ACL常用的匹配项

已于 2022-09-05 18:17:58 修改
阅读量4.7k 收藏 13
点赞数 3
文章标签: p2p 网络协议 网络
于 2022-05-29 07:18:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32044265/article/details/125026463
版权
交换机的访问控制列表(ACL)匹配项包括生效时间段、IP承载的协议类型、源/目的IP地址及其通配符掩码、源/目的MAC地址及其通配符掩码、VLAN编号及其掩码、TCP/UDP端口号、TCP标志信息和IP分片信息。通过这些匹配项,可以精细化控制网络流量,实现不同时间段和不同条件下的策略设置。
摘要由CSDN通过智能技术生成

交换机支持的ACL匹配项种类非常丰富,其中以下的几个匹配项比较常用

生效时间段

ACL的生效时间段可以规定ACL规则在何时生效,从而实现在不同的时间段设置不同的策略。

在ACL规则中引用的生效时间段存在两种模式:

  1. 周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。

  2. 绝对时间段:从某年某月某日的某一时间开始,到某年某月某日的某一时间结束,表示规则在这段时间范围内生效。

同一名称(time-name)配置多条时间段时,通过以下规则选出最终生效的时间范围:

  1. 多个周期时间段之间是或的关系,多个绝对时间段之间也是或的关系。

  2. 周期时间段和绝对时间段之间是与的关系。

  3. 如果周期时间段和绝对时间段之间冲突,配置的时间段不生效。

例如,在ACL 2001中引用了时间段“test”,“test”包含了三个生效时间段:

time-range test 8:00 to 18:00 working-day

time-range test 14:00 to 18:00 off-day

time-range test from 00:00 2014/01/01 to 23:59 2014/12/31

acl number 2001

rule 5 permit time-range test

时间段“test”最终描述的时间范围为:2014年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。

如果第三个时间配置为2014年1月1日19:00起到2014年12月31日21:00,则时间段“test”无效。

 IP承载的协议类型

格式:protocol-number | icmp | tcp | udp | gre | igmp | ip | ipinip | ospf

高级ACL支持基于协议类型过滤报文,常用的协议类型如下表所示。

协议类型

协议编号

ICMP

1

TCP

6

UDP

17

GRE

47

IGMP

2

IPinIP

4

OSPF

89

源/目的IP地址及其通配符掩码

源IP地址及其通配符掩

最低0.47元/天 解锁文章
阿豪的笔记
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
访问控制列表-ACL匹配规则
weixin_30412013的博客
10-22 7138
1、ACL匹配机制 首先,小编为大家介绍ACL匹配机制。上一期提到,ACL匹配报文时遵循“一旦命中即停止匹配”的原则。其实,这句话就是对ACL匹配机制的一个高度的概括。当然,ACL匹配过程中,还存在很多细节。比如,ACL不存在系统会怎么处理?ACL存在但规则不存在系统会怎么处理?为了对整个ACL匹配过程展开详细的介绍,小编画了一张ACL匹配流程图,相信对大家理解ACL匹配机制能有所帮助。 ...
端口号资料
in_the_sight_of的博客
11-29 1111
  TCP/UDP端口号 源端口号格式:source-port { eq port | gt port | lt port | range port-start port-end } 目的端口号格式:destination-port { eq port | gt port | lt port | range port-start port-end } 在高级ACL中,当协议类型指定为TCP...
计算机网络基础知识
cheng的博客
05-12 1505
一、网络基础知识 1、OSI 开放式互联参考模型 当前市面上分别存在:四层、五层、七层协议,而国际标准化组织 ISO 制定的 OSI 七层协议模型,是业界提出来的概念性框架: 先自上而下,后自下而上处理数据头部 从应用层开始,都会对传输的数据头部进行处理,加上本层的一些信息,最终,由物理层通过以太网、电缆等介质,将数据解析成比特流,在网络中传输。 数据传输到目标地址后,并自底而上的将先前对应的头部解析分离出来,这个就是网络数据处理的流程。 2、TCP/IP OSI 是一个定义良好的协议规范机制,并有许多
ACL原理与配置
最新发布
J_JJD的博客
07-15 989
登录控制telnet、ftp、http等报文转发进行过滤路由过滤(的匹配
iptables工具__过滤包—命令(-A、-I、-D、-R、-L等)、参数(-p、-s、-d、--sport、--dport、-i、-o等)、动作-j (ACCEPT、DROP、REJECT、RED
tanyjin的博客
04-25 1444
iptables 指令 语法:          iptables [-t table] command [match] [-j target/jump]          -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,           当未指定规则表时,则一律视为是 filter。 各个规则表的功能如下:  
重拾路由交换之acl配置说明(一)
朝屯暮蒙vi的博客
06-26 671
思科: 出:已经过路由器的处理,正离开路由器的数据包。 入:已到达路由器接口的数据包。将被路由器处理。 出入两个方向,应用在端口上面。acl做顺序匹配匹配即停止,不匹配则使用默认规则的方式来过滤数据包。 一、标准访问控制列表 标准访问控制列表:根据数据包的源IP地址来允许或拒绝数据包,标准访问控制列表的访问控制列表号是1-99。 (一)语法及说明 创建标准ACL的语法如下: Router(config)#access-list access-list-number {permit|d.
网络安全——【收藏】网络设备安全加固规范
Jay
12-19 1180
如非要采用HTTP服务,要求对HTTP服务进行严格的控制,如果必须选择使用HTTP进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证,修改HTTP的默认端口。路由器以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置路由器,只允许特定主机访问。出现问题时,对设备的维护工作仍可正常进行,建议保留必要的维护用户。
华为路由器 高级ACL配置
一直被模仿,从未被超越
03-26 3355
(2)Client2 无法访问 Server1服务器 HTTP 80端口。(1)Client1 无法访问 PC3。3、路由器设置 高级ACL。1、交换机 SW1 设置。2、路由器 R1 设置。
ACL.rar_ACL
09-21
- **最长匹配原则**:当多个规则可以匹配一个数据包时,选择匹配最具体的规则执行。 - **拒绝默认**:如果没有匹配的规则,那么默认的动作通常是拒绝数据包。 - **只匹配一次**:一旦数据包匹配到一条规则,就不会...
ACL访问控制列表,基于流量抓取
10-19
ACL的规则由编号、动作和匹配组成。规则编号是唯一标识一条规则的数字,范围是0到4294967296。动作包括"permit"(允许)和"deny"(拒绝),决定了匹配规则的数据包的命运。匹配则包括了网络通信的关键元素,如源...
ACL和prefix-list抓取路由条目解析.doc
08-20
然而,ACLs的一个局限性在于它们不考虑掩码长度,这意味着对于不同掩码长度的相同前缀,如10.1.1.0/24、10.1.1.0/25等,一个ACL只能匹配到最长匹配的前缀,即/24的子网。 为了更精确地控制路由条目,我们可以使用...
十分钟带你了解你不知道的ACL访问控制技术
03-26 2661
##前言 访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。它类似于一种数据包过滤器。 ####1.为什么需要ACL技术? 当某个局域网中需要使某些主机无法访问指定的资源,时就需要这么一个技术实现流量的过滤,如下图所示,某公司为保障财务部数据安全,机制研发部门访问财务部服务器,但总裁办公室不受影响: ####2.ACL介绍 ACL是由一系列perm
华为交换机常见的ACL操作
Tony_long7483的博客
10-26 1万+
常见的ACL操作 1.删除生效时间段:需要先删除关联生效时间段的ACL规则或者整个ACL [HUAWEI] acl 2001 [HUAWEI-acl-basic-2001] undo rule 5 //先删除rule [HUAWEI] undo time-range time1 //在删除时间段 [HUAWEI] undo acl 2001 //先删除ACL [HUAWEI] undo time-range time1 //在删除时间段 2. 配置基于时间的ACL规则 [HUAWEI] time-r
ACL实验
dark_rabbit的博客
07-25 195
outbound Apply ACL to the outbound direction of the interface //出栈。inbound Apply ACL to the inbound direction of the interface //进站。三、pc2不能登录AR1,不能ping通AR2。[R1]aaa//存储帐户密码。
学习日记Day27:ACL原理与配置
qq_40909772的博客
08-13 3443
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
ACL技术配置
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
10-31 1万+
ACL华为命令 1.基本ACL配置 [Huawei]acl number 2000 ###创建acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加) [Huawei] interface GigabitEthernet 0/0/1 [ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254
华为交换机ACL的配置规则及实例
热门推荐
ChaseAug的博客
11-12 3万+
ACL(访问控制列表)的应用原则: 标准ACL,尽量用在靠近目的点 扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源) 方向:在应用时,一定要注意方向 ACL分类 基本ACL #范围为2000~2999 可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则 高级ACL #范围为3000~3999 既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则 二层ACL #
常见蠕虫病毒介绍极其对应的ACL配置策略
weixin_34075551的博客
04-22 487
本文大部分摘自于网络,不过整理到一起而已。 更多的攻击详细介绍,请参考 《Eudemon防火墙安全防范介绍》,请联系当地用服,从用服服务器上获取。目前网络蠕虫病毒是当前网络最大的危害,是造成当前很多网络堵塞的重要原因。但是目前发现的这些蠕虫病毒,容易被防火墙识别出这些被感染的计算机,因为它具有比较明显的地址扫描和连接特征,Eudemon防火墙支持黑名单功能,可以通过显示黑名单列表功能直接查看哪些设...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值