ACL访问控制列表(HCIA)

已于 2022-06-15 21:43:39 修改
阅读量547 收藏 1
点赞数 1
文章标签: 网络
于 2022-06-14 21:59:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45022073/article/details/125286951
版权

ACL访问控制列表:通过对网络中白问流的精确识别与其他技术相结合(策略路由PBR、IPsec、NAT等等结合使用),达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

功能:

1、流量过滤:有限的互访。

ACL由一系列的permit(允许)或deny(拒绝)语句组成的、有序(顺序)规则列表。

ACL是一个匹配工具,能够对报文进行匹配和区分。

五元组:源目IP、源目端口、协议类型

华为隐藏默认规则是premit。(思科是deny)

[R2]acl 2000

创建ACL2000条目

[R2-acl-basic-2000]rule deny source 1.1.1.1 0.0.0.0

拒绝放行源IP为1.1.1.1的报文

[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

接口启用ACL规则

之前可以通:

接口启用ACL规则2000后不能通:

[R2-acl-basic-2000]rule 4294967294 deny

拒绝放行所有流量

默认拒绝所有可能导致之后运行路由协议报文被拒绝,导致路由无法传递(默认允许还是比较好的 )。

运营商默认允许好,企业网默认拒绝好。

不同场景默认规则也不同(在telnet中vty里默认是拒绝)。

规则编号:一个ACL中每一条规则都有一个相应的编号。

步长:每个编号之间的差值,默认为5,方便旧规则之间插入新的规则。

重新调整步长,像新设定的看齐:

子网掩码:配置IP地址时,配置子网掩码。

反掩码:OSPF配置用到的反掩码,255.255.255.255-子网掩码=反掩码,0代表匹配,1代表忽略,反掩码的0和1是连续的(子网掩码是1和0连续,全255减去掩码都是连续的)。

通配符掩码:ACL用到通配符掩码,0代表匹配,1代表忽略,0和1可以不连续。

报文匹配规则后立即按规则的动作处理,不在继续向下匹配规则。

匹配地址Bit多的规则尽量使用小规则号。

全匹配

ACL分类和标识:

匹配规则:

1、auto(按精确度):自动排序,将规则按照匹配精确度,从高到低进行匹配(管理员不用关系规则的逻辑性)。

2、config(按配置):按照规则号顺序匹配(默认的)

ACL分类:

ACL规则生效时间:

每天9点到下午5点半,周一到周六

高级ACL:凡是定义出来都要匹配是与的意思。

ACL可以针对目标IP地址是组播的。

基本ACL只能针对一个源来做管控,高级ACL可以做更精细化的管控。

二层ACL这个IP是匹配的帧中类型字段取值:

用户ACL是安全里边做了802.1x或者portal认证协议后,由认证服务器自动下发的设备的访问控制列表。

命名ACL:

1、advance高级ACL:

2、basic基本ACL:

ACL的匹配机制:

ACL的匹配位置:

1、inbound入站:只对报文收的接口生效。

2、outbound出站:只对接口发出去的流量生效。

outbonud出站对路由器自己始发的流量不会过滤,只有对穿越流量有效果。

单通的问题:

A---------C------------B

A可以访问B,B不能访问A。

C左边接口入站允许A通信,右边接口入站不允许B通信。

用一个ACL在入站上拒绝就可以实现,但是市场部还能流量到研发能过去,但回不来,但流量单向过去了容易产生风险(DDOS攻击),所以两个接口都用。

基本ACL和高级ACL如何合理使用?

基本ACL定义的是源地址,尽量靠近源配置。

高级ACL尽量靠近目的地配置,一网打尽。

 

数通工程师小明
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ACL 访问控制 过滤数据 维护网络安全(第七课)
qq_56248592的博客
08-31 1058
ACL是Access Control List(访问控制列表)的缩写,是一种用于控制文件、目录、网络设备等资源访问权限的方法。ACL可以对每个用户或用户组设置不同的访问权,即在访问控制清单中为每个用户或用户组指定允许或禁止访问该资源的权限。ACL使得管理员可以更好地控制对资源的访问,并且可以使用户具有更灵活的访问方式。ACL编号: **3000~3999** 条件:**五元组**(源IP/目标IP/协议号/源端口/目标端口)IP地址通配符掩码与IP地址的反掩码类似,也是一个32比特位的数字字符串。
ACL访问控制列表,Access Control Lists)
最新发布
Nove1205的博客
04-22 1896
ACL访问控制列表)相关知识点
ACL访问控制(华为)
热门推荐
ck784101777的博客
07-31 3万+
一、ACL 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 ...
ACL访问控制列表
qq_47175413的博客
06-03 4768
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
ACL 和 NAT
zzzxxx520369的博客
12-15 1070
NAT(Network Address Translator,网络地址转换NAT是一种地址转换技术,它可以将IP数据报文头中的IP地址转换为另一个IP地址,并通过转换端口号达到地址重用的目的。2.NAT工作机制一个数据包从企业内网去往公网时,路由器将数据包当中的 源私网地址 翻译成 公网地址一个数据包从企业外网去往私网时,路由器将数据包当中 目的公网地址 翻译成目的私网地址NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射。
华为HCIA进阶笔记:ACL 访问控制列表
06-20
华为HCIA基础实验 - 基本ACL & eNSP
HCIA-Datacom V1.0 模拟考试
04-15
5. **访问控制列表ACL)**:用于控制网络流量,通过设定规则允许或拒绝特定的数据包通过。 **WLAN(无线局域网)**部分则涉及到: 1. **无线标准**:如802.11a/b/g/n/ac/ax等,理解其速率、频段和覆盖范围的差异...
HCIA-DATAcom.rar
05-08
学习配置IP地址、端口安全、访问控制列表ACL)来实现网络安全。 5. **网络故障排查**:学习使用各种网络诊断工具,如ping、traceroute、tcpdump等,以及如何分析日志和性能监控数据来定位和解决网络问题。 6. **...
HCIA综合实验视频.zip
09-28
HCIA综合实验视频】是华为认证信息技术 associate(HCIA)级别的实践教学资源,主要涵盖了网络基础、交换技术、路由技术、广域网、IP服务、无线局域网(WLAN)部署、访问控制列表ACL)以及网络地址转换(NAT)和...
华为HCIA课程PPT.rar
02-21
ACL(Access Control List)访问控制列表,实现流量过滤与安全控制;QoS(Quality of Service)服务质量,保障关键业务的带宽需求。此外,还将探讨无线网络基础,包括Wi-Fi的工作原理和配置。 通过华为HCIA的系统...
IT知识百科:什么是访问控制列表ACL
网络技术联盟站
03-30 3286
ACL是一种常用的访问控制技术,可以在路由器、交换机、防火墙等网络设备中使用。ACL可以根据管理员的配置,控制网络中流入和流出的数据,提高网络的安全性。ACL具有灵活性强、安全性高、实现简单等优点,但是也存在配置复杂、性能影响、不可扩展等缺点。在使用ACL时,管理员需要根据网络的实际情况,综合考虑其优缺点,选择合适的ACL类型和配置方式,以确保网络的安全性和性能。
迈普路由器访问控制列表配置命令_「实战」安全访问控制列表ACL,一分钟了解下...
weixin_33362096的博客
01-11 1618
一、认识ACLA、访问控制列表(ACL)是应用在路由器接口的指令列表。随着网络应用及技术的日益发展,在一些核心的路由交换机,甚至边缘交换机上也应用了这一技术,以期在网络的各个部分实现分布式的有效的控制。ACL 指令列表用来告诉路由器(交换机)哪些数据报可以接收、哪一些需要拒绝。至于是接收还是被拒绝,可以由类似源地址、目的地址、端口号等的特定条件来决定。B、ACL 通过在访问控制列表中对目的地址进行...
与华为交换机用access_学校机房项目交换机的配置,理解这篇,交换机配置不再难...
weixin_39733812的博客
12-05 172
前面我们发布了关于锐捷交换机配置相关命令,其实不论是华为,还是思科,以及h3c和锐捷,他们命令的配置原理都是一样的,只是小部分表示的命令有不同,理解了一家的交换机配置方式,那么其它的厂家的配置命令也能直接套用,本期我们就通过一个实际项目案例来详细了解交换机的配置,都有注释。学校项目配置案例某校计算机系承办市中考电脑阅卷任务,市教育局要求学校提供四百台电脑供改卷教师使用,同时需要4台配置性...
ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。
运维派大星
09-02 7689
ACL访问控制列表、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。ACL匹配机制详解。ACL的分类与标识,各种ACL的作用区别
ACL-访问控制列表
yan_0916的博客
08-27 2万+
目录 一.概述 二.访问控制列表的调用的方向 三.策略做好后,在入接口调用和出接口调用的区别 四.访问控制列表的处理原则 五.访问控制表类型 总结 一.概述 作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤 三层头部信息:源、目的IP 四层头部信息:源、目的端口号 二.访问控制列表的调用的方向: 入:流量将要进入本地路由器,将被本地路由器处理 出:流量已经被本地路由器处理,将离开本地路由器 三.策略做好后,在入接口调用和出接口..
访问控制列表——ACL
sunboy_guo的博客
05-17 3万+
1.ACL简介 当需要针对数据流量或者报文进行一些过滤的时候,需要一个抓取要过滤的工具。类似于过滤石灰粉和石子的过程,那么我们是需要一个滤网或者其他的过滤工具来进行筛选。经过筛选获取到的石子,是丢弃还是用作其他用途,并不是过滤工具来决定的,它是取决于调用工具的时候,来判断,是否需要这些石子,或者丢弃。 ACL访问控制列表)就提供了类似于滤网的功能,它可以精准匹配到想要抓取的报文或者流量,然后在不同的场景下,去应用ACL的功能。 2.ACL的组成 AC...
访问控制列表ACL)详细讲解
一起努力共同进步,为了未来一起奋斗吧!
09-27 3323
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
访问控制列表(ACL)
.銀河狙擊手的博客
10-25 687
目录 1.ACL访问控制列表 2.访问控制列表在接口应用的方向 3.访问控制列表的过程 4.ACL的工作原理及种类 (1)ACL的工作原理 (2)ACL的种类 5.ACL的应用规则 1.ACL访问控制列表 读取第三、四层包头信息 根据预先定义好的规则对包进行过滤 IP报头+TCP报头+数据 IP报头为源地址和目的地址 TCP报头为源端口和目的端口 访问控制列表就是利用这四个元素定义的规则 2.访问控制列表在接口应用的方向 出: 已经过路由器的处理,正离开路由器接口的数据包。 入:已..
ACL原理与配置(一、前言 二、ACL概述 三、ACL的组成实验演示通配符(1)通配符(2) ACL的分类与标识ACL基本配置 ACL高级配置​编辑)
qq_53235556的博客
09-16 1695
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。技术背景:ACL就是实现流量过滤的工具 中文名叫做访问控制列表1.ACL是由一系列permit(允许)或deny(拒绝)语句组成的、有序(有次序的)规则的列表列表代表在一个ACL中可以有多个规则)。2.ACL是一个匹配工具,能够对报文进行匹配和区分。(匹配就是我们就ACL来对报文的特征做出个定义;区分就是识别的意思)ACL应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

数通工程师小明

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值