基本ACL和高级ACL

最新推荐文章于 2024-06-01 11:48:48 发布
最新推荐文章于 2024-06-01 11:48:48 发布
阅读量7.6k 收藏 65
点赞数 7
分类专栏: 网络命令集合 文章标签: 网络 linux 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50981675/article/details/123145225
版权
  • ACL的分类
ACL的类型编号范围规则制定的主要依据
基本ACL2000~2999报文的源IP地址等信息
高级ACL3000~3999报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息
二层ACL4000~4999报文的源MAC地址、目的MAC地址、IEEE802.1p优先级、数据链路层协议类型等二层信息
用户自定义ACL5000~5999用户自定义报文的偏移位置和偏移量、从报文中提取出的相关内容等信息

一、基本ACL的配置

基本ACL的命令格式
rule [rule-id] {permit|deny} [source {source-address source-wildcard|any} |fragment |logging | time-range time-name]

对命令中各个组成项的解释如下
(1)rule :表示这是一个规则
(2)rule-id :表示这条规则的编号
(3)permit|deny :是一个“二选一”选项,表示与这条规则相关联的处理动作。deny命令表示“拒绝”;permit表示“允许”。
(4)source :表示源IP地址信息
(5)source-address :表示具体的源IP地址。
(6)source-wildcard :表示与source-address 相对应的通配符。source-wildcard和source-address结合使用,可以确定一个IP地址的集合。特殊情况下,该集合中可以包含一个IP地址。
(7)any:表示源IP地址可以是任意地址
(8)fragment :表示该规则只对非首片分片报文有效。
(9)logging :表示需要对匹配该规则的IP报文进行日志记录。
(10)time-ranr time-name : 表示该规则的生效时间段为time-name

实验案例

拓扑图
在这里插入图片描述
要求:外来人员办公区无法接收到财务部办公区的报文。

(1)主机和路由器基本配置,实现全网通

  • 外来人员办公区的主机
    在这里插入图片描述

  • 财务部办公区的主机
    在这里插入图片描述

  • 项目部办公区
    在这里插入图片描述

  • 路由器的接口配置IP地址

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.3.1 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.1 24
[R1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.2.1 24

测试一下连通性

在这里插入图片描述

(2)基本ACL配置

  • 创建一个编号为2000的基本ACL
[R1]acl 2000
[R1-acl-basic-2000]rule deny source 192.168.2.1 0.0.0.0    ## 拒绝放行源IP地址为192.168.2.1的IP报文
[R1-acl-basic-2000]quit
  • 使用报文过滤技术中的【traffic-filter】命令将ACL 2000应用到路由器R1的GE0/0/0接口的出方向上。
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
[R1-GigabitEthernet0/0/0]quit

一、高级ACL的配置

高级ACL的命令格式
rule [rule-id] {permit|deny} ip[destination{destination-adress destination-wildcard |dany}] [source{source-adress source-wildcard}| any]

对命令中格式组成项的解释
(1)destnation 表示目的IP地址信息
(2)destination-address 表示具体的目的IP地址
(3)destination-wildcard 表示与destination-address相对应的通配符
(3)destination-wildcard与destination-address结合使用,可以确定一个IP地址的集合。特殊情况下,该集合可以包含一个IP地址。

实验案例

拓扑图
在这里插入图片描述
要求:外来人员无法接收到来自财务部的报文
前面的基本配置和基本ACL一样

  • 高级ACL的配置
[R1]acl 3000
[R1-acl-adv-3000]rule deny ip destination 192.168.2.1 0.0.0.0
[R1-acl-adv-3000]quit

[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/0]quit
月亮归我了
关注
  • 7
    点赞
  • 65
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基本ACL高级ACL
weixin_33763244的博客
03-04 1万+
ACL:Acess Control List,即访问控制列表。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。 信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段 AC...
ACL基本介绍
qq_32044265的博客
05-29 8111
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。每条规则描述报文匹配条件(报文的源地址、目的地址、端口号等)的判断语句,设备基于这些规则进行报文匹配,可以过滤出特定的报文 ACL配置完成后,必须应用在业务模块中才能生效,设备根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 ACL的组成 一条ACL的结构组成,如图1所示。 图1 ACL的结构组成 ACL名称:通过名称来标识ACL,更加方便记忆,这种ACL,称为命名型ACL。 命名型AC
访问控制列表之基本ACL高级ACL高级ACL之ICMP、高级ACL之telnet
weixin_64107161的博客
01-27 9294
在学习ACL(访问控制列表)之前首先要理解一下三个问题: 一、ACL的作用,以及不同类型的ACL的区别是什么? ACL的作用是:匹配感兴趣的数据包。 ACL分为基本ACL高级ACL基本ACL,只能匹配数据包的源IP地址,匹配数据不精准; 高级ACL,可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号,匹配数据包更加精准。 二、基本ACL高级ACL在应用过程中的最佳调用位置: 基本ACL,匹配数据不精准,所以调用在距离目标设备近的端口上; 高级ACL,匹配数据精准,所以调
基本acl高级acl的简介及其配置
最新发布
weixin_45473993的博客
06-01 1921
基本acl以及高级acl的简介
基本ACL,高级ACL
q1y2y3的博客
03-21 1325
ACL:访问控制列表※是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;※ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能(此功能侧面可以说明ACL可以提高网络的安全性),针对AC所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调令ACL来进行报文过滤),ACL只是一个匹配用的工具;※ACL除了能够对报文进行匹配,还能够用于匹配路由;
计算机网络基础(十)----ACL的操作使用
我的博客
03-21 3898
ACL 是访问控制列表通信的五元素:源ip地址、目的ip地址、源端口号、目的端口号和协议ACL的作用是:1、对数据包做访问控制(丢弃或者放行)2、结合其他协议进行匹配如图所示,访问列表的处理过程:不管他有多少的工作规则,从上往下依次匹配,只要陪陪到了则立刻停止,执行该匹配的选项。
网络基础学习(第八章):ACL原理及配置
weixin_42054864的博客
06-06 2300
一、ACL访问控制列表1.1 ACL的两种作用:● 用来对数据包做访问控制(丢弃或者放行)● 结合其他协议,用来匹配范围1.2 访问控制列表● 读取第三层,第四层包头信息● 根据预先定义好的规则对包进行过滤1.3 访问控制列表在接口应用的方向● 出: 已经过路由器的处理,正离开路由器接口的数据包。● 入:已到达路由器接口的数据包,即将被被处理。注:数据是有去又回的,进的是进口,回来的时候就是出口,出的是出口,回来的时候就是进口。
基本ACL高级ACL配置
wang94620的博客
04-07 4243
我们先来了解ACL的作用 什么是ACL 访问控制列表( Access Control List , ACL )是应用在路由器接口的指令列表 读取第三层、第四层报文头信息 根据预先定义好的规则对报文进行过滤 ACL的规则 每个ACL可以包含多个规则,路由器根据规则对数据流量进行过滤 华为基本ACL -基于源IP地址过滤数据包 -列表号是2000~2999 华为高级ACL -基于源IP地...
基本ACL高级ACL.topo
11-10
该实验能够让你简单的理解基本ACL高级ACL的基础。ACL是一种应用非常广泛的网络技术。ACL技术总是与防火墙、路由策略、流量过滤、QoS等其它技术结合使用。
9.4-基本ACL高级ACL(下)
04-20
在本节教程“9.4-基本ACL高级ACL(下)”中,我们将深入探讨网络访问控制列表(Access Control Lists, ACLs)的应用,尤其是Cisco IOS设备上的配置。ACLs是网络安全策略的重要组成部分,用于控制网络流量,允许或...
9.3基本ALC和高级ACL(上)
04-19
本教程主要聚焦于基本ALC和高级ACL的使用,尤其适用于模拟平台ENSP(Enterprise Network Simulation Platform)。ENSP是一个由华为公司开发的网络仿真软件,它允许用户在虚拟环境中测试和学习各种网络技术。 首先,...
华为Ensp,基本ACL高级ACL,三层ACL,二层ACL,命名ACL配置大全.doc
06-16
华为Ensp,基本ACL高级ACL,三层ACL,二层ACL,命名ACL配置大全.doc
ACL配置
09-27
ACL主要有两种类型:基本ACL高级ACL基本ACL主要基于源IP地址进行匹配,只能检查数据包的来源,因此在匹配数据包时可能不够精确。然而,其执行速度快,通常被配置在距离目标设备较近的位置,以便在数据包接近目的...
高级ACL的基础配置命令
qq_23930765的博客
01-11 4682
它的基本原理是:配置了ACL网络设备根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对匹配上的报文执行事先设定好的处理动作。处理动作的不同以及匹配规则的多样性,使得ACL可以发挥出各种各样的功效。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。主要介绍了ACL的相关技术知识,包括:ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL基本配置及应用。在基本ACL视图下,通过此命令来配置基本ACL的规则。
华为ACL配置(基本ACL+高级ACL+综合应用)
Ablimit17的博客
12-21 7288
R3-acl-adv-3000]rule 20 permit tcp source 14.1.1.1 0 destination 15.1.1.1 0 destination-port eq 80 // 允许 14.1.1.1 仅能访问 15.1.1.1之间的 web 流量。[R2-acl-adv-3000]rule 10 permit ip source 11.1.1.1 0 destination 10.1.1.1 0 //允许11.1.1.1和10.1.1.1之间的所有流量。
网络ACL原理与配置
m0_70893463的博客
06-06 5208
3000-3999 高级acl,可以匹配源ip和目标ip、源端口和目标端口、三层和四层的协议字段(三层:icmp,arp。四层:udp,tcp)虽然划分了vlan,但是不是流量控制,只是单纯的划分了广播域,而且通过三层交换机或者单臂路由还能实现不同vlan之间的通信,要求1:允许pc1访问pc3 pc1访问192.168.2.0/24(pc1能ping通pc3,其他pc不能)所以最后一位都是1是固定的,固定的位置是0,前面的都会变,所以结果是11111110 十进制为254。
ACL原理与类型、基本ACL高级ACL
weixin_45059947的博客
09-11 6029
ACL(Access Control List),访问控制列表主要用于在总舵类型的数据包中,匹配/抓取感兴趣的数据列表中可包含多个规则,不同规则通过规则号进行区分每个规则都包含:动作和条件 两部分内容动作分为:允许(permit)和拒绝(deny)条件分为:地址(address)和通配符(wildcard bits)ACL必须先配置,再调用,并且在端口调用时时有方向的Source,表示当前规则检查的是数据包的‘源’地址源IP地址,表示源IP地址的范围。
ACL介绍及基本命令配置
m0_74412260的博客
03-21 7048
ACL:又称访问控制列表,它只是一个匹配用的工具,用于过滤经过接口的数据包,根据规则要么放通,要么丢弃。
防火墙包过滤策略设计 实现基本ACL高级ACL防火墙,分析DMZ网络原理
05-31
防火墙包过滤策略设计: 防火墙是一种网络安全设备,它通过控制网络通信流量来保护网络免受未经授权的访问和攻击。防火墙的工作原理是基于包过滤,即检查进入和离开网络的数据包,根据预定义的规则决定是否允许通过。设计防火墙的包过滤策略包括以下步骤: 1. 定义安全策略:定义网络中允许和禁止的通信规则,例如允许内部网络向外发送电子邮件,但不允许外部网络向内部网络发送不受请求的数据包。 2. 实现基本ACLACL(Access Control List)是指基于IP地址和端口号等网络层和传输层信息的过滤规则。实现基本ACL需要定义允许和禁止的源地址、目标地址、协议类型和端口号等条件,以便过滤网络流量。 3. 实现高级ACL高级ACL是指基于应用层信息的过滤规则,例如HTTP请求和响应中的URL和HTTP头信息等。实现高级ACL需要深入了解应用协议,确定允许和禁止的应用层行为,以便过滤网络流量。 4. 测试和修改:测试和修改防火墙策略以确保它们符合预期,并且没有不必要的限制或漏洞。 DMZ网络原理: DMZ(Demilitarized Zone)网络是指位于防火墙内部和外部之间的区域,用于部署对外提供服务的服务器。DMZ网络的主要原理是将对外提供服务的服务器放置在防火墙的外部网络中,同时使用防火墙规则限制对内部网络的访问。这样可以提高网络的安全性,防止攻击者直接攻击内部网络,并且允许对外提供服务的服务器与内部网络进行通信,以提供必要的服务。在DMZ网络中,通常需要使用额外的防火墙规则和安全措施来保护对外提供服务的服务器,例如使用反向代理、入侵检测系统和日志记录等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值