HCIA学习笔记#7-1

已于 2022-06-13 19:33:53 修改
阅读量114 收藏
点赞数
分类专栏: HCIA学习笔记 文章标签: 学习 网络
于 2022-06-13 19:31:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58176717/article/details/125265444
版权

第七天

补充遗漏点:

路由器的一个接口包括两个方向,流量进入和流量发出

ACL访问控制列表

1.访问控制,在路由器流入或流出的接口上,匹配流量,然后执行设定好的动作。
(permit--运行,deny--拒绝)

2.抓取感兴趣流:ACL的另一个作用就是和其他服务结合。ACL负责按照事先制定的规则抓取流量,而其他服务对匹配到的流量执行相应的动作。

ACL的匹配规则,自上而下,逐一匹配。匹配上就按照对应的动作来执行,不再向下匹配。

不同设备体系有不同的默认规则

思科体系设备,ACL列表末尾隐含了一条拒绝所有的规则。
华为体系设备,对ACL列表中匹配不到的流量不做任何处理。

ACL的分类(华为):

基本ACL:只关注数据包中的源IP
高级ACL:关注数据包中源IP以及目标IP,及协议类型和目标端口号

(这里的基本ACL和高级ACL默认适用于IPV4)

二层ACL,用户自定义ACL(暂不学习)
基本ACL的位置原则

由于基本ACL仅关注数据包中的源IP地址,故调用时应尽量靠近目标,避免对其他网址访问误伤

创建ACL列表

<2000-2999> 为基本ACL

<3000-3999> 为高级ACL

<4000-4999> 二层ACL

在ACL列表中添加规则

 其中的0.0.0.0为通配符,通配符--0对应位不可变,1对应位可变,通配符和反掩码的区别是通配符的0和1可以穿插使用

 允许所有流量通过

 查看acl表,可以看到默认此ACL表的名字为1,其中有两条规则,并且规则的序号默认以5为步调自动添加,主要是为了方便添加和删除规则

[r1-acl-basic-2000]undo rule 10  按序号删除规则

在接口下调用规则

[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

注意:一个接口的一个方向只能调用一张ACL表

通过命名的方式创建ACL表(以高级ACL表为例)

高级ACL的位置原则

由于高级ACL对流量进行精准的匹配,可以避免误伤,所以调用时尽量靠近源地址,节约链路资源

[r1]acl name gj 3000
[r1-acl-adv-gj]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.2.3 0.0.0.0

通过命名的方式调用ACL表

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name gj

以TCP(端口号为23)举例

[r1-acl-adv-3001]rule deny tcp source 192.168.1.2 0.0.0.0 destination 192.168.2.
2 0.0.0.0 destination-port eq 23

高级ACL可设定目标端口号

[r1-GigabitEthernet0/0/0]undo traffic-filter inbound 

删除ACL表的调用

(本文为初学者学习笔记,若有错误之处,感谢大佬指正!)

沙漏hx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
新版华为HCIA全套学习笔记
09-28
HCIA·第一堂课ENSP与初探网络.pdf HCIA·第七堂课作业讲解及四种ARP类型.pdf HCIA·第三堂课OSI的七层模型(网—应用层).pdf HCIA·第九堂课·TCP·UDP及路由表概述.pdf HCIA·第二堂课网络的基本概念(物理层·数据链路层).pdf HCIA·第五堂课IPV4包头及IP地址分类.pdf HCIA·第八堂课ICMP及TCP头部介绍.pdf HCIA·第六堂课vlsm及cidr.pdf HCIA·第十一堂课OSPF五种数据包DRBDR选举及配置.pdf HCIA·第十七堂课·D
交换机通过traffic-filter方式调用ACL示例
热门推荐
auragreen的专栏
10-20 3万+
转自:http://support.huawei.com/ecommunity/bbs/10248323.html?auther=1&buildingowner=10184221 通过traffic-filter调用 sys [Huawei]acl 3000               //创建高级ACL(3000~3999) [Huawei-acl-adv-3000]
华为ACL
WXW的博客
04-02 2539
ACL 访问控制列表 (Access Contril List,ACL)是应用在路由器接口的指令列表 标准的ACL,基于源IP地址的过滤 思科:1-99 华为:2000-2999 扩展的访问控制列表 基于源IP,目标端口号,协议号,标准进行过滤 思科:100-199 华为:3000-3999 标准ACL配置: a...
路由控制
network_idiot的博客
03-16 1114
目录前言流量匹配工具ACLIP-Prefix List路由策略路由策略工具Filter-Policy工具介绍Route-Policy工具介绍使用路由策略控制流量可达性使用Route-Policy对引入的路由进行过滤使用Filter-Policy对接收和发布的路由进行过滤流量过滤路由策略与策略路由的区别 前言 在企业网络的设备通信中,常面临一些非法流量访问的安全性及流量路径不优等问题,故为保证数据访...
ACL原理与配置
R1chArd_TvT 的 Blog
02-10 604
ACL是由一个permit语句或deny语句组成的、有序规则的列表ACL是一个匹配工具,能够对报文进行匹配和区分。
ACL实验中traffic-filter命令报错
weixin_43121452的博客
07-14 3118
在ACL实验最后接口调用ACL策略时,出现错误 只需要将Route换成AR即可。
acl访问控制列表
jhy1798807161的博客
03-22 1016
作用:1访问控制列表(ACL)读取第三层,第四层包头协议,根据预先定义好的规则对包进行过滤。要么放行要么丢弃。2结合其他协议,用来匹配范围。根据通信五元素来实现具体的匹配1 访问控制列表在接口应用的方向2 事先在一个接口定义好相关的规则,然后根据相关的规则去处理经过这个接口的数据包,最终结果要么放行要么丢弃。基本acl(2000-2999)只能匹配源IP地址高级acl(3000-3999)可以匹配源ip,目标IP,源端口,目标端口等三层和四层的字段和协议)
华为交换机基于vlan的acl配置方法
奇怪的老司机
02-29 1万+
acl 3001rule permit ip destination 192.168.1.1 0 source any设置要控制的IPtraffic-filter vlan 20 outbound acl 3001在vlan上应用acl 3001,需设置为outbound方向,inbound方向无效undo traffic-filter vlan 20 outbound acl 3001取...
计算机网络(二)ensp相关配置命令与实验
qq_33822166的博客
04-18 5491
深度是和普通的报文分析层次相比较而言,“普通报文检测”仅分析IP包的4层以下的内容,包括源地址,目的地址,源端口,目的端口以及协议类型,而深度包检测除了前面的层次分析外,还增加了应用层分析,从原来的二到四层(数据链路层-传输层)覆盖到了第七层,强化了传统的数据包检测技术SPI的深度和精确度,能够识别各种应用及其内容,是对传统数据流检测技术的延伸和加强。不同的网络受信任的程度不同,在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。
【HCIE TAC】第五题-2
qq_40733491的博客
02-14 715
错点还原: #AR30: acl 2000 rule 5 deny 10.5.1.32 0 int g0/0/0 traffic-filter outbound acl 2000 一、故障根因判断 AR32的 loopback0 无法访问AR34 的 loopback 0 和 g0/0/0 接口地址,根本原因是因为在AR30的 g0/0/0 接口的出方向上做了针对AR32loopback 0 接口地址的流量过滤策略。 二、故障分析 2.1、故障现象重现,在AR32上执行 ping -a 10.5.1.32.
HCIA-Cloud学习笔记
05-08
HCIA-Cloud学习笔记
HCIA-DATACOM全套学习笔记
最新发布
04-05
HCIA-DATACOM_Day01_Ethernet数据帧格式 交换机工作原理.pdf HCIA-DATACOM_Day02_数通基础简介 IOSVRP操作系统简介....HCIA-DATACOM_Day12_路由基础1.pdf HCIA-DATACOM_Day13_路由基础后续2 OSPF动态路由协议基础.pdf H
华为数通HCIA HCIP学习笔记
06-26
华为数通HCIA HCIP学习笔记
HCIA-RS 学习笔记
11-19
数通HCIA笔记--基础入门版
访问控制列表(ACL)
Yusheng9527的博客
10-21 874
@TOC 作用 读取第三层和第四层包头信息 根据预先定义好的规则对包进行过滤 用来对数据包做访问控制 结合其他协议,用来匹配范围 通信4元素:源地址、目的地址、源端口、目的端口 + 协议=五元素 访问控制列表在接口应用的方向 出:已经经过路由器的处理,正在离开路由器的数据包 入:已经达到路由器接口的数据包,将被路由器处理 列表应用到接口的方向与数据关系有关 访问控制列表的处理过程 匹配第一条 发送到目的端口 匹配第二条 匹配第三条 丢弃 拒绝 如果两条都不匹配
网络:ACL原理与配置
m0_70893463的博客
06-06 3055
3000-3999 高级acl,可以匹配源ip和目标ip、源端口和目标端口、三层和四层的协议字段(三层:icmp,arp。四层:udp,tcp)虽然划分了vlan,但是不是流量控制,只是单纯的划分了广播域,而且通过三层交换机或者单臂路由还能实现不同vlan之间的通信,要求1:允许pc1访问pc3 pc1访问192.168.2.0/24(pc1能ping通pc3,其他pc不能)所以最后一位都是1是固定的,固定的位置是0,前面的都会变,所以结果是11111110 十进制为254。
ACL原理及配置
zl965230的博客
02-11 563
系统为ACL中首条未手工指定编号的规则分配编号时,使用步长值(例如步长=5,首条规则编号为5)作为该规则的起始编号;一条ACL可以由多条deny或permit语句组成,每一条语句描述一条规则,这些规则可能存在包含关系,也可能有重复或矛盾的地方,因此ACL的匹配顺序是十分重要的。缺省的ACL匹配顺序是config模式。配置ACL的设备接收报文后,会将该报文与ACL中的规则逐条进行匹配,如果不能匹配上,就会继续尝试去匹配下一条规则。一个ACL中的每一条规则都有一个相应的编号,称为规则编号,用来标识ACL规则。
ACL实验
JUJUJU2的博客
03-28 175
如图进行配置,在基于VLAN交换实验的基础上增加了两台路由器和PC。 r1-r2的网段设置为12.1.1.0 24 r2-r3的网段设置为23.1.1.0 24 r2的g0/0/2的地址为 192.168.3.1 如 的g0/0/1为192.168.4.1 同时在r2 r3建立地址池,使得终端设备可以自动获取地址: [r2]ip pool xixi [r2-ip-pool-xixi]network 192.168.3.0 mask 24 [r2-ip-pool-xixi]gateway-list 192..
路由交换综合实验配置
qq_48456652的博客
01-24 2451
这里是引用 一、路由器上IP地址配置: R1: [r1]interface g0/0/0 [r1-GigabitEthernet0/0/0]ip address 192.168.1.1 24 [r1]interface g0/0/1 [r1-GigabitEthernet0/0/1]ip address 12.1.1.1 24 R2: [r2]interface g0/0/1 [r2-GigabitEthernet0/0/1]ip address 12.1.1.2 24 [r2]interface g.
华为数通hcia学习笔记
08-18
很抱歉,根据提供的引用内容,我无法回答关于华为数通HCIA学习笔记的问题。引用内容提供了关于网络协议、ARP工作流程和网络拓扑的信息,但与HCIA学习笔记无关。如果你有关于HCIA学习笔记的具体问题,我会尽力帮助你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值