基本ACL

已于 2025-05-12 21:57:13 修改
阅读量399 收藏 4
点赞数 12
文章标签: 智能路由器 网络 运维 网络协议
于 2025-05-12 21:55:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li050826/article/details/147903299
版权

1.ACL是由一条或者多条组成的集合;规则则是描述报文匹配条件的判断语句;条件可以是端口号、目的地址;端口号;ACL本质上是一种保文过滤器

2.ACL组成:由若干条permit(允许)和deny(拒绝)组成;

3.通配符掩码:匹配规则:0表示严格匹配,1表示任意;

与反掩码的关系:通配符掩码本质上是子网掩码的按位取反,但用途不同

4.ACL分类:基本ACL、高级ACL

       基本ACL:是通过匹配报文中的源 IP 地址、分片标志、时间范围等信息来对流量进行过滤的规则集合。编号范围一般为 2000 – 2999,

       高级ACL:高级访问控制列表,能基于源 IP 地址、目的 IP 地址、IP 协议类型(如 TCP、UDP、ICMP 等)、源端口、目的端口、IP 优先级、服务类型(ToS)、差分服务代码点(DSCP)优先级等多层信息进行报文匹配和过滤 。编号范围一般为:3000 – 3999

对于这一篇文章的话就是讲解基本ACL和高级ACL

工具的话还是ENSP

下面是实验环境

然后进入PC和路由器进行配置

SW1:

<Huawei>system-view                                     //进入系统视图
[Huawei]un in en                                        //关闭信息中心
[Huawei]sysname SW1                                     //将设备名称设置为 Sw1 
[SW1]vlan batch 10 20                                   //创建vlan10 20
[SW1]int g0/0/1                                         //进入接口g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access         //将接口类型设置为access
[SW1-GigabitEthernet0/0/1]port default vlan 10          //将此接入模式接口划分到 VLAN 10
[SW1-GigabitEthernet0/0/1]int g0/0/2                    //进入接口g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access         //将接口类型设置为access
[SW1-GigabitEthernet0/0/2]port default vlan 20          //将此接入模式接口划分到 VLAN 20
[SW1-GigabitEthernet0/0/2]int e0/0/1                    //进入接口e0/0/2
[SW1-Ethernet0/0/1]port link-type trunk                 //将接口链路类型设置为trunk模式
[SW1-Ethernet0/0/1]port trunk allow-pass vlan 10 20     //接口允许VLAN10和VLAN20的数据通过
[SW1-Ethernet0/0/1]quit                                 //退出
[SW1]display vlan                                       //查看当前交换机上的 VLAN 配置情况
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
MP: Vlan-mapping;               ST: Vlan-stacking;
#: ProtocolTransparent-vlan;    *: Management-vlan;
--------------------------------------------------------------------------------

VID  Type    Ports                                                          
--------------------------------------------------------------------------------
1    common  UT:Eth0/0/1(U)     Eth0/0/2(D)     Eth0/0/3(D)     Eth0/0/4(D)     
                Eth0/0/5(D)     Eth0/0/6(D)     Eth0/0/7(D)     Eth0/0/8(D)     
                Eth0/0/9(D)     Eth0/0/10(D)    Eth0/0/11(D)    Eth0/0/12(D)    
                Eth0/0/13(D)    Eth0/0/14(D)    Eth0/0/15(D)    Eth0/0/16(D)    
                Eth0/0/17(D)    Eth0/0/18(D)    Eth0/0/19(D)    Eth0/0/20(D)    
                Eth0/0/21(D)    Eth0/0/22(D)                                    

10   common  UT:GE0/0/1(U)                                                      
             TG:Eth0/0/1(U)                                                     

20   common  UT:GE0/0/2(U)                                                      

             TG:Eth0/0/1(U)                                                     


VID  Status  Property      MAC-LRN Statistics Description      
--------------------------------------------------------------------------------

1    enable  default       enable  disable    VLAN 0001                         
10   enable  default       enable  disable    VLAN 0010                         
20   enable  default       enable  disable    VLAN 0020                         
[SW1]

这里创建vlan的目的是为 ACL 规则制定提供了清晰的对象依据。可以基于 VLAN ID 来编写 ACL 规则。还有就是由于我们PC连接的是交换机所以需要使用VLAN来配置接口IP,主要这种在生活中可能比较常见。

然后开始配置R1

R1

<Huawei>system-view                                           //进入系统视图
[Huawei]un in en                                              //关闭信息中心
[Huawei]sysname R1                                            //将设备名称设置为R1
[R1]int g0/0/0                                                //进入g0/0/0进行配置
[R1-GigabitEthernet0/0/0]ip add 192.168.3.2 24                //在该接口配置IP地址
[R1-GigabitEthernet0/0/0]int g0/0/1.10                        //进入子接口配置模式
[R1-GigabitEthernet0/0/1.10]dot1q termination vid 10          //配置802.1Q终结,指定处理VLAN
                                                                ID为10的流量
[R1-GigabitEthernet0/0/1.10]ip add 192.168.1.254 24           //配置接口IP
[R1-GigabitEthernet0/0/1.10]arp broadcast enable              //在该子接口启用ARP广播功能
[R1-GigabitEthernet0/0/0.10]int g0/0/1.20
[R2-GigabitEthernet0/0/1.20]dot1q termination vid 20
[R2-GigabitEthernet0/0/1.20]ip add 192.168.2.254 24
[R2-GigabitEthernet0/0/1.20]arp broadcast enable
[R2-GigabitEthernet0/0/1.20]quit

配置到这里其实准备工作已经准备完成了可以试着使用PC进行ping命令ping 192.168.3.1

到这里只要配置的都是正确的那么是可以ping通的

PC2也一样

然后下面就开始进行ACL配置,我们需要知道ACL本质上就是一组规则的集合所以有permit(允许)和deny(拒绝)

那么看一下他的命令怎么使用

rule [动作] source [源IP地址] [通配符掩码] [time-range 时间段名称]

 这里的动作就是permit和deny

通配符上面有介绍

[time-range 时间段名称]:是用于指定 ACL 规则生效时间段的配置项 ,作用是让 ACL 规则在特定时间范围内起作用 ,不在该时间段内时,规则不生效 。

ok开始进行案例

[R1]acl 2000                    //创建编号为2000的acl

//这里创建2000是因为基本ACL编号范围一般为 2000 – 2999

[R1-acl-basic-2000]rule 10 deny source 192.168.2.0 0.0.0.255        //创建规则

//rule 是用于添加规则的关键字
//10是规则编号。ACL 规则按编号从小到大顺序匹配,编号越小优先级越高 。
//deny 是动作,表示拒绝
//source 表示源 IP 地址相关匹配条件
[R1-acl-basic-2000]quit
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000        //在g0/0/口的入方向配置流量过 
                                                                  滤,当匹配到acl2000流量则执
                                                                  行相应的过滤掉动作

好了,这里看懂之后就应该知道配置完之后PC2就ping不通192.168.3.1了就是因为被拒绝了

我们看一下规则

[R1-acl-basic-2000]display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
 rule 10 deny source 192.168.2.0 0.0.0.255 (6 matches)

[R1-acl-basic-2000]

可以看到规则10是拒绝的然后我们前面说了规则越靠前就越优先那么我们可以测一下

[R1-acl-basic-2000]display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5
 rule 5 permit source 192.168.2.0 0.0.0.255         //允许
 rule 10 deny source 192.168.2.0 0.0.0.255          //拒绝

可以看到规则编号越小越优先

当然想取消规则则使用

[R1-acl-basic-2000]un rule 5
[R1-acl-basic-2000]display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
 rule 10 deny source 192.168.2.0 0.0.0.255

然后PC2就ping不通了

好啦基本ACL到这就结束了,下一篇说高级ACL。

基本ACL基本ACL限制Telnet登录
wertyh123456的博客
06-24 746
R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 //在G0/0/1接口时,匹配到acl2000,执行相应过滤动作。[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20 //配置两个VLAN。[Huawei-GigabitEthernet0/0/1]port link-type access //access模式。<Huawei>sys //视图。
基本ACL配置
smxsnq的博客
04-16 540
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
ACL原理基本ACL
2301_79514721的博客
10-13 751
permit/deny 只是做为标记使用,具体是允许通过还是禁止通过是由其他技术决定的---------只标记没作用,---P允许---D拒绝。[AR1-acl-basic-2000]step <1-20> 设置步长,默认为5 修改步长长度好匹配ACL节点号的同步性,赏心悦目。INTEGER<3000-3999> 高级ACL,可以匹配 SIP、时间戳、分片、第一个报文、DIP、协议号、端口号 等。0--匹配192----匹配168----匹配1 255表示任意匹配,即192.168.1。
基本ACL的配置
2501_90795685的博客
04-16 304
核心功能‌通过预定义的规则列表,决定哪些主体(用户、IP地址、角色等)可以访问特定资源(文件、网络端口、目录等)。‌典型场景‌用于网络安全(防火墙、路由器)、操作系统(文件权限管理)、数据库(数据访问控制)等场景。基本ACL的类型标准ACL(Standard ACL)‌‌控制依据‌:仅基于‌源IP地址‌过滤流量(如允许/拒绝某个IP段访问网络资源)。‌应用示例‌:路由器上限制特定IP访问内部服务器。‌扩展ACL(Extended ACL)‌‌控制依据‌:基于‌。
基本ACL和高级ACL
2401_83878928的博客
06-23 962
基本ACL(Access Control List)是一种基于报文源IP地址进行规则制定的访问控制列表,其编号范围为2000~2999。基本ACL的规则主要依据报文的源IP地址等信息进行制定,通过编号和规则来过滤网络流量,提升网络安全性和管理效率。这种ACL适用于需要对特定源IP地址进行控制的场景,例如阻止特定IP地址访问网络或者允许特定IP地址通过。
华为eNSP实验:基本ACL
fanshizhiren的博客
06-18 2982
基本ACL作为网络访问控制的重要工具,不仅可以帮助网络管理员有效地管理网络访问权限,还能提升网络的安全性和效率。通过合理配置和应用基本ACL,可以精确控制网络流量,保护网络安全。同时,了解并掌握基本ACL的配置方法和使用场景,对于每一位网络管理员来说都是必备的技能。
基本ACL,高级ACL
q1y2y3的博客
03-21 1538
ACL:访问控制列表※是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;※ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能(此功能侧面可以说明ACL可以提高网络的安全性),针对AC所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调令ACL来进行报文过滤),ACL只是一个匹配用的工具;※ACL除了能够对报文进行匹配,还能够用于匹配路由;
使用基本ACL限制公司网络访问.rar
02-17
2、学习目标:配置交换机基础环境,配置路由器基础环境,配置基本ACL访问控制 3、应用场景:使用基本ACL限制公司网络访问 4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出了实验的...
实验:使用基本ACL限制公司网络访问.docx
11-09
本实验"使用基本ACL限制公司网络访问"旨在让学生深入理解并掌握如何通过访问控制列表(ACL)来实现这一目标。实验主要涉及了eNSP(Enterprise Network Simulation Platform,企业网络模拟平台)、ACL、VLAN以及三层...
9.4-基本ACL和高级ACL(下)
04-20
在本节教程“9.4-基本ACL和高级ACL(下)”中,我们将深入探讨网络访问控制列表(Access Control Lists, ACLs)的应用,尤其是Cisco IOS设备上的配置。ACLs是网络安全策略的重要组成部分,用于控制网络流量,允许或...
访问控制列表实训,基本ACL、扩展ACL
08-17
在本文中,我们将深入探讨访问控制列表(Access Control List, ACL)的概念,以及如何在华为Ensp平台上实现基本ACL和扩展ACL的配置。访问控制列表是网络管理员用于管理网络流量和安全策略的重要工具,它们允许或拒绝...
华三路由器单臂路由配置
兔子的博客
05-13 743
默认网关是 PC 发送跨 VLAN 流量时的目标地址,通过配置默认网关,PC 可以将跨 VLAN 的流量发送到路由器的子接口,从而实现不同 VLAN 之间的通信。此命令通常用于将交换机的接入端口配置为属于某个特定的 VLAN,使得连接到该端口的设备只能在对应的 VLAN 内通信,实现广播域的隔离和网络流量的划分。解析:在路由器的物理接口上创建子接口。通过上述配置和验证步骤,可以成功实现华三路由器的单臂路由功能,确保不同 VLAN 之间的流量能够通过路由器进行转发,同时保持 VLAN 之间的隔离。
计算机网络 4-2-1 网络层(IPv4)
噗噗bug博客
05-10 1213
IP协议(Internet Protocol, 网际协议)是互联网的核心!ARP协议用于查询同一网络中的<主机IP地址,MAC地址>之间的映射关系ICMP协议用于网络层实体之间相互通知“异常事件”IGMP协议用于实现IP组播。
计算机网络:什么是Mesh组网以及都有哪些设备支持Mesh组网?
shunzi2016的博客
05-10 970
Mesh组网技术通过多个节点路由器协同工作,形成覆盖全屋的无线网络,解决了传统单一路由器覆盖不足的问题,特别适合大户型或多层住宅。其核心优势包括无缝漫游、动态切换、灵活组网方式和自愈能力。实现Mesh组网的方式主要有有线回程、无线回程和混合组网,各有优缺点,用户可根据具体需求选择。推荐设备包括高性价比的京东云无线宝AX3000、中高端的华硕RT-BE88U以及三频旗舰款领势MX8400。实施Mesh组网时需注意网络规划、节点布局和兼容性问题,同时建议新装修用户预埋网线以确保稳定性。Mesh组网技术通过灵活部
创建三个网络,分别使用RIP、OSPF、静态,并每个网络10个电脑。使用DHCP分配IP
2301_81256766的博客
05-12 416
创建三个网络,分别使用RIP、OSPF、静态,并每个网络10个电脑。使用DHCP分配IP 在路由器中配置DHCP服务,可以自动分配IP地址,实现集中管理,提高网络效率。通过创建DHCP地址池、配置网络地址、子网掩码、默认网关和DNS服务器,确保设备能够自动获取IP地址。对于跨网络连接,需配置DHCP中继模式,指向远程DHCP服务器。此外,通过RIP、OSPF和静态路由协议,分别管理三个不同的网络,每个网络包含10台设备,并使用DHCP分配IP地址。最后,在路由器3中实现路由重分发,确保不同协议之间的路由信息
华为ensp实现跨vlan通信
小诸葛的博客
05-12 623
要在网络拓扑中实现主机192.168.1.1、192.168.1.2和192.168.2.1之间的互相通信,需要正确配置交换机(S5700)和路由器(AR3260),以确保不同网段之间的通信(即VLAN间路由)。
计算机网络:WiFi路由器发射的电磁波在空气中的状态是什么样的?
shunzi2016的博客
05-10 871
WiFi路由器发射的电磁波属于高频无线电波,频率为2.4GHz或5GHz,波长分别为12.5厘米和6厘米。2.4GHz频段穿透力强但易受干扰,5GHz频段带宽高但衰减快。电磁波在空气中以光速传播,受多径效应、衰减和吸收等因素影响。路由器天线通常采用垂直极化,全向天线在水平面360°覆盖,波束成形技术可提升信号强度。电磁波传播受障碍物材质影响,如混凝土墙和金属门会显著衰减信号。MIMO技术通过多天线提升传输容量,WiFi 6的8×8 MIMO理论速率提升8倍。优化路由器摆放、频段选择和技术方案(如Mesh组网
【HCIA】浮动路由
最新发布
喜爱设计架构,追求项目可控。
05-13 791
网络配置中,当出口路由器连接多个运营商(如电信和联通)时,如何配置默认路由?浮动路由又是怎么一回事呢?
ipv6 基本acl怎么调用
03-25
<think>好的,我需要回答用户关于如何在IPv6中配置和调用基本ACL的问题。首先,我得回顾一下IPv6的基本ACL相关知识。IPv6的ACL(访问控制列表)用于过滤网络流量,基本ACL通常基于源IPv6地址进行匹配。不过,不同厂商的设备配置可能有所不同,比如华为和思科的命令可能有差异,但用户没有指定设备类型,所以应该以通用或主流厂商的配置为例。 接下来,我要确保配置步骤正确。基本ACL的配置通常包括创建ACL、定义规则、应用ACL到接口或服务。在IPv6中,ACL的编号范围可能和IPv4不同,比如华为设备中IPv6基本ACL编号是2000-2999。需要指出这一点,避免混淆。 然后,调用ACL的方法涉及将其应用到接口的入方向或出方向,或者用于其他服务如路由策略。这部分需要详细说明应用命令,并举例说明,比如应用到接口的入站过滤。 另外,注意事项也很重要,比如ACL的隐含拒绝规则,规则ID的步长,以及IPv6地址的缩写格式是否正确。需要提醒用户如果没有允许规则,默认会拒绝所有流量。 同时,用户提供的引用内容中有提到SELinux配置和Docker相关的内容,但这些似乎与IPv6 ACL无关,可能用户误贴了引用,或者有其他需求。不过根据问题,还是专注于IPv6 ACL的配置,引用部分可能不需要处理。 最后,按照用户要求生成相关问题,需要围绕IPv6 ACL的高级配置、与IPv4的区别、常见错误等方面提问,确保问题相关且有价值。 总结步骤: 1. 创建IPv6基本ACL,指定编号。 2. 配置规则,允许或拒绝特定源地址。 3. 应用ACL到目标接口或服务。 4. 注意事项包括默认拒绝、规则顺序、地址格式等。 5. 生成相关问题,帮助用户深入理解。</think>### IPv6基本ACL配置与调用方法 #### 1. 配置IPv6基本ACL IPv6基本ACL通过源地址过滤流量,配置步骤如下(以华为设备为例): - **创建ACL**:使用编号范围为$2000 \leq N \leq 2999$ ```plaintext acl ipv6 2000 ``` - **添加规则**: ```plaintext rule [id] permit ipv6 source [IPv6地址/前缀长度] # 允许特定地址 rule deny ipv6 source any # 拒绝所有其他流量(隐含规则,可不显式配置) ``` #### 2. 调用ACLACL绑定到接口或服务: - **接口调用**(以入方向为例): ```plaintext interface GigabitEthernet0/0/1 ipv6 traffic-filter 2000 inbound ``` - **服务调用**(如SSH访问控制): ```plaintext ssh acl 2000 ``` #### 3. 配置示例 ```plaintext acl ipv6 2000 rule 5 permit source 2001:db8::1/128 # 允许特定主机 rule 10 deny source any # 显式拒绝其他流量 ``` #### 4. 注意事项 - **隐含拒绝规则**:若未配置`permit`规则,默认拒绝所有流量[^1]。 - **规则优先级**:规则ID越小优先级越高(如ID=5的规则先于ID=10执行)。 - **地址缩写**:IPv6地址需使用压缩格式(如`2001:db8::1`代替完整形式)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值