6/6 ACL原理与配置

最新推荐文章于 2024-01-19 19:39:50 发布
最新推荐文章于 2024-01-19 19:39:50 发布
阅读量317 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72359405/article/details/131109406
版权

目录

一、ACL工作原理:

二、ACL的匹配规则:

三、ACL访问控制列表:

四、ACL策略:

五、反掩码:

六、ACL实验:

一、ACL工作原理:

 

在这个接口的地方定义N条规则进行筛选过滤数据包,如果匹配就放行,如果拒绝就丢弃,规则判定全部结束之后会进入一个隐藏的规则。

二、ACL的匹配规则:

一个接口的方向只能调用一个ACL,一个ACL可配置多条规则,从上往下依次匹配,匹配即停止。

三、ACL访问控制列表:

1.用来对数据包做访问控制,要么丢弃,要么放行。

2.结合其他协议,匹配范围 传输层(端到端) tcp udp 物理层(点到点)ACL可以控制协议的流量是否通过。

访问控制列表的编号:

2000-2999:基本ACL 只能匹配源ip地址
3000-3999:高级ACL 既可以匹配源ip,目标ip,源端口号,目标端口,三层和四层的协议字段 icmp tcp udp
4000-4999:根据数据包的mac源mac地址、目的mac地址,802.lq 优先级,二层协议。

基本acl:尽量用在靠近目的地方 (视情况而定,不绝对)            用于限制网络
高级acl:尽量靠近源的地方,保护带宽(视情况而定,不绝对)    用于限制协议和网络

四、ACL策略:

ACL:访问控制,决定流量到底能不能通过。通过即放行,不通过则丢弃。主要的配置设备为:路由器(主要)

1.ACL可以配置多条策略。

2.根据报文来进行匹配和区分。

多条策略的匹配原则:
1.有则匹配,无则放通。
2.匹配到第一条之后,后续相同的将不在匹配。
一个端口只能匹配一条策略,如果想换掉需要把原来的删掉。

入站(inbound)及出站(outbound)方向

根据ip数据包去与回时的原目的ip地址,选择在入站或出站时应用ACL。

五、反掩码:

 

0表示严格匹配,1表示随机分配

172.16.40.0/24 匹配子网当中16 20 24 28
00010000
00010100
00011000
00011100
00001100 12
0.0.0.12

192.168.3.30 反掩码
00011110
00000000
192.168.3.30 0
192.168.3.0 0.0.0.255

192.168.233.0/24 所有的偶数匹配
00000000.00000000.00000000.11111110 不能变的只有最后一位,严格匹配,所以为0

192.168.233.0/24 20 22 23 24
00010100
00010110
00010111
00011000
00001111
0.0.0.15

0.0.0.255 后面八位都可动,所以是网段
0.0.0.0 后面八位都不可动,所以是ip地址。

六、ACL实验:

网络拓扑结构:

 

PC1、PC2、Client1、PC3、Server1设备具体配置如图所示:

 

 

 

 

 路由器AR1具体配置如下图所示:

 

 

 

 

 测试结果如下图所示:

 

 

 

我叫yyy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
思科交换机接口配置trunk_思科交换机Mac ACL的应用配置
weixin_35663151的博客
12-24 2186
访问控制表(ACL)是许可证的一集并且拒绝情况,称为规则,提供安全,阻拦未授权的用户,并且允许授权用户访问特定资源。ACL能阻拦所有无保证的尝试到达网络资源。MAC ACL是第2层ACL网络设备检查帧并且根据帧的内容检查ACL规则。如果其中任一个规则匹配内容,许可证或在帧拒绝动作被采取。MacACL 里面去写mac的范围第一步:配置vlanSwitch(config)#vlan 10,20Sw...
行为管理(锐捷交换篇)
rjxxer的博客
12-13 2476
锐捷交换机,行为管理配置
基于MAC地址的ACL配置
傻傻的心动的博客
05-21 3093
基于MAC地址的ACL配置 MAC ACL的控制范围仅限于局域网内部,在广域网和跨网络通信方面并不起作用。此外,MAC地址可以被伪造或修改,因此对于更高级的网络安全需求,还需要综合使用其他安全措施和技术。
常见的权限模型(ACL、DAC、MAC、RBAC)和权限测试策略
hi_bigbai的博客
10-20 1万+
常见的权限模型 1、ACL 访问控制列表 定义:规定资源可以被哪些主体进行哪些操作。 在ACL权限模型下,权限管理是围绕资源来设定的。我们可以对不同的页面设定可以访问的用户 ​ 2、DAC 自主访问控制 定义:规定资源可以被哪些主体进行哪些操作。同时,主体可以将资源、操作的权限,授予其他主体 在ACL的基础上,DAC模型将授权的权力下放,允许拥有权限的用户,可以自主地将权限授予其他用户。 ​ 3、MAC 强制访问控制 定义:当一个操作,同时满足a与b时,允许操作 a. 规定资源可以被哪些类别的主体进
201003NTWK@利用ACL绑定交换机端口与终端MAC地址
interprold的博客
10-28 1089
201003NTWK@利用ACL绑定交换机端口与终端MAC地址 S 工作区要求除了允许的机器外,其他机器不能通过网线连接网络面板的方式接入网络,且已有机器不允许随意更改位置。于是想到在交换机上设置ACL,只允许特定MAC的包通过。 1 经查询,华为交换机支持二层ACL,其过滤规则可检查MAC帧。 华为交换机二层ACL的编号为4000-4999,编号在此区间的ACL自动建立为二层ACL。 由于工作区环境为瘦客户端连接虚拟机的模式,所以硬件上的位置不会变动。故考虑在每一个端口上设置一个ACL,在入方向上,其
IPv6--ACL6(IPv6访问控制列表--基本ACL6配置
m0_62017216的博客
01-19 1423
HCIE
12 ACL原理配置.pptx
最新发布
07-08
12 ACL原理配置
网络工程实验 配置标准ACL
12-15
知识点1:标准IP ACL原理 标准IP ACL可以对数据包的源IP地址进行检查。当应用了ACL的接口接收或发送数据包时,将根据接口配置ACL规则对数据进行检查,并采取相应的措施,允许通过或拒绝通过,从而达到访问控制...
网络工程实验 配置扩展ACL
12-15
配置扩展 ACL 之前,需要了解扩展 ACL原理配置方法。扩展 ACL 可以根据配置的规则对网络中的数据进行过滤,对数据包的源 IP 地址、目的 IP 地址、协议、源端口、目的端口进行检查。这使得扩展 ACL 能够提供...
见习网工之ACL协议
xiaohan209的博客
04-25 552
ACL简介 Access Control List ,访问控制列表。一是可以用于限制报文传送,二是结合其他协议来匹配范围. 基本ACL 基本acl(2000-2999):只能匹配源ip地址。 ...
基于源MAC地址过滤异常报文的ACL+配置区别
03-28
基于源MAC地址过滤异常报文的ACL+配置区别
端口内基于MAC地址过滤的ACL访问控制
weixin_33910385的博客
09-30 7869
上一次的工程实例我们解决了CISCO3550交换机的某个端口下面如果只连接了一台主机时的端口安全设置方法,即只有指定的主机才能访问网络,其它的主机(以MAC地址为唯一标识)是无法通过CISCO的这个端口访问网络,这种措施虽然有效,但是却有一定的局限性,具体表现为CISCO3550交换机的很多端口下面是连接有交换机,而且还是普通的二层交换机,这也就相当于一个端口下面有多台主机通...
你可能不知道的网工技术—ACL访问控制技术 ,看这篇文章就够了
zhongyuanjy的博客
09-20 874
访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策略部署中被调用、在路由策略中被调用和用来通过流量过滤。规则编号:每条规则都有一个相应的编号,用来标识ACL规则,可以由用户指定;
了解ACL
了解ACL
03-26 386
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。
S5700交换机MAC地址绑定问题
网络管理员
08-03 2821
一台S5700的三层交换机,划分了几个VLAN,使用DHCP动态分发IP地址,拓扑图如下,想实现如下功能: 1、PC1与PC2,可以访问Server1—Server4,可以访问外网; 2、PC3,无法访问Server1—Server4,但是可以访问外网; acl number 3002 description yf&mg+geli rule 900 deny ip destination 10.70.2.0 0.0.0.255 \server1-4网段 traffic classifier
ACL匹配规则
热门推荐
Zuoriqiufeng的博客
08-21 1万+
ACL - 访问控制列表 前言 ACL: Access Control List, 访问控制列表 ACL是一种技术,不是一种协议 ACL就是第一代防火墙技术 ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 本示例中,网关RTA允许192.168.1.0/24中的主机可以访问外网,也就是Internet;而192.168.2.0/24中的主机则被禁止访问Internet。对于服务器A而言,情况则相反。网关允许192.168.2.0/24中的主机访问
华为企业网络设备通过MAC地址关联ACL限制访问
NeverGUM的博客
08-05 4942
实验需求,主机A,B,C同属于vlan10,现在想让主机A和B不能互访,然后主机C可以分别与他们通信。 我们可以通过ACL4000来实现。 拓补图如下 代码如下 LSW1: # sysname test # undo info-center enable # vlan batch 10 # dhcp enable # acl number 4000 rule 5 deny des...
H3C创建基于以太网MAC 地址的访问控制列表
Magicbreaker的专栏
06-23 3742
创建访问控制列表并进入ACL 视图 acl number acl-number删除访问控制列表 undo acl { acl-number | all }创建基于以太网MAC 地址的访问控制规则 rule [ rule-id ] { deny | permit } [ type type-code type-mask | lsap lsap-code lsap-mask ] ] [ s

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值