HCIA-R&S自用笔记(24)ACL

最新推荐文章于 2024-04-10 22:54:35 发布
最新推荐文章于 2024-04-10 22:54:35 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: HCIA-RS 数通 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51770049/article/details/126009835
版权
数通 同时被 2 个专栏收录
47 篇文章 32 订阅
订阅专栏
HCIA-RS
27 篇文章 1 订阅
订阅专栏

ACL(7/27,66min)

ACL(Access Control List)访问控制列表(是一种技术而非一种协议)

(ACL/包过滤防火墙就是第一代防火墙技术)

ACL可以通过定义规则来允许或拒绝流量的通过。

ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作(如VPN)。 

ACL工作原理:

ACL由一条或多条规则组成;

每条规则必须选择动作:允许或拒绝

每条规则都必须有一个ID序列号(默认=5,间隔=5,也可以自定义,如rule 3,rule 4,越小越优先)

只要有一条规则和报文匹配,就停止查找,称为命中规则

查找完所有规,若没有符合条件的规则,称为未命中规则

ACL创建后,必须将其应用到某个接口或其他技术内才会生效;

应用在接口时必须选择方向:入站或出站(即inbound与outbound,相对设备判断)

不能过滤由设备自身产生的数据

acl number 3000

        rule 0 deny tcp destiantion-port eq 445

        rule 1 deny udp destination-port eq 445

使用ACL禁止445端口(防止勒索病毒)

指定规则时一定先细后粗

ACL类型:

分为数字型ACL和命名型ACL

分类编号范围参数
基本ACL2000-2999源IP地址(NAT、路由策略)
高级ACL3000-3999源、目IP地址与源、目端口
二层ACL4000-4999源、目MAC地址、以太帧协议类型等

命名ACL默认为高级ACL(编号默认从3999递减),也可以跟数字

[Huawei]acl name defend 3000
[Huawei-acl-adv-defend]rule 1 permit ?
  <1-255>  Protocol number
  gre      GRE tunneling(47)
  icmp     Internet Control Message Protocol(1)
  igmp     Internet Group Management Protocol(2)
  ip       Any IP protocol
  ipinip   IP in IP tunneling(4)
  ospf     OSPF routing protocol(89)
  tcp      Transmission Control Protocol (6)
  udp      User Datagram Protocol (17)

正掩码、反掩码、通配符区别:

rule deny so 1.1.1.1 2 1.23.44.5

名称规则作用举例备注
掩码连续的1和0IP地址255.255.255.01对应网络位,0对应主机位
反掩码连续的0和1路由协议0.0.0.2550必须匹配,1无需匹配
通配符任意的0和1ACL0.0.255.00必须匹配,1无需匹配

通配符掩码中,0代表需要检查的位,1代表无需检查的位。

举例备注
192.168.0.1 0.0.0.0/0匹配一个主机地址
192.168.0.0 0.0.0.255匹配一个网段
192.168.0.1 0.0.0.254匹配网段内奇数地址
192.168.0.0 0.0.0.254匹配网段内偶数地址
any = x.x.x.x 255.255.255.255匹配所有地址

举例计算:

192.168.16.0 通配符为0.0.15.255,如何计算其地址范围?

通配符0.0.15.255的二进制

00000000.00000000.00001111.11111111

192.168.16.0的二进制

11000000.10101000.00010000.00000000

标红色的部分说明要严格匹配,那么黑色部分就可1可0,即可以极端为

11000000.10101000.00011111.11111111,换算成点分十进制为

192.168.31.255,则该通配符所表示的地址范围为

192.168.16.0-192.168.31.255

ACL配置:

命令备注
acl 2000创建一个基本ACL

rule 5 deny/permit source 192.168.1.0

0.0.0.255

配置ACL的规则为:

拒绝或允许源地址为

192.168.1.0/24的流量

acl 3000创建一个高级ACL

rule 5 deny/permit tcp source 192.168.1.0

0.0.0.255 destination 8.8.8.8 0

destination-port eq 80

配置ACL的规则为:

拒绝或允许源地址为192.168.1.0/24到

8.8.8.8的HTTP流量

traffic-filter inbound/outbound acl 2000在接口调用ACL过滤流量
display acl 2000验证ACL
display traffic-filter applied-record

查看设备上所有ACL的调用情况

(不同设备对该命令支持度不一)

ACL接口调用方向的建议:

考虑性能资源、链路带宽的消耗

筐瓢大师小吕
关注
专栏目录
你可能不知道的网工技术—ACL访问控制技术 ,看这篇文章就够了
zhongyuanjy的博客
09-20 916
访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策略部署中被调用、在路由策略中被调用和用来通过流量过滤。规则编号:每条规则都有一个相应的编号,用来标识ACL规则,可以由用户指定;
ACL-VLANIF的Inbound和Outbound区别
Welcome To OpenClouds World !!!
10-16 4896
ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策略部署中被调用、在路由策略中被调用和用来通过流量过滤。2、ACL分类(1)基本ACLACL编号2000-2999,只能用报文的源IP地址、分片时间和生效时间段来定义规则;(2)高级ACLACL编号3000-3999,可以使用报文的源IP地址、目的IP地址、协议类型、源端口号、目的端口号、生效时间来定义规则;
vlan中ACL inbound与outbound详解
热门推荐
七夕小子的博客
07-22 2万+
关键字:华为ACL配置、Cisco ACL配置、Vlan ACL配置 ACL一般有两种应用场景:应用到交换机物理端口和应用到Vlan。 场景一:应用到交换机物理端口上的ACL 网络拓扑:PC连接在交换机Gig0/0/1端口 实现目的:在PC上不能访问某IP的80和443端口 解析: 站在PC侧(站在哪里看很重要)看交换机,PC的数据包是要进入交换机端口,那么ACL就应用到交换机物理...
交换机调用ACL时候的inbound和outbound该怎么用?
NeverGUM的博客
04-09 2万+
我们知道,简单的ACL(访问控制列表)配置以后,通常在物理接口或者vlanif虚接口下调用,但是我们时常不明白,到底什么时候该用inbound,什么时候该用outbound,下面是我自己简单的理解。 一:物理接口下调用 [CORE1]acl 3001 [CORE1-acl-adv-3001]rule deny ip source 192.168.10.253 0 destinati...
vlan中ACL inbound与outbound详解_七夕小子_新浪博客
七夕小子的博客
07-22 1084
关键字:华为ACL配置、Cisco ACL配置、Vlan ACL配置 1. 应用到交换机物理端口上的ACL 拓扑:PC连接在交换机Gig0/0/1端口 实现:在PC上不能访问IP的80和443端口 理解: 站在PC侧(站在哪里很重要),看交换机,PC的数据包是要进入交换机端口,就应用到Gig/0/1的inbound方向上。​ PC访问百...
华为/思科ACL
一个懒鬼的博客
08-04 3380
ACL 访问控制列表 (Access Contril List,ACL)是应用在路由器接口的指令列表 标准的ACL,基于源IP地址的过滤 思科:1-99 华为:2000-2999 扩展的访问控制列表 基于源IP,目标端口号,协议号,标准进行过滤 思科:100-199 华为:3000-3999 标准ACL配置: acl number 2000 rule 5 deny source 192.168.1.1 0 ...
HCIA-R&S V2.5 路由交换网络工程师教材.zip
04-01
HCIA-R&S V2.5 路由交换网络工程师教材》是华为认证体系中的初级网络工程师课程,主要针对路由与交换技术进行深入讲解。该教材覆盖了网络基础、TCP/IP协议、局域网技术、广域网技术、路由原理、交换机工作原理以及...
HCIA-R&S(211-中文题库,2019 最新题库).pdf
04-17
HCIA-R&S(211-中文题库,2019 最新题库)1、下面哪条命令是把PPP的认证方式设置为PAP? A. ppp pap B. ppp chap C. ppp authentication-mode pap D. ppp authentication-mode chap
HCIA-Routing & Switching V2.5培训材料&实验指导书.zip
07-13
华为HCIA认证,全套学习与指导资料。 内含: 01-HCIA-Routing & Switching V2.5培训材料 包括: 1.... 2.... 3.IP编址 4.ICMP协议 ... 6.... 7.... 9.... 10.... 12.... 2、HCIA-R&S进阶 华为网络技术与设备 实验指导书
HCIA-Routing_&_Switching_V2.5_培训材料.rar
12-19
HCIA-Routing_&_Switching_V2.5_培训材料》是一份全面介绍华为认证网络工程师初级课程——HCIA(Huawei Certified ICT Associate)路由与交换技术的资源集合。这个压缩包包含了丰富的学习资料,旨在帮助初学者系统...
HCIA-Routing & Switching V2.5入门培训教材.PDF
最新发布
09-30
HCIA-Routing & Switching V2.5入门培训教材.PDF
ACL的了解和配置
xyjynl的博客
12-11 4518
1.ACL的作用和工作原理 2.ACL的种类和应用规则 3.ACL的配置 4.总结 1.ACL的作用和工作原理 ACL俩种作用 1.用来对数据包做盲文控制(丢弃或者放行) 2.结合其他协议,用来匹配范围 ACL工作原理:当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。 ACL种类: 基本ACL(2000-2999):只能匹配源ip地址 高级ACL(3000-3999):可以匹配源IP、目的IP、源端口、目标端口等三层和四.
华三h3c系列交换机ACL实践
henu_lxz的博客
04-22 1万+
学习目标: 认识华三h3c的两种ACL:basic acl 、advancedacl如何使用acl中的source ip或destination ip在接口下或interface vlan调用时inbound/outbound。 学习内容: 本次实验的拓扑如下: 1、如上图所示在交换机SW1上配置basic acl控制R1或客户server 3访问内网ssh服务的接口地址或loop back地址。以便验证华三系列交换机如何配置basic acl并调用在接口下。 2、如上图所示在交换机SW1上配..
ACL-in-out的区别
seaship的博客
01-10 6832
1.access-list 与ip access-list的区别 access-list 是用数字来定义----acl(标准或扩展ACL,用数字定义)  ip access-list 是用名字来定义acl(命名ACL 命名前面要加 standard or extended 2.应用在端口上的访问控制列表 1、如果在路由器R1上配置标准的访问控制列表,阻止PC1访问PC3,如配置的ACL为acce...
ACL管理与配置(ACL匹配机制、ACL应用匹配位置、基本配置)】(下)-20211214
AZK707的博客
01-29 2489
一、基本ACL&高级ACL 1.基本ACL 只能根据源ip进行匹配 配置rule时不写编号,会自动补上,从rule 5开始,步长为5 2.高级ACL 可以根据协议、源ip、目的ip、端口号进行匹配 二、ACL的匹配机制 如果ACL匹配接口为不匹配,查看路由表,是否能转发改路由。 acl用来匹配流量默认规则是允许,用来匹配路由默认是拒绝 三、ACL匹配位置 1.在入方向的接口或者出方向的接口上配置 1) inbound的优势:先看ACL,再查路由。...
入站规则和出站规则_关于防火墙入站(inbound)出站(outbound)方式的解释
weixin_39968592的博客
12-06 6164
防火墙是一个重要的安全模块,它能够限制网络的访问。现在有一个要求那就是要让主机A能够访问主机B,主机B不能访问主机A,那么防火墙能够做到么?答案是可以的,当主机A的防火墙入站规则限制了主机B,那么主机B想访问主机A的时候,发出的网络包确实会被A的防火墙拦截,那么网络包无法到达A,自然B无法访问A。但是在A访问B的时候,有不少同学有这样的疑惑:此时防火墙不会拦截A发送B网络包,但是在B收到A发来的包...
traffic policy 的做法---我的实验
netlive的专栏
06-10 2609
Traffic policy 策略,三层路由过滤 需要做1 classifier, 2 behavior 3 classifier和behavior绑定 1 #先做ACL Acl 3005 Rule 5 deny ip source 192.168.120.0 0.0.0.255 destination 192.168.125.0 0.0.0.255 2#做classifier Traffic classifier 10 If-match 10 3#做behavior Tra...
3万字总结!华三H3CNE知识点大集合
dawn8u的博客
04-10 2445
网络技术联盟站 作者相关精选 3万字总结!华三H3CNE知识点大集合,网络工程师收藏 关注作者 腾讯云开发者社区 2核2G云服务器82元/年 立即购买 > 文档建议反馈控制台 首页 学习 活动 专区 工具 TVP 最新优惠活动 文章/答案/技术大牛搜索 发布 登录/注册 社区首页>专栏>3万字总结!华三H3CNE知识点大集合,网络工程师收藏 3万字总结!华三H3CNE知识点大集合,网络工程师收藏 发布于2023-03-01 20:15:48
IPv4 ACL访问列表简介、ACL的3种主要分类介绍与配置、以大白话介绍ACL通配符、ACL动作、定义方向、Rule序号。
Hades_Ling的CSDN博客
12-19 2751
ACL访问控制列表(Access Control List)ACL可以对网络中报文流的精确匹配,通过与其它技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而保障网络环境的性能和网络服务质量的可靠性。ACL应用在功能/策略上时是不需要定义方向的,但应用在接口上时才需要定义方向。ACL的方向有inbound 入方向和outbound 出方向。如何判定入方向和出方向?基于数据流的走向定义应用的方向与ACL的匹配有何关联?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值