,以确保正确的规则顺序。 4. 应用ACL配置ACL实例应用于特定的接口或协议。 5. 修改ACL:用户可以随时修改ACL规则,添加或删除规则,以满足网络需求的变化。 6. 验证ACL配置:用户可以使用命令行界面的show命令来验证ACL配置是否成功,以及ACL是否按预期工作。 通过以上操作配置手册,用户可以根据自己的网络需求创建和配置ACL,实现对网络流量的控制和保护。华为交换机和路由器的ACL功能可以保护网络安全,限制非授权访问和防止网络攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值