访问控制列表ACL及配置

已于 2023-01-10 22:18:23 修改
阅读量1.4k 收藏 3
点赞数
文章标签: 网络 服务器 tcp/ip 华为 网络协议
于 2023-01-10 21:35:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssslq/article/details/128625765
版权

产生背景

访问控制列表ACL (Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

ACL的应用场景

在这里插入图片描述
主机A,B的流量使用红色箭头表示,C,D使用蓝色箭头表示,然后限制AB流量走上方,CD流量走下方。在其中,是ACL发挥了作用:
ACL可以通过定义规则来允许或拒绝流量的通过。
ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。

ACL分类

在这里插入图片描述
基本ACL:用于匹配整个流量。好比从A处来的流量应该怎么限制,是允许还是拒绝,是对一个整体宏观的控制,而不去进行细分(类似孔子的因材施教)。
高级ACL:在基本ACL的基础上进行了扩充,变得更加精细,对于流量更加细致。规定从哪里来的流量去哪里访问什么服务,对于更加小的条目进行了控制,而不是像基本ACL一样一刀切。
二层ACL:二层是数据链路层,主要基于MAC地址进行转发,所以主要去规定了源MAC地址,目的MAC地址,以及以太网的帧类型。

高级ACL和二层ACL也叫扩展ACL,也是相对于基本ACL而言的。

ACL规则

基本ACL

在这里插入图片描述
在RA上写了一条基本ACL(从编号可以看出2000-2999),并且写了三条规则:
rule 5 deny source 192.168.1.0 0.0.0.255//①拒绝来自192.168.1.0网段的流量
rule 10 deny source 192.168.2.0 0.0.0.255 //②拒绝来自192.168.2.0网段的流量
rule 15 deny source 172.16.0.0 0.0.0.255 //③拒绝来自172.16.0.0 网段的流量
这里匹配的顺序在于rule后面的数字,谁小就先去进行匹配谁,另外规则是以5为间隔是为了给修改顺序留有余地,如果规则是紧密相连的,则修改规则会相当麻烦

当ACL规则写完之后还要应用到相应的接口上才能起作用:

在这里插入图片描述
在接口的运用方向也很关键,建议模拟一遍数据传输的过程,然后再应用到接口之上,至此,一套简单的基本ACL配置完成。

当流量到达了RA之后,首先会对这个规则列表进行匹配,如果匹配的上则立即执行,如果没有匹配上对应的网段则继续匹配下一条。如果一直没有匹配上则默认是允许通过的。

现在有一个特殊的场景:
如果在一台路由器上的规则是
acl 2000
rule 5 permit source 172.16.0.0 0.0.255.255
rule 10 deny source 172.16.6.7 0.0.0.0
此时地址为172.16.6.7的主机经过这台路由器,流量能否通过?答案是肯定的,因为ACL规则就是匹配上了就执行相应的动作,最开始是允许172.16.0.0网段通过,此时流量过来发现是匹配的,就直接执行允许的操作,不在向下进行匹配。

高级ACL

在这里插入图片描述
ACL 3000 //从序号可以看出这是一条高级ACL
rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21 //第一个规则就是拒绝来自192.168.1.0 网段的流量访问目的地址是172.16.10.1的FTP服务。 其中,tcp是所使用的协议,eq理解为equal的意思,端口21是FTP的流量。
rule deny tcp source 172.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0
//这里没有写目的地的端口号,就是拒绝了源为172.168.2.0网段的所有到达目的地址为172.16.10.2的tcp流量,就好比是一刀切了
rule permit ip //没有写源,没有写目的,ip是相应的协议,就是允许其他的所有流量
traffic-filter outbound acl 3000//将ACL应用到接口之上

基本ACL与高级ACL应用建议

在这里插入图片描述
现在使用基本ACL拒绝从172.16.1.0网段的流量去往10.1.1.0网段,如果放在距离源最近的AR2,那么当172.16.1.0的流量到达AR2的时候就会直接被阻塞掉,那么想要去AR3,AR4的流量也直接丢失,就好像误伤AR3,AR4,这也是基本ACL的一个缺点,太一刀切了,如果放在AR5上,那么中途的流量都可以正常到达,只有到达AR5的流量会被阻塞,符合ACL的意图。所以基本ACL推荐放在距离目的较近的地方。

现在使用高级ACL限制AR1的tcp流量到达AR5,现在如果在距离AR1最远的AR5上进行部署高级ACL,此时TCP流量会经转中间所有的链路,最终辗转来到AR5才发现不能通过,这就造成了中间带宽的浪费。就不如在最开始,距离AR1最近的地方就提前部署(说明),减少了带宽的浪费。所以推荐高级ACL部署在距离源比较近的地方。

总结

ACL用来:访问控制,匹配流量
需要注意:规则书写的顺序;接口调用的方向;高级低级ACL调用的位置。

小刘不忙!
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
访问控制列表ACL配置命令
patiencezzz的博客
05-19 2万+
标准访问控制列表 配置标准ACL 实现拒绝pc2(IP地址为192.168.1.3)对Web Server pc3的访问 配置如下: 下面配置路由器端口的IP地址: R1>en R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no sh R1(conf...
利用ACL实现访问控制
m0_70851096的博客
10-22 469
3 4)在AR3的GE0/0/0接口进行高级ACL配置并启用;先配置限制Telent服务器ACL规则,再配置限制IPACL规则,若两个配置顺序打乱,则有可能造成需求实现失败。因为ACL规则是从上至下,依次匹配,一旦匹配成功,则不继续往下匹配;假如IP配置在前面,那么后面配置的Telnet规则就不会匹配上。在这种情况下,AR1可以ping通Telnet服务器,也能登录Telnet服务器,而AR2既不能ping通,也不能登录。4 )在接口处调用ACL列表时,调用的ACL列表的序号错误;
配置标准访问控制列表ACL
生活不易,喵喵叹气
11-11 3997
熟练使用访问控制列表ACL,使路由器可以自主过滤某一网络或某一主机的数据包流量,使用基本命令 Access-list 标准访问控制列表号 deny/permit 源网络地址 通配符掩码 配置ACL,此篇文章帮助你设置网络拓扑结构下的ACL配置
思科ACL访问控制列表配置命令教程
最新发布
2301_76845656的博客
05-25 2069
访问控制列表ACL概念访问控制列表简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上。
配置基本的访问控制列表ACL【eNSP实现】
Infinity_and_beyond的博客
04-30 3761
访问控制列表ACL(Access Control List)是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据报的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝 基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为2000~2999 一个ACL可以由多条"deny/permit"语句组成,每一条语句描述一条规则,每条规则则有一个Rule-ID。Rule-ID
华为-ACL-访问控制列表(基础理论与配置实验详解)
热门推荐
BIGmustang的博客
07-29 4万+
访问控制列表(Access Control List,简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能,在现实中应用广泛。ACL根据功能的不同分为标准ACL和扩展ACL。标准ACL只能过滤报文的源IP地址;扩展ACL可以过滤源IP、目的IP、协议类型、端口号等。ACL配置主要分为两个步骤:(1)根据需求编写ACL;(2)将ACL应用到路由器接口的某个方向。本篇主要介绍各种常用ACL的编写与应用。
Oracle创建控制列表ACL(Access Control List)
tttzzzqqq2018的博客
08-29 1130
在Oracle11g中,Oracle在安全方面有了很多的改进,而在网络权限控制方面,也有一个新的概念提出来,叫做ACL(Access Control List), 这是一种细粒度的权限控制。在ACL之前,我们对于有一些程序包,例如UTL_MAIL, UTL_SMTP等这些包,你可以利用这些包连接到外部的主机,而默认情况下,这些包都是都是赋予了public角色,所以可能会导致利用这些PL/SQL程序包的恶意工具,所以Oracle提出了一个新的概念来解决这个问题,那就是ACL
访问控制列表ACL配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制。ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
ensp配置acl高级配置访问控制列表
03-27
在“ensp配置acl高级配置访问控制列表”这一主题中,我们将深入探讨如何在ENSIM中进行ACL的高级配置。 首先,理解ACL的基本原理是至关重要的。ACL是一系列规则,基于IP地址、端口号、协议类型等因素来决定数据包...
ACL访问控制列表.docx
10-13
ACL 访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包。下面是 ACL 访问控制列表的相关知识点: 1. ACL 访问控制列表的定义:ACL 是路由器和交换机接口的指令列表,用来控制端口进出的数据包...
H3C交换机典型(ACL访问控制列表配置实例
10-01
本文将介绍如何配置H3C交换机典型(ACL访问控制列表,需要的朋友可以参考下
实验三、ACL访问控制列表配置.doc
02-25
路由与交换技术实验指导实验三、ACL访问控制列表配置
ACL原理与配置
GUARDIAN_L的博客
06-07 1810
ACL原理与配置
【系统集成】作业——访问控制列表ACL配置
weixin_51338719的博客
04-03 1924
基本ACL实验,建立拓扑(pc1+pc2)SW1>>R1>>R2>>SW2(pc3),配置缺省路由,使pc1、pc2与pc3能相互通信。设置ACL,使pc1不能访问pc3(pc2可正常访问pc3)。 高级ACL实验,对前期实验公司网络设置的各部门,不允许生产部的电脑ping 公司web服务器,但可以访问网页。 对前期实验公司网络设置的各部门vlan,设置企业财务服务器,只允许财务部门VLAN的电脑访问
ACL访问控制列表)原理及配置
2301_76605919的博客
03-23 1006
首先NAT称为网络地址转换,它的作用就是用来实现私有网络和公有网络的互访。ps:之前有和大家说过私有网络和公有网络。公有网络:指的是互联网上全球唯一的IP地址。私有网络:指的是内部网络或主机的IP地址。规定的私有地址分为三类为A,B,C.
华为配置命令——ACL配置
zsrzy的博客
04-23 5703
华为配置命令ACL设置
ACL访问控制列表
qq_47175413的博客
06-03 4637
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
路由控制.
qq_43704340的博客
10-23 1221
* 1.路由策略:通过控制路由的接收/发布/路由优选进而实现对流量可达性以及流量路径的控制 2.策略路由:直接对流量进行可达性以及流量路径的控制 Filter-Policy工具(过滤策略):过滤路由表里的路由条目,不能过滤路由属性 Route-Policy工具(路由策略):修改路由属性 Traffic-Filter工具(流量过滤) traffic-policy(流量策略) 1.控制网络流量可达性: 方式: 1.路由策略:可通过修改路由条目(即对接收和发.
学习日记Day27:ACL原理与配置
qq_40909772的博客
08-13 3161
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
思科 访问控制列表ACL配置
01-10
ACL(Access Control List)是一种用于控制网络流量的技术,可以根据设定的条件对数据包进行过滤和控制。思科设备(如路由器和交换机)支持ACL配置,以实现网络安全和流量控制。 以下是一个示例ACL配置的方法: 1. 首先,进入思科设备的特权模式(Privileged EXEC mode)。 2. 进入全局配置模式(Global Configuration mode),使用以下命令: ``` configure terminal ``` 3. 创建一个ACL,可以选择创建标准ACL或扩展ACL。例如,创建一个标准ACL,使用以下命令: ``` access-list <ACL号> {permit | deny} <源地址> [掩码] ``` 其中,ACL号是一个唯一的标识符,用于区分不同的ACL规则。permit表示允许匹配的数据包通过,deny表示拒绝匹配的数据包通过。源地址和掩码用于指定要匹配的数据包的源IP地址。 例如,创建一个标准ACL,拒绝源IP地址为192.168.1.0/24的数据包通过,使用以下命令: ``` access-list 1 deny 192.168.1.0 0.0.0.255 ``` 4. 将ACL应用到接口上,使用以下命令: ``` interface <接口> ip access-group <ACL号> {in | out} ``` 其中,接口是要应用ACL的接口,ACL号是之前创建的ACL的标识符。in表示应用ACL到接口的入方向,out表示应用ACL到接口的出方向。 例如,将ACL 1应用到接口GigabitEthernet0/1的入方向,使用以下命令: ``` interface GigabitEthernet0/1 ip access-group 1 in ``` 5. 完成ACL配置后,保存配置并退出配置模式,使用以下命令: ``` end write memory ``` 以上是一个简单的思科ACL配置的示例。根据实际需求,可以根据不同的条件和规则创建和应用ACL来实现网络流量的控制和安全保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小刘不忙!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值