ACL详解

已于 2023-05-08 19:49:42 修改
阅读量5.3k 收藏 44
点赞数 5
分类专栏: 网络安全 文章标签: 网络 ACL
于 2022-12-22 00:43:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63636799/article/details/128403711
版权

访问控制 ACL 流量管理 网络策略 路由器配置
关键词由CSDN通过智能技术生成

目录

ACL

介绍

工作原理

ACL 的作用

ACL的匹配规则

ACL分类

ACL应用场景

基本ACL配置

配置确认

高级ACL配置

应用

ACL

全称:Access Control List

中文:访问控制列表

介绍

ACL 是网络当中策略的一种,策略:我们之前学的内容只够我们把网络连通,但网络不仅仅是能连通那么简单,在保证网络能连通的基础上,应该还有更高一层的追求,即对网络进行一些控制。比如说:对某些人的流量进行限制、对某些人的流量做一些保障、不允许某些人访问某些网站等的控制行为。这些都需要通过策略来完成。

ACL 就是众多策略中的一种,是最简单的一种工具,可以帮助我们实现一些基本的功能,比如说:实现 访问控制列表 的功能。

企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。

ACL可以定义一系列不同的规则,设备根据这些规则对数据进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

工作原理

某些设备配置了ACL,ACL中声明了一些匹配规则,通过这个规则来匹配一些流量,对匹配到的流量再执行相应的动作,即,提前设定好了怎么处理这些流量,比如说,是让它访问还是不让访问,从而就实现了控制的功能。

ACL 在很多设备上都是可以应用的,后面主要讲在路由器上的应用,讲述在路由器上怎么配置 ACL

ACL 的作用

  1. 访问控制:在路由器流量流入或留出的接口上,匹配流量,然后执行设定好的动作。

    • 配置位置:在路由器的接口上:把接口分为流量流入、流出的接口。

      现在如果用PC1访问PC3,那么对于左边的路由器来说:g 0/0/1 是流量流入的接口,g 0/0/0 是流量流出的接口。

      PC3回包的时候情况正好相反。

      所以:流入、流出是一个相对的概念,不是固定的。

    • 执行的动作

      只有两种:permit 允许 , deny

  2. 抓取感兴趣流:ACL可以和其他服务结合使用。ACL只负责匹配流量,其他服务则对匹配的流量执行对应的动作0

    • ACL的功能很单一 --- 只有两个动作,但ACL在某些场景下,有时候我们需要做策略并不是一刀切的,即,很干净利落就两种情况:允许、拒绝。就比如说做流控,不是说不让访问,可以访问,但要对流量、速度等做一些限制,遇到这样的情况,光靠这两种动作是无法实现这个功能的,所以,ACL在某些情况下只做第一件事 --- 只抓取流量,但不去做动作。动作交给其它的服务来做,即,和其它服务去打配合。ACL 和别的服务去结合 ,就可以实现更多更丰富的功能,而不仅仅是访问控制。

eg:

流控 --- 对流量进行控制和管理

QoS(服务质量技术)

ACL 和 QoS 配合:ACL负责抓取流量,QoS负责对流量进行相应的操作

后面只讲述 ACL 的第一个作用:访问控制

ACL的匹配规则

自上而下,逐一匹配,如果匹配上,则按照对应的动作执行,不再向下匹配。

  • 思科体系的设备:在ACL列表末尾隐含一条拒绝所有的规则

  • 华为体系的设备:在ACL列表末尾隐含一条允许所有的规则 —— 不准确

    • 实际上的默认规则:对于没有匹配上的不做处理,相当于允许。

  • 每个ACL可以包含多个规则,RTA根据规则来对数据流量进行过滤

ACL分类

思科 和 华为 不一样

华为:

分类编号范围参数
基本ACL2000-2999仅关注数据包中的源IP地址
高级ACL3000-3999不仅关注数据包中的源IP地址,还会关注数据包中的目标IP地址,以及协议和目标端口号
二层ACL4000-4999源MAC地址、目的MAC地址、以太帧协议类型等
用户自定义ACL————

后面只讲述前两种ACL:基本ACL、高级ACL

ACL应用场景

  • ACL可以通过定义规则来允许或拒绝流量的通过。

     

  • ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。

    (疑问? 感觉应该不能执行动作,只能抓取流量)

 

基本ACL配置

 

配置确认

高级ACL配置

应用

如下给出一个场景:我们会给出一些需求,然后利用ACL来完成这些需求。

如下搭建的网络已经实现了全网可达:

 

配ip

 

 

 

 

配静态路由

[r1]ip route-static 192.168.3.0 24 192.168.2.2
[r1]
[r2]ip route-static 192.168.1.0 24 192.168.2.1
[r2]

ping

 

需求一:通过 ACL 实现PC1可以访问PC3和PC4,但是PC2不行

基本ACL的位置原则:因为基本ACL只关注数据包中的源IP地址,故调用时尽可能的靠近目标,避免对其他地址访问造成误伤。

 

如图有4个接口可供选择,按照上面所说的原则,我们选择接口4。

下面就开始配置ACL:

  1. 创建一张ACL列表

    [r2]acl ?
  INTEGER<2000-2999>  Basic access-list(add to current using rules)  -- 基本ACL
  INTEGER<3000-3999>  Advanced access-list(add to current using rules)  -- 高级ACL
  INTEGER<4000-4999>  Specify a L2 acl group -- 二层ACL
  ipv6                ACL IPv6 
  name                Specify a named ACL
  number              Specify a numbered ACL
[r2]acl 2000
[r2-acl-basic-2000]

    这样就创建了一张ACL表,但只是个空表,没有规则。

  2. 在ACL列表中添加规则

    按照我们的需求:实现 PC2 无法访问到 PC3,PC4,那么就有以下两种方案:

    1. 拒绝PC2,允许所有

    2. 允许PC1,拒绝所有

    那么这两种选择哪一种比较好呢?

    其实要取决于体系,如果是华为体系的话,就选择第一种,因为华为体系的设备在ACL列表末尾隐含一条允许所有的规则。如果是思科体系的话,就选择第二种。

    下面我们开始添加规则:

    1. 拒绝PC2

      [r2-acl-basic-2000]rule ?
  INTEGER<0-4294967294>  ID of ACL rule
  deny                   Specify matched packet deny
  permit                 Specify matched packet permit
[r2-acl-basic-2000]rule deny ?
  fragment             Check fragment packet
  none-first-fragment  Check the subsequence fragment packet  
  source               Specify source address
  time-range           Specify a special time
  vpn-instance         Specify a VPN-Instance
  <cr>                 Please press ENTER to execute command 
[r2-acl-basic-2000]rule deny source ?
  IP_ADDR<X.X.X.X>  Address of source
  any               Any source
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0 ---- 0.0.0.0——通配符:0代表不可变,1代表可变,统配符中0和1可以穿插使用
[r2-acl-basic-2000]

    2. 允许所有(可以不写,默认允许)

      [r2-acl-basic-2000]rule permit source any
[r2-acl-basic-2000]

    另外还有其他有关命令:

    查看 acl 2000 列表的规则

    [r2]display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 deny source 192.168.1.3 0 
rule 10 permit 
​
[r2]

    自定义序号添加规则

    华为默认以5为步调,自动添加ACL的规则的序号。其目的在于匹配规则是从上向下按顺序匹配,这样便于在其中插入规则。

    [r2-acl-basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0
[r2-acl-basic-2000]q
[r2]display acl 2000
Basic ACL 2000, 3 rules
Acl's step is 5
rule 5 deny source 192.168.1.3 0 
rule 6 deny source 192.168.1.2 0 
rule 10 permit 
​
[r2]

    按照序号删除规则

    [r2-acl-basic-2000]undo rule 6
[r2-acl-basic-2000]q
[r2]display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 deny source 192.168.1.3 0 
rule 10 permit 
​
[r2]

  3. 在接口上调用ACL列表

    [r2-GigabitEthernet0/0/1]traffic-filter ?
  inbound   Apply ACL to the inbound direction of the interface  —— 流入方向
  outbound  Apply ACL to the outbound direction of the interface —— 流出方向
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
[r2-GigabitEthernet0/0/1]

注意:在一个接口的一个方向上,只能调用一张ACL列表。

另外还有其他有关命令:

查看应用

[r2-GigabitEthernet0/0/1]display traffic-filter applied-record 
-----------------------------------------------------------
Interface                   Direction  AppliedRecord       
-----------------------------------------------------------
GigabitEthernet0/0/1        outbound   acl 2000
-----------------------------------------------------------
[r2-GigabitEthernet0/0/1]

删除应用

[r2-GigabitEthernet0/0/1]undo traffic-filter outbound
[r2-GigabitEthernet0/0/1]display traffic-filter applied-record
-----------------------------------------------------------
Interface                   Direction  AppliedRecord       
-----------------------------------------------------------
-----------------------------------------------------------
[r2-GigabitEthernet0/0/1]

PC1 ping PC3

 

需求二:要求PC1可以访问PC3,但是不能访问PC4

高级ACL的位置原则:因为高级ACL是精准匹配,所以,在调用时应该尽可能靠近源目标,避免造成额外的链路资源浪费。所以我们选择接口1

下面就开始配置ACL:

  1. 创建一张ACL列表

   [r1]acl ?
     INTEGER<2000-2999>  Basic access-list(add to current using rules)
     INTEGER<3000-3999>  Advanced access-list(add to current using rules)
     INTEGER<4000-4999>  Specify a L2 acl group
     ipv6                ACL IPv6 
     name                Specify a named ACL
     number              Specify a numbered ACL
   [r1]acl name aa ?
     INTEGER<2000-2999>  Basic access-list(add to current using rules)
     INTEGER<3000-3999>  Advanced access-list(add to current using rules)
     INTEGER<4000-4999>  Specify a L2 acl group
     advance             Advanced acl
     basic               Basic acl
     link                Link acl
     match-order         Set ACL's match order
     <cr>                Please press ENTER to execute command 
   [r1]acl name aa 3000  ---- 通过重命名的方式创建ACL列表
   [r1-acl-adv-aa]

  1. 在ACL列表中添加规则

    1. 拒绝PC4

  [r1-acl-adv-aa]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0
  [r1-acl-adv-aa]

  1. 在接口上调用ACL列表

    [r1-GigabitEthernet0/0/1]traffic-filter inbound acl name aa ---- 通过重命名的方式调用ACL列表
[r1-GigabitEthernet0/0/1]

PC1 ping PC3、PC1 ping PC4

需求三:要求PC1可以ping通R2,但是不能telnet R2

在需求二中我们使用了高级ACL,但我们只用到了源IP、目标IP,而协议和端口号没用到,本实验我们就使用一下

telnet(远程登录协议)

作用:可以远程登录、控制、配置网络设备。

  • 带外管理:不依靠网络,直接对设备进行管理

    • 通过console接口连接console线对设备进行控制

      网络工程人员一般都会随身携带一根console线,所有的路由器、交换机等设备上面都有一根专门的接口——console口,console连接console线,一端连接在设备的console口(水晶头),另外一端连接在电脑上(串线头)。设备和电脑之间就建立了联系,之后只需要在电脑上启动一些连接软件就可以对设备进行控制了。

       

       

       

       

       

    • 通过miniUSB接口连接MINIUSB线对设备进行控制

      原理和console线一样。

      既然原理一样,那为什么有console口了,还要设置miniUSB口呢?

      答:万一设备的console坏了,还可以使用miniUSB接口。

  • 带内管理:通过网络对设备进行管理

    • 通过telnet管理路由器

    • 通过web界面管理路由器

    • 通过SNMP协议进行设备管理

telnet进行管理的前提条件 1,登录设备和被登录设备之间网络必须是连通的 2,被登录设备必须开启telnet服务

telnet —— C/S架构

  • 被登录设备充当telnet服务器的角色,登录设备充当telnet客户端的角色。

  • TCP 23

    • SPort:随机

    • DPort:23

路由器开启telnet服务的方法:

1,在AAA中创建用户名

  1. 进入aaa服务

    作用:专门存储和管理用户名和密码的地方

    目的:设置账号、密码

    [r2]aaa  
[r2-aaa]

  2. 创建用户名和密码

    [r2-aaa]local-user aa privilege level 15 password cipher 123456
Info: Add a new user.  —— 用户名:aa,密码:123456,权限:15
[r2-aaa]

  3. 设置用户服务类型

    [r2-aaa]local-user aa service-type telnet
[r2-aaa]

2,开启虚拟的登录端口

[r2]user-interface vty 0 4
[r2-ui-vty0-4]

认证

[r2-ui-vty0-4]authentication-mode aaa
[r2-ui-vty0-4]

telnet PC2

 

由于eNSP无法开启客户端telnet,所以报错。

那我们用真机作为客户端:

开启telnet客户端

 

 

真机可以telnet虚拟机中的设备,但虚拟机中设备的ip都是随便配的。

由于虚拟机中的设备都是用的虚拟网卡,所以可以telnet 127.0.0.1,但我们还要区分不同的设备,可以用串口号进行区分

 

 

 

我们也可以使用软件——SecureCRT

 

我们可以用路由器代替电脑(PC1)

The device is running!
​
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys pc1
[pc1]int g 0/0/0
[pc1-GigabitEthernet0/0/0]ip address 192.168.1.10 24
May  8 2023 18:17:14-08:00 pc1 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
 on the interface GigabitEthernet0/0/0 has entered the UP state. 
[pc1-GigabitEthernet0/0/0]q
[pc1]ip route-static 0.0.0.0 0 192.168.1.1
[pc1]ping 192.168.2.2
  PING 192.168.2.2: 56  data bytes, press CTRL_C to break
    Request time out
    Reply from 192.168.2.2: bytes=56 Sequence=2 ttl=254 time=70 ms
    Reply from 192.168.2.2: bytes=56 Sequence=3 ttl=254 time=50 ms
    Reply from 192.168.2.2: bytes=56 Sequence=4 ttl=254 time=50 ms
    Reply from 192.168.2.2: bytes=56 Sequence=5 ttl=254 time=30 ms
​
  --- 192.168.2.2 ping statistics ---
    5 packet(s) transmitted
    4 packet(s) received
    20.00% packet loss
    round-trip min/avg/max = 30/50/70 ms
​
[pc1]q
<pc1>telnet 192.168.2.2
  Press CTRL_] to quit telnet mode
  Trying 192.168.2.2 ...
  Connected to 192.168.2.2 ...
​
Login authentication
​
​
Username:aa
Password:
<r2>

下面开始配置acl:

[r1]acl 3001
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2
.2 0.0.0.0 destination-port  eq 23
[r1-acl-adv-3001]
[r1-GigabitEthernet0/0/0]undo traffic-filter inbound
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
[r1-GigabitEthernet0/0/0]

由于r2有两个网关,所以可以telnet 192.168.3.1

所以还要把r2的另一个接口搞一下

我和程序有一个能跑就行
关注
  • 5
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ACL—访问控制列表
qq_47175413的博客
06-03 4637
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表,列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
ACL(访问控制列表)
qq_58881947的博客
05-10 1225
目录1、ACL概述2、实验一:基本ACL(2000~2999)用法3、实验二:高级ACL(3000~3999)用法(单项访问)4、实验四:ACL时间设定ACL技术作用:通过定义一些列规则来允许或拒绝流量通,提高网络性能、防止网络攻击。保障数据传输的安全可靠性和网络稳定,可定义一些列的规则对数据包进行分类并针对不同类型的报文进行不同的处理以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击可以限制网络访问。ACL技术用法: 设置在路由器或交换机接口上,两个接口协议设置不一样时效果不一样。
ACL的基本原理与配置
最新发布
weixin_50931573的博客
04-17 726
一、ACL概述ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。
ACL入门指南:如何使用它轻松保护网络安全
weixin_43263566的博客
12-07 5667
ACL包过滤技术
网路中的ACL--
qq_60807433的博客
12-02 3832
关于网络ACL基本知识
ACL原理以及配置
热门推荐
zy748539的博客
05-23 2万+
一.什么是ACL?   访问控制列表(Access Control list,ACL)是应用在路由器接口的指令列表(即规则)。它读取的是TCP/IP五层模型的第三层、第四层的报文头信息,根据预先定义好的规则对报文进行过滤。 IP数据报报头结构 TCP报头结构   ACL根据IP报头中的源地址、协议号、目标地址和TCP报头中的源端口、目标端口这5个元素来定义规则。 ACL的作用   ACL的作用是用于控制设备之间的数据包的互通。 二.ACL的类型 基本ACL   编号范围2000-2999   参数:
ACL详解视频7讲.zip
04-24
**ACL详解视频7讲** 本资源包含7个MP4视频文件,全面讲解了访问控制列表(Access Control List,简称ACL)这一重要的网络管理技术。ACL网络设备如路由器、交换机上的一种安全机制,用于控制网络流量的流向,实现...
上网行为管理技术ACL详解.doc
08-24
上网行为管理技术ACL详解 上网行为管理技术ACL网络设备中的一种访问控制机制,负责管理用户配置的所有规则,并提供报文匹配规则的算法。ACL由多个规则组成,每个规则通过规则ID(rule-id)来标识,规则ID可以由...
ACL详解.pdf
12-18
ACL详解】 访问控制列表(Access Control List,简称ACL)是网络管理员用来实施访问控制的一种技术,主要在Cisco IOS上广泛使用,同时也被其他网络设备供应商支持。ACL通过检查网络数据包的第三层(网络层)和第...
cisco路由器配置ACL详解.pdf
05-26
Cisco 路由器配置 ACL 详解 Cisco 路由器配置 ACL 详解,在网络管理中扮演着至关重要的角色。ACL(Access Control List,访问控制列表)是一种网络安全机制,它可以根据预先定义好的规则对网络流量进行过滤,从而...
ACL里面匹配网段的规则原来是这样,终于理解了
NeverGUM的博客
10-14 1万+
一直对ACL和OSPF里面匹配网段的掩码有点模糊,OSPF使用反掩码,ACL则使用通配符掩码,看样子一样,其实略有点区别。 先来看看度娘对通配符掩码的定义。 通配符掩码(wildcard-mask) 通配符掩码(wildcard-mask)路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围,它与子网掩码不同。它不像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。这个地址掩码可以只使用两个32位的号码来确定IP地址的范围。这是
ACL原理及配置
zl965230的博客
02-11 679
系统为ACL中首条未手工指定编号的规则分配编号时,使用步长值(例如步长=5,首条规则编号为5)作为该规则的起始编号;一条ACL可以由多条deny或permit语句组成,每一条语句描述一条规则,这些规则可能存在包含关系,也可能有重复或矛盾的地方,因此ACL的匹配顺序是十分重要的。缺省的ACL匹配顺序是config模式。配置ACL的设备接收报文后,会将该报文与ACL中的规则逐条进行匹配,如果不能匹配上,就会继续尝试去匹配下一条规则。一个ACL中的每一条规则都有一个相应的编号,称为规则编号,用来标识ACL规则。
ACL 策略管理
weixin_68576503的博客
08-19 620
acl 访问策略作用:能够对个别用户、个别组设置独立的权限 setfacl 命令格式: ①setfacl [选项] u:用户名:权限 文件... ②setfacl [选项] g:组名:权限 文件... 常用命令选项: -m:修改 ACL 策略 -x:清除指定的 ACL 策略 -b:清除所有已设置的 ACL 策略 -R:递归设置 ACL 策略 一般文件默认均不给 x 执行权限,其他取决于 umask(权限掩码) 设置新建目录默认权 限为 755 新建文件默认权限为 644,管理员的默认的 u
ACL技术
NBbabay的博客
04-15 125
2、高级ACL:3000-3999 Advanced access-list 精确匹配,数据五元组(源IP、目标IP地址、协议、1、数据包到达接口后,会被检查,是否设置了ACL规则,如果设置了,就按ACL规则执行,如果没有设置就正常转。3、所有规则都不匹配,则执行默认动作,默认允许则允许,默认拒绝则丢弃。自动生成:编号从5开始,是5的倍数,比如:0、5、10、15、20。3、二层ACL:4000-4999 源MAC、目标MAC地址、协议。2、按照ACL的编号从上至下逐一匹配,直到有与之匹配规则出现。
ACL访问控制列表简介
zjdda的博客
07-18 649
学习笔记
安全acl 策略acl_使用ACL的ABC
cuyi7076的博客
06-24 1323
[编者注:多年来,对访问控制列表(ACL)的记录已久。 但是,由于ACL影响了如此众多的Notes活动,因此本文解释了ACL为何“演变为”现在的形式。 通过了解其不同组件之间的交互方式,您可以利用ACL来满足安全性和应用程序开发要求。] Notes访问控制列表(ACL)是Domino内核体系结构的高度集成的组件。 从一开始就出现在Notes中,其设计经受了时间和使用的考验。 (有关Note...
ACL基础知识
weixin_33928137的博客
02-26 460
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强...
十分钟带你了解你不知道的ACL访问控制技术
03-26 2638
##前言 访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。它类似于一种数据包过滤器。 ####1.为什么需要ACL技术? 当某个局域网中需要使某些主机无法访问指定的资源,时就需要这么一个技术实现流量的过滤,如下图所示,某公司为保障财务部数据安全,机制研发部门访问财务部服务器,但总裁办公室不受影响: ####2.ACL介绍 ACL是由一系列perm
consul acl
09-02
Consul ACL(Access Control List)是Consul中用于配置和管理访问控制的功能。引用中提到了配置ACL的步骤,包括在各节点启动时启用ACL,并在配置文件夹目录中添加acl.hcl文件。这个文件包含了ACL的配置信息,如启用ACL、默认策略、令牌持久化等。通过重新启动节点,ACL的配置就会生效。 引用中提到了根据规则文件生成策略的步骤。在Consul中,可以通过创建策略来定义ACL的规则。可以使用命令行工具consul acl policy create来创建策略,并指定策略的名称、规则文件和对应的权限令牌。这样就可以为不同的访问需求创建不同的策略。 另外,引用提到了AWS SSM参数引导和管理Consul ACL的实用程序。这个工具可以让您安全地从AWS SSM中存储ACL定义和令牌ID,并简化在多环境场景中引导ACL的过程。 所以,Consul ACL是用于配置和管理Consul中访问控制的功能,它可以通过配置文件和命令行工具来实现。同时,AWS SSM参数也提供了方便的管理工具来简化ACL的引导和管理过程。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [consul--基础--06--ACL](https://blog.csdn.net/zhou920786312/article/details/127738110)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [consulssm:通过AWS SSM参数引导和管理Consul ACL](https://download.csdn.net/download/weixin_42162171/18299398)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我和程序有一个能跑就行

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值