acl规则的配置

最新推荐文章于 2024-09-05 11:05:58 发布
最新推荐文章于 2024-09-05 11:05:58 发布
阅读量2.4k 收藏 3
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66431375/article/details/123848453
版权

技术背景:需要一个工具实现流量过滤

使用eNSP搭建一个实验环境拓扑图如下

需求如下:

需求1:先使PC1/PC2,Server1/Server2能互相通信
需求2:使PC1不能访问Server1/Server2,但能访问PC2
需求3:使PC2可以访问Server2,不能访问Server1
配置思路是首先需要让设备之间能互相通信配置PC1/PC2,Server1/Server2,IP/掩码/网关。配置路由器接口地址,配置静态路由。

<AR2>system-view
[AR2]interface GigabitEthernet 0/0/0
[AR2-GigabitEthernet0/0/0]ip address 192.168.10.254 24
[AR2-GigabitEthernet0/0/0]q
[AR2]interface GigabitEthernet 0/0/1
[AR2-GigabitEthernet0/0/1]ip address 12.1.1.1 24
[AR2-GigabitEthernet0/0/1]q
[AR2]ip route-static 192.168.20.0 24 12.1.1.2
<AR3>system-view 
[AR3]interface GigabitEthernet 0/0/0
[AR3-GigabitEthernet0/0/0]ip address 12.1.1.2 24
[AR3-GigabitEthernet0/0/0]q
[AR3]interface GigabitEthernet 0/0/1
[AR3-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[AR3-GigabitEthernet0/0/1]q
[AR3]ip route-static 192.168.10.0 24 12.1.1.1

 配置到这里PC1/PC2,Server1/Server2已经能互相通信。需求1已完成。

接下来需要使PC1不能访问服务器1/服务器2,但能访问PC2,配置思路为

1.分析流量决定控制哪个流量。结果:PC1-->Server的流量

2.选择在哪个设备上做acl,原则:尽量靠近源端。结果:路由LSW1为2层设备不支持IP,所以在AR2上做acl

3.选择在哪个接口上做acl,in优先路由表,out需要先查看路由表

配置如下

<AR2>system-view 
[AR2]acl number 2000     //配置规则编号为2000
[AR2-acl-basic-2000]rule 5 deny source 192.168.10.1 0     //拒绝PC1的流量通过,0为反掩码代表一个主机
[AR2-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255   //允许1.0网段所有流量通过
[AR2-acl-basic-2000]q
[AR2]interface GigabitEthernet 0/0/0
[AR2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000     //将规则绑定在输入口上
[AR2-GigabitEthernet0/0/0]q

 

配置完毕后PC1可以访问PC2但是不能访问服务器1,服务器2,完成需求2。

需求3:需要使PC2可以访问服务器2,但不能访问服务器1。配置思路:PC2到服务器1和服务器2的流量区别在于目的ip,源IP都是PC2,此时需要使用高级acl。配置如下

<AR2>system-view 
[AR2]acl number 3000
[AR2-acl-adv-3000]rule 5 deny ip source 192.168.10.2 0 destination 192.168.20.1 
0                        //拒绝pc2到目的服务器1 的流量通过
[AR2-acl-adv-3000]rule 1000 permit ip   //允许所有IP通过
[AR2-acl-adv-3000]q
[AR2]interface GigabitEthernet 0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 3000   //输出口绑定规则

配置完成,可以看到PC2不能访问服务器1,但是能访问服务器2。需求3完成。

如果是想使PC2不能ping通服务器1,但是可以访问服务器1的网页的话可以这样配置

[AR2]acl number 3001
[AR2-acl-adv-3001]rule 5 deny icmp source 192.168.10.2 0 destination 192.168.20.
1 0                                        //拒绝PC2和Server1的ICMP通信ping不通
[AR2-acl-adv-3001]rule 10 permit tcp source 192.168.10.2 0 destination 192.168.2
0.1 0 destination-port eq 80                    //运行访问端口80
[AR2-acl-adv-3001]q
[AR2]interface GigabitEthernet 0/0/0
[AR2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001    //绑定规则

 

 

yhxtxdy
关注
ACL配置
09-27
总结来说,ACL配置网络管理中的核心技能,无论是基本ACL还是高级ACL,都是通过制定规则来实现网络访问控制。理解并熟练运用ACL能够帮助企业更好地保护其网络资源,确保数据安全,以及合理地分配和限制不同用户的...
华为 ACL实验
weixin_42862151的博客
01-06 807
一、ACL分类 二、LAB LAB1 R1: acl 2000 rule 5 deny source 192.168.1.1 0 //反掩码0代表一个主机 rule 10 permit source 192.168.1.0 0.0.0.255 //放行通过其他网络主机 interface g0/0/1 ip address 192.168.1.254 24 traffice-filter inbound acl 2000 //接口下调用acl, inbound方向 LAB2 R1: acl
华为eNSP实验3、acl访问控制列表
hg515215563的博客
11-12 7572
3、acl访问控制列表: acl访问控制列表主要分为3类: 1、基本访问控制列表(2000-2999)只能针对source ip地址进行限制 2、告警访问控制列表(3000-3999)可以针对源ip、目的ip、源端口、目的端口进行限制 3、二层访问控制列表(4000-4999)可以针对二层数据帧进行控制。 本文主要进行基本访问控制列表及告警访问控制列表的实验。 实验拓扑如下: 路由器AR1 接口...
借助el-steps和el-form实现超长规则配置的功能
最新发布
鹤渺的星球
09-05 777
最近开发了一个规则类的配置功能,这个功能之前就写过,最近完善了一下,所以将原先的规则变得更多元化,结构也更多了一层,三层分组,添加新功能的时候试着用了ts来写,就有了一些坑,以此记录一下。其实实现的功能看起来不难,只是因为数据结构已经定好了,后端不愿意改,所以在两种情况下前端只能这样处理,并且添加了很多校验和提示,所以显得代码很冗余,但为了响应式,几乎每一个代码只能这样写,我想在处理数据方面,我以后多学一些算法,可能更熟练。
如何在H3C路由器使用ACL来管理网络安全
omage的专栏
09-06 6140
ACL ( Access Control List) 访问控制列表,顾名思义,用于控制访问用的,和我们在window里使用防火墙规则是一个意思。 第一步要先定义ACL规则, H3C路由器有三种规则,基本规则,高级规则,二层规则,一般情况使用高级规则就能解决我们大部分场景,这里就着重介绍高级规则。高级规则的编号在H3C路由器里是3000~3999之间。 示例:下面的规则依次表示允许源地址为192.168.1.0网段的IP包,拒绝目标地址为192.168.2.0网段的IP包,最后denly ip表示
ACL规则匹配顺序
Jian Sun_的博客
07-26 5171
从上面的ACL匹配报文流程图中,可以看到,只要报文未命中规则且仍剩余规则,系统会一直从剩余规则中选择下一条与报文进行匹配。 系统是根据什么样的顺序来选择规则进行报文匹配的呢? 回答这个问题之前,先来看个例子。假设我们先后执行了以下两条命令进行配置rule deny ip destination 1.1.0.0 0.0.255.255//表示拒绝目的IP地址为1.1.0.0网段的报文通过 rule permit ip destination 1.1.1.0 0.0.0.255//表示允...
H3C交换机 典型配置举例-6W100-ACL典型配置举例
08-04
6. 配置文件:可以查看交换机的配置文件,了解ACL规则的详细信息。 拒绝指定的主机访问网络典型配置举例 在这个配置举例中,我们将展示如何使用ACL拒绝指定的主机访问网络。这个配置包括以下几个步骤: 1. 适用...
EMQ配置ACL权限控制规则图文教程.pdf
06-23
EMQ的ACL规则配置是以插件方式进行实现,以实现对信息发布 (PUBLISH)/订阅(SUBSCRIBE)操作的权限控制。例个例子:拒绝用户名为Test的客户端向$sys/abc/主题发布信息。在EMQ X 中提供了多种ACL插件的支持,如内置ACL...
局域网10-ACL配置
09-13
1.1.3 IPv4 ACL匹配顺序:当数据包到达设备时,ACL规则会按照其定义的顺序进行匹配。一旦匹配到一条规则,就不会再继续匹配后续规则。 1.1.4 IPv4 ACL步长:步长指在定义连续的ACL规则时,每次增加的数字。默认步长...
访问控制列表ACL配置教程
10-01
路由器处理数据包的方式是,当数据包到达接口时,会按照ACL中的顺序检查每条规则。一旦找到匹配的规则,路由器就会执行相应的动作(允许或拒绝),并停止进一步检查。如果没有匹配的规则,路由器将依据默认行为处理...
关于华为ACL末尾的详解
qq_43008319的博客
06-03 4983
众所周知,华为的ACL末尾是默认permit,思科的ACL末尾默认deny。 实际操作过来并不是这样的。因为错误的认知,还造成了业务中断。 例: 业务出口处需要对两个源IP进行引流至防火墙,通过出口配置PBR。回包直接指静态到防火墙。 ACL里加了2条匹配源地址,末尾加了一条rule deny ip,最终结果是,引流的IP正常。其他所有业务不通。咨询华为工程师后,回复末尾加rule deny ip导致的。 最终通过模拟器测试得出以下结论。 华为的ACL末尾机制: 末尾加rule permit ip 相当于p
实现规则配置
qq_38114301的博客
07-09 852
通过配置实现不同逻辑 思路 将逻辑不同的部分代码提取出来,放入到不同的方法中,在数据库存入方法名,根据方法名反射出方法。 将不同规则代码放入不同方法 @Controller @Description("取号规则方法") @RequestMapping("callRule") public class CallNumberUtil { @Resource private CallnumberConfigDao callnumberConfigDao; private static Ca
关于iptables的规则配置方法(笔记)
剁椒鱼头没剁椒的博客
02-08 9964
关于iptables的规则配置方法(笔记)
最简单的网络限制方案,ACL规则
willhuo的专栏
11-09 3801
 假设您的内网网段是192.168.0.0/16 要限制的网段是192.168.10.0/24和192.168.30.0/24 sys [H3C]acl advanced 3001 [H3C-acl-ipv4-adv-3001]rule  0  permiip  source  192.168.0.0  0.0.255.255  destination  192.168.0.0
ACL的基本原理与配置
ll945608651的博客
02-10 9157
ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。
ACL理论及简单配置
热门推荐
weixin_58107256的博客
05-04 1万+
应用意义 ACL可以通过定义规则来允许或者拒绝流量的通过。 如图所示,192.168.1.0网段的社交场所为只能够进入公网,而不能够进入服务器,这个时候我们在路由器或者是三层交换机上(带路由功能的交换设备)上配置ACL策略,在192.168.1.0网段的数据包发送到RTA的时候会在入网口进行检测,从而判断能否让该(IP/MAC/端口)通过。 1.ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 2.本示例中,网关RTA允许192.16.
高级ACL应用
weixin_50339832的博客
06-14 741
高级ACL
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值