ACL的应用与ENSP配置

已于 2024-03-29 09:23:12 修改
阅读量1.4k 收藏 24
点赞数 30
文章标签: 网络 服务器 运维
于 2024-03-05 16:27:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18296979/article/details/136482244
版权

目录

ACL的定义

ACL的功能

访问控制列表的调用方向

访问控制列表类型

1、标准访问控制列表

2、扩展访问控制列表

访问控制列表的处理原则

ENSP调用命令

经典案例

tip:RFC 1918私有地址空间

ACL的定义

ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。

img

ACL的功能

1、ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。

2、ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。

3、ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。

4、ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。又例如:某部门要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。

访问控制列表的调用方向

入:流量将要进入本地路由器,将被本地路由器处理

出:已经被本地路由器处理过了,流量将离开本地路由器策略做好后,在入接口调用和出接口调用的区别

入接口是对本地路由器生效

出接口对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效

访问控制列表类型

1、标准访问控制列表

只能基于源IP地址进行过滤

标准访问控制列表号是2000-2999

调用原则:靠近目标

2、扩展访问控制列表

可以根据源IP、目标IP,TCP/UDP协议,源、目端口号进行过滤

相比较标准访问控制列表,流量控制的更加进准

调用原则:靠近源

扩展访问控制列表号是3000-3999

访问控制列表的处理原则

1、路由条目只会匹配一次

2、路由条目在ACL访问列表中匹配顺序是从上往下匹配的

3、ACL访问控制列表隐含一个拒绝所有

4、ACL访问控制列表至少要放行一条路由条目

ENSP调用命令

ensp:traffic-filter outbound acl 2000 应用规则 路由器出方向就是outbound 进路由器就是inbound

rule deny icmp source 192.168.10 0.0.0.255 destination 192.168.3.30 0
rule:创建规则 固定格式
deny:拒绝
icmp:拒绝网络层ICMP协议
source:192.168.1.0
destination:目的地地址
rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port
eq 80
rule:创建规则的固定格式
permit:允许tcp
source:192.168.3.30
destination:192.168.3.30
destination-port:目的端口号
eq 80:端口号为80

在R2上配置高级ACL,拒绝PC1、PC2ping通PC4,但是允许其http访问PC4.

  1. acl 3000:进入编码3000的高级acl;
  2. rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0:自定规则,拒绝ip网络位为192.168.10的ICMP协议的数据到172.16.10.0主机上;
  3. int gi 0/0/1;
  4. traffic-filter outbound acl 3000:在接口的出方向调用acl3000;

经典案例

案例一:

匹配192.168.1.1单个IP地址

acl 2000
rule 5 permit source 192.168.1.1 0

案例二:

匹配192.168.1.0/24整个网段的地址

acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255

案例三:

匹配192.168.1.0/24整个网段的地址,拒绝192.168.2.0/24网段的地址

acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
rule 10 deny source 192.168.2.0 0.0.0.255

案例四:

匹配192.168.1.0,192.168.1.1,192.168.1.2,192.168.1.3

acl 2000
rule 15 permit source 192.168.1.0 0.0.0.3

ACL规则的标准是精确匹配,简化规则,虽然也可以写4条permit规则,但是地址过多的时候,工作量剧增,因此可以通过通配符整合为一条规则。

分析:

192.168.1.0192.168.1.00000000
192.168.1.1192.168.1.00000001
192.168.1.2192.168.1.00000010
192.168.1.3192.168.1.00000011
通配符0.0.0.3

由于4个地址的前30位都是不变的,只有后面两位是变动的,因此通配符位0.0.0.3

案例五:

匹配192.168.1.12——192.168.1.19

acl 2000
    rule 5 permit source 192.168.1.12 0.0.0.3 
    rule 10 permit source 192.168.1.16 0.0.0.3

分析:

192.168.1.12192.168.1.00001100
192.168.1.13192.168.1.00001101
192.168.1.14192.168.1.00001110
192.168.1.15192.168.1.00001111
192.168.1.16192.168.1.00010000
192.168.1.17192.168.1.00010001
192.168.1.18192.168.1.00010010
192.168.1.19192.168.1.00010011

由于12-15之间不变的位相同,16-19之间不变的位相同,由于是两个不同的不变位,所以没办法集合位一条规则进行匹配,因此需要两条规则。

12-15的前缀和通配符为:192.168.1.12 0.0.0.3

16-19的前缀和通配符为:192.168.1.16 0.0.0.3

案例六:

匹配192.168.1.0/24的奇偶数地址

acl 2000
    rule 5 permit source 192.168.1.0 0.0.0.254 ----仅匹配偶数地址
acl 2001
    rule 5 permit source 192.168.1.1 0.0.0.254 ----仅匹配奇数地址

案例七:

匹配除了RFC1918以外的其他地址

acl number 2000  
 rule 5 deny source 10.0.0.0 0.0.0.255 
 rule 10 deny source 172.16.0.0 0.15.255.255 
 rule 15 deny source 192.168.0.0 0.0.255.255 
 rule 20 permit

tip:RFC 1918私有地址空间

因特网域名分配组织IANA组织(Internet Assigned Numbers Authority)保留了以下三个IP地址块用于私有网络。

10.0.0.0 - 10.255.255.255 (10/8比特前缀)

172.16.0.0 - 172.31.255.255 (172.16/12比特前缀)

192.168.0.0 - 192.168.255.255 (192.168/16比特前缀)

划过手的泪滴t
关注
  • 30
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于eNSP模拟器的路由器ACL配置
不怕死的假老练
08-05 4527
一、简介 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 二、功能 需要实现流量的控制,匹配感兴趣的流量。 三、分类 根据使用列表的列表号,系统按照表号的不同,分为两类: 1.编号范围2000-2999,基本ACL(标准ACL)。基于源IP地址进行过滤。 2.编号范围3000-3999,高级ACL
第十一课:eNSP ACL应用教程
qq_41555586的博客
12-21 1372
ACL是访问控制列表(Access Control List)的简写,中文名称叫做“访问控制列表”。它是由一系列条件规则(即描述报文匹配条件的判断语句)组成,这些条件规则可以是报文的源地址、目的地址、端口号等,是一种应用网络设备各种软硬接口上的的指令列表。ACL本质上是一种报文过滤器,规则是过滤器的滤芯(一般是基于通信五元素进行过滤)。设备可以根据读取的第二、三层的包头信息,根据预先定义好的规则对包进行过滤。通信五元素:源IP地址、目的IP地址、源端口、目的端口、协议(四元素则去掉协议)。
华为ensp中高级acl (控制列表) 原理和配置命令 (详解)_ensp高级acl配置示例
最新发布
2401_84296945的博客
05-08 1680
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
华为ensp配置ACL
2301_77324496的博客
06-21 1万+
基础ACL和高级ACL配置
ENSP实验:配置ACL
omh164052427的博客
12-23 4730
原理:访问控制列表(ACL)是一种基于包过滤的网络控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用的路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全 准备:2台服务器,2台客户端,2台交换机,1台路由 先划分好网段,配置服务器,客户端的网址,我们的实验目标是,让财务客户端能访问web,不能访问ftp,让市场可以访问ftp,不能访问web,所以,我们开启对应的服务(注意:只需开启对应服务,如ftp服务器
ENSP配置ACL
ngc2244的博客
05-10 1214
各个部件重命名为图示的忽略,不会的可看【集成ENSP】下的其他文章。网络中出现环路,将R2的G0/0/0接口阻塞后环路消失。步骤三ping时出现。另:路由器用AR系列。
华为ensp中基本acl 原理及配置命令(详解)
博客之路,前途漫漫
04-05 4312
华为ensp中的基本acl是指华为设备中用于控制网络访问的访问控制列表的其中一种类型。基本acl可以根据数据包的源IP地址进行过滤,配置简单,但功能有限。ACL的匹配规则。
华为eNSP:ACL配置-访问控制技术
qq_59718828的博客
10-06 1万+
华为eNSP配置高级ACL
华为s5700vlan划分和acl配置命令.docx
09-11
详细解答华为S5700交换机, VLAN划分 和 ACL配置命令,非常适合新手
第十一课:eNSP ACL应用教程-acl应用ensp工程
12-21
acl配置ensp工程
eNSP 华为模拟器】小型校园网模拟环境的设计与配置(2)ACL应用
07-22
概要:可应用策略路由、或者访问控制列表ACL,完成以下的访问控制要求:假定在CLIENT3计算机上装载WEB服务器程序,提供WEB网页访问服务。在CLIENT11计算机上加载FTP服务器程序,提供FTP文件上下载服务。
eNSP实验9-1 NAT配置应用
01-28
eNSP实验9-1 NAT配置应用 本实验旨在掌握基本NAT配置方法,并了解NAT在网络中的应用。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,用于解决IPv4地址空间不足的问题。 一、NAT...
华为ACL配置.zip
03-08
配置文档包含基本ACL、高级ACL以及它们在实际网络环境中的综合应用。 1. 基本ACL: 基本ACL基于源IP地址进行过滤,通常称为编号ACL。在华为设备中,1000-3999号段用于用户自定义的基本ACL。基本ACL可以实现如只...
ensp ACL访问控制列表配置
热门推荐
qq_45631844的博客
09-25 2万+
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全 -----------来源百度百科 ACL的分类 基本ACL(2000-2999) 根据源地址来进行访问控制 高级ACL(3000-3999) 可以根据源地址、目标地址、源端口号等来进行访问控制 基本ACL配置 注:我们在不管在配置什么ACL的时
基于enspacl的基础配置
c_h_C_H的博客
08-20 493
要求: vlan10,vlan20中的PC3不能访问服务器 vlan 20中的PC2可以访问服务器 PC1: 192.168.10.1 网关: 192.168.10.254 PC2: 192.168.20.1 网关:192.168.20.254 PC3: 192.168.20.2 网关:192.168.20.254 服务器:172.17.5.100 网关:172.17.5.254 [LSW1] vlan batch 10 20 100 int g0/0/1 ...
华为eNSP配置标准ACL
嘻嘻哥哥~的博客
02-20 7158
int gi0/0/0 #进入接口gi0/0/0中。int gi0/0/0 #进入接口gi0/0/0中。int gi0/0/0 #进入接口gi0/0/0中。[R2]int GigabitEthernet 0/0/0 #进入接口gi0/0/0中。[R2]int GigabitEthernet 0/0/1 #进入接口gi0/0/1中。
ACL配置学习(附练习题)------ensp
149527
04-16 1075
从此文了解ACL配置,欢迎学习、指导。
2024年网络安全最全pygame学习(二)——绘制线条、圆、矩形等图案_pygame(1),阿里P7亲自讲解
2401_84300255的博客
05-06 942
需要完整版PDF学习资源私我sys.exit()#python的退出程序import pygame #导包import syspygame.init() #初始化#绘制一个600*600的框框。
ACLensp上怎么配置
05-05
要在 ENSP配置 ACL(访问控制列表),请按照以下步骤操作: 1. 打开 ENSP 并选择要配置 ACL 的交换机。 2. 在拓扑图中选择该交换机,然后单击“配置”按钮。 3. 在“配置”菜单中,选择“ACL”选项卡。 4. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值