HCIA-R&S自用笔记(24)ACL

最新推荐文章于 2024-05-23 17:00:18 发布
最新推荐文章于 2024-05-23 17:00:18 发布
阅读量1k 收藏 2
点赞数
分类专栏: HCIA-RS 数通 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51770049/article/details/126009835
版权
数通 同时被 2 个专栏收录
47 篇文章 30 订阅
订阅专栏
HCIA-RS
27 篇文章 1 订阅
订阅专栏

ACL(7/27,66min)

ACL(Access Control List)访问控制列表(是一种技术而非一种协议)

(ACL/包过滤防火墙就是第一代防火墙技术)

ACL可以通过定义规则来允许或拒绝流量的通过。

ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作(如VPN)。 

ACL工作原理:

ACL由一条或多条规则组成;

每条规则必须选择动作:允许或拒绝

每条规则都必须有一个ID序列号(默认=5,间隔=5,也可以自定义,如rule 3,rule 4,越小越优先)

只要有一条规则和报文匹配,就停止查找,称为命中规则

查找完所有规,若没有符合条件的规则,称为未命中规则

ACL创建后,必须将其应用到某个接口或其他技术内才会生效;

应用在接口时必须选择方向:入站或出站(即inbound与outbound,相对设备判断)

不能过滤由设备自身产生的数据

acl number 3000

        rule 0 deny tcp destiantion-port eq 445

        rule 1 deny udp destination-port eq 445

使用ACL禁止445端口(防止勒索病毒)

指定规则时一定先细后粗

ACL类型:

分为数字型ACL和命名型ACL

分类编号范围参数
基本ACL2000-2999源IP地址(NAT、路由策略)
高级ACL3000-3999源、目IP地址与源、目端口
二层ACL4000-4999源、目MAC地址、以太帧协议类型等

命名ACL默认为高级ACL(编号默认从3999递减),也可以跟数字

[Huawei]acl name defend 3000
[Huawei-acl-adv-defend]rule 1 permit ?
  <1-255>  Protocol number
  gre      GRE tunneling(47)
  icmp     Internet Control Message Protocol(1)
  igmp     Internet Group Management Protocol(2)
  ip       Any IP protocol
  ipinip   IP in IP tunneling(4)
  ospf     OSPF routing protocol(89)
  tcp      Transmission Control Protocol (6)
  udp      User Datagram Protocol (17)

正掩码、反掩码、通配符区别:

rule deny so 1.1.1.1 2 1.23.44.5

名称规则作用举例备注
掩码连续的1和0IP地址255.255.255.01对应网络位,0对应主机位
反掩码连续的0和1路由协议0.0.0.2550必须匹配,1无需匹配
通配符任意的0和1ACL0.0.255.00必须匹配,1无需匹配

通配符掩码中,0代表需要检查的位,1代表无需检查的位。

举例备注
192.168.0.1 0.0.0.0/0匹配一个主机地址
192.168.0.0 0.0.0.255匹配一个网段
192.168.0.1 0.0.0.254匹配网段内奇数地址
192.168.0.0 0.0.0.254匹配网段内偶数地址
any = x.x.x.x 255.255.255.255匹配所有地址

举例计算:

192.168.16.0 通配符为0.0.15.255,如何计算其地址范围?

通配符0.0.15.255的二进制

00000000.00000000.00001111.11111111

192.168.16.0的二进制

11000000.10101000.00010000.00000000

标红色的部分说明要严格匹配,那么黑色部分就可1可0,即可以极端为

11000000.10101000.00011111.11111111,换算成点分十进制为

192.168.31.255,则该通配符所表示的地址范围为

192.168.16.0-192.168.31.255

ACL配置:

命令备注
acl 2000创建一个基本ACL

rule 5 deny/permit source 192.168.1.0

0.0.0.255

配置ACL的规则为:

拒绝或允许源地址为

192.168.1.0/24的流量

acl 3000创建一个高级ACL

rule 5 deny/permit tcp source 192.168.1.0

0.0.0.255 destination 8.8.8.8 0

destination-port eq 80

配置ACL的规则为:

拒绝或允许源地址为192.168.1.0/24到

8.8.8.8的HTTP流量

traffic-filter inbound/outbound acl 2000在接口调用ACL过滤流量
display acl 2000验证ACL
display traffic-filter applied-record

查看设备上所有ACL的调用情况

(不同设备对该命令支持度不一)

ACL接口调用方向的建议:

考虑性能资源、链路带宽的消耗

筐瓢大师小吕
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
你可能不知道的网工技术—ACL访问控制技术 ,看这篇文章就够了
zhongyuanjy的博客
09-20 854
访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策略部署中被调用、在路由策略中被调用和用来通过流量过滤。规则编号:每条规则都有一个相应的编号,用来标识ACL规则,可以由用户指定;
HCIA-R&S(211-中文题库,2019 最新题库).pdf
04-17
HCIA-R&S(211-中文题库,2019 最新题库)1、下面哪条命令是把PPP的认证方式设置为PAP? A. ppp pap B. ppp chap C. ppp authentication-mode pap D. ppp authentication-mode chap
vlan中ACL inbound与outbound详解
热门推荐
七夕小子的博客
07-22 2万+
关键字:华为ACL配置、Cisco ACL配置、Vlan ACL配置 ACL一般有两种应用场景:应用到交换机物理端口和应用到Vlan。 场景一:应用到交换机物理端口上的ACL 网络拓扑:PC连接在交换机Gig0/0/1端口 实现目的:在PC上不能访问某IP的80和443端口 解析: 站在PC侧(站在哪里看很重要)看交换机,PC的数据包是要进入交换机端口,那么ACL就应用到交换机物理...
交换机调用ACL时候的inbound和outbound该怎么用?
NeverGUM的博客
04-09 2万+
我们知道,简单的ACL(访问控制列表)配置以后,通常在物理接口或者vlanif虚接口下调用,但是我们时常不明白,到底什么时候该用inbound,什么时候该用outbound,下面是我自己简单的理解。 一:物理接口下调用 [CORE1]acl 3001 [CORE1-acl-adv-3001]rule deny ip source 192.168.10.253 0 destinati...
vlan中ACL inbound与outbound详解_七夕小子_新浪博客
七夕小子的博客
07-22 952
关键字:华为ACL配置、Cisco ACL配置、Vlan ACL配置 1. 应用到交换机物理端口上的ACL 拓扑:PC连接在交换机Gig0/0/1端口 实现:在PC上不能访问IP的80和443端口 理解: 站在PC侧(站在哪里很重要),看交换机,PC的数据包是要进入交换机端口,就应用到Gig/0/1的inbound方向上。​ PC访问百...
华为/思科ACL
一个懒鬼的博客
08-04 2971
ACL 访问控制列表 (Access Contril List,ACL)是应用在路由器接口的指令列表 标准的ACL,基于源IP地址的过滤 思科:1-99 华为:2000-2999 扩展的访问控制列表 基于源IP,目标端口号,协议号,标准进行过滤 思科:100-199 华为:3000-3999 标准ACL配置: acl number 2000 rule 5 deny source 192.168.1.1 0 ...
HCIA-R&S自用笔记(20)VLAN综合实验、GVRP
m0_51770049的博客
07-24 272
拓扑如下,要求完成全网通(不涉及NAT知识)关于三层接口的两种方案方案1直接做三层口配置IP地址方案22层物理口+三层虚拟接口实验环境下只有方案2可行,实际生产环境中,方案2在需要接口迁移的情况下更合适。本实验中网关上收至汇聚交换机SW2,故SW2、SW3、AR1都运行OSPF,宣告路由网段即可实现全网通。...
最全的HCIA-R&S实验笔记
坏坏-5的博客
04-26 6715
本篇主要是HCIA-R&S阶段的所有的实验笔记
HCIA-R&S自用笔记(27)综合实验
m0_51770049的博客
07-28 701
配置所需的IP地址配置Telnet,要求园区网内所有设备均支持远程管理配置Trunk,交换机之间链路均为Trunk模式配置Vlan,SW2与SW3上创建相关VLAN,关联4台PC到对应的VLAN接口配置MLS,通过SW1实现VLAN间路由配置DHCP,使SW1可以为各个VLAN内主机分配地址配置STP,使SW1成为所有VLAN的根桥,要求手动修改优先级为4096配置OSPF,企业网内为进程1配置缺省路由与NAT,R1上配置静态缺省路由,SW1通过OSPF学习缺省路由。...
HCIA-R&S自用笔记(26)PPP
m0_51770049的博客
07-28 140
广域网中经常会使用串行链路来提供远距离的数据传输,高级数据链路控制HDLC(High-LevelDataLinkControl)和点对点协议PPP(PointtoPointProtocol)是两种典型的串口封装协议(PPP协议是一种点到点链路层协议,主要用于在全双工的同异步链路上进行点到点的数据传输。以上为单向认证,也可以开启双向认证,即两端都配置认证与被认证。现在用的HDLC都是思科改进的公用HDLC。以太网也分两层,上LLC,下MAC。不需要MAC地址,也不需要ARP。...
HCIA-R&S V2.5 路由交换网络工程师教材.zip
04-01
HCIA-R&S V2.5 路由交换网络工程师教材.zip
HCIA-Routing & Switching V2.5入门培训教材.PDF
09-30
华为官方电子教材-HCIA认证培训教材。
HCIA-Routing & Switching V2.5培训材料&实验指导书.zip
07-13
华为HCIA认证,全套学习与指导资料。 内含: 01-HCIA-Routing & Switching V2.5培训材料 包括: 1.... 2.... 3.IP编址 4.ICMP协议 ... 6.... 7.... 9.... 10.... 12.... 2、HCIA-R&S进阶 华为网络技术与设备 实验指导书
HCIA-R&S-211,2019华为初级认证考试题库
05-03
从各个论坛,题库中收集整理而成的综合题库,涵盖了大部分的初级网工题库,希望对报考或者对华为初级网络工程师有兴趣的朋友提供帮助
内网安全--域渗透准备知识
金灰的博客
05-22 734
通过域成员主机,定位出域控制器 IP 及域管理员账号,利用 域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性, 定位出域管理员登陆过的主机 IP,设法从域成员主机内存中 dump 出域管理员密码,进 而拿下域控制器、渗透整个内网.某个域用户需要使用 viso 软件进行绘图操作,于是联系网络管理员进行安装,网络管理 员采用域管理员身份登录了域成员主机,并帮助其安装了 viso 软件,于是这个有计算机 基础的员工,切换身份登录到了本地计算机的管理员,后执行。
智慧社区管理系统:打造便捷、安全、和谐的新型社区生态
最新发布
GIS数据转换器的博客
05-23 767
智慧社区管理系统以科技创新赋能社区治理,将极大提升社区服务效率,优化物业管理模式,增进邻里关系,强化社区安全防护。我们期待在不久的未来,每一位居民都能在这样的智慧社区中享受到科技带来的便利与安心,共同编织一幅和谐、宜居的现代社区画卷。
领域知识 | 智能驾驶安全领域部分常见概论
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
05-23 1290
Hi,早。最近想买个新能源车,这个车吧相比于之前的内燃车,新能源车与外界的交互多了很多。比如娱乐的第三方应用,OTA升级等应用。交互带来的便利越多,暴露的风险自然也就越大,相比于手机等消费者终端设备,车要是被黑客远程操控,这就玩大了。所以对于车规级的芯片和系统,从沙子开始就有相应得规范来保证安全。作为一个曾经的安全领域的不知名靓仔,于是就在这里整理回忆了部分涉及到的概念和理论记录如下。保证一个系统的安全,需要从多个维度去考虑。网络、通信、系统、应用、硬件等多方面。
F5发布2024年5月季度安全通告
2401_84434570的博客
05-22 1309
F5 BIG-IP Next Central Manager OData注入漏洞。F5 BIG-IP Next Central Manager SQL注入漏洞。F5 BIG-IP Next Central Manager中间人攻击漏洞。F5 BIG-IP Next Central Manager中间人攻击漏洞。F5 BIG-IP APM浏览器网络访问VPN客户端来源验证错误漏洞。F5 BIG-IP Next CNF信息泄露漏洞。F5 BIG-IP配置实用程序跨站脚本漏洞。
hcia-routing & switching官网
08-11
HCIA-Routing是华为认证的一种专业网络技术认证,主要是针对网络工程师和系统工程师。这个认证涵盖了网络设计、网络规划、网络建设和网络运维的知识体系。通过HCIA-Routing认证,可以证明我们具有华为路由器方面的基础知识和技能,能够独立完成网络规划和设计、网络设备安装和调试以及网络故障排除等工作。 HCIA-Routing认证考试包括必修课和选修课两个部分。必修课主要包括IP网络基础、以太网交换原理和技术、路由器技术基础、WLAN技术基础等内容,选修课则可以根据个人需求和兴趣选择不同的方向,如IPv6技术、安全防护技术等。 通过HCIA-Routing认证,我们可以推导出以下几点优势。首先,通过学习网络设计、规划和建设的知识,能够更好地理解网络拓扑结构和网络设备的配置和调试。其次,掌握路由器技术,能够熟练利用路由器进行网络分流和广播控制。再次,学习WLAN技术,能够更好地理解和配置无线局域网。此外,通过学习IPv6技术和安全防护技术,可以更好地应对网络未来发展的需求和挑战。 总而言之,HCIA-Routing认证是一种很有价值的认证,具备了这个认证之后,我们具备了扎实的网络基础知识和技术能力,能够更好地应对网络设计和建设的需求,提高工作效率和应对各种网络故障的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值