HC110110027 访问控制列表

最新推荐文章于 2023-07-25 20:45:59 发布
最新推荐文章于 2023-07-25 20:45:59 发布
阅读量541 收藏 2
点赞数
分类专栏: # HCIE-RS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014029795/article/details/104797218
版权

0x00 汇总

汇总链接

讲道理,不应该先讲ACL再讲NAT么。。。

0x01 ACL

访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

那么对于现在的环境当中,其实ACL用来过滤数据的时候逐渐减少,更多的时候是用ACL作为一个底层工具,用来匹配流量,被其它的功能所调用。即ACL有两大功能,过滤数据分类流量
在这里插入图片描述
过滤数据的使用场景,通过定义规则来允许或拒绝流量的通过。

在这里插入图片描述
分类流量的使用场景,根据需求来定义过滤的条件以及匹配条件后所执行的动作。

根据不同的划分规则,ACL可以有不同的分类。最常见的三种分类是基本ACL、高级ACL和二层ACL。

  • 基本ACL可以使用报文的源IP地址、分片标记和时间段信息来匹配报文,其编号取值范围是2000-2999。
  • 高级ACL可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则,其编号取值范围是3000-3999。
  • 二层ACL可以使用源/目的MAC地址以及二层协议类型等二层信息来匹配报文,其编号取值范围是4000-4999。
    在这里插入图片描述

一个ACL可以由多条“deny | permit”语句组成,每一条语句描述了一条规则。

设备收到数据流量后,会逐条匹配ACL规则,看其是否匹配。如果不匹配,则匹配下一条。一旦找到一条匹配的规则,则执行规则中定义的动作,并不再继续与后续规则进行匹配。如果找不到匹配的规则,则设备不对报文进行任何处理。需要注意的是,ACL中定义的这些规则可能存在重复或矛盾的地方。规则的匹配顺序决定了规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形。

ARG3系列路由器支持两种匹配顺序:配置顺序自动排序
配置顺序按ACL规则编号(rule-id)从小到大的顺序进行匹配。设备会在创建ACL的过程中自动为每一条规则分配一个编号,规则编号决定了规则被匹配的顺序。例如,如果将步长设定为5,则规则编号将按照5、10、15…这样的规律自动分配。如果步长设定为2,则规则编号将按照2、4、6、8…这样的规律自动分配。通过设置步长,使规则之间留有一定的空间,用户可以在已存在的两个规则之间插入新的规则。路由器匹配规则时默认采用配置顺序。另外,ARG3系列路由器默认规则编号的步长是5。

自动排序使用“深度优先”的原则进行匹配,即根据规则的精确度排序。

0x02 重点

PPT上并没有很好的体现出ACL的难点在哪,感觉挺失败的。

ACL的第一个难点,ACL怎么写

ACL后面的参数很多,初学的同学会经常不知道怎么弄,其实这是因为前面的TCP/IP没有理解,ACL是基于IP五元组来工作的,所以只要能把通信时报文所使用的IP五元组弄清楚,那么直接填空即可。

  • 源IP地址
  • 目的IP地址
  • 协议号
  • 源端口号
  • 目的端口号

在这里插入图片描述
比如上述案例中的RTA-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21可以这样理解

  • rule deny默认排序,匹配后的动作是拒绝
  • tcp,匹配的协议号,此例子当中,协议号为6,即为TCP
  • source 192.168.1.0 0.0.0.255,源主机的信息,源IP地址是192.168.1.0/24网段,源端口没有指定,则代表任意端口,因为大多数时候源端口都是随机产生的,无法特指
  • destination 172.16.10.1 0.0.0.0 destination-port eq 21,目的主机的信息,目的IP地址是172.16.10.1这个主机,目的端口为21,即ftp服务。

ACL的第二个难点在于,通配符或者叫做反掩码

如果单纯是反掩码,大家还是没有问题的,但是这里真的不算是反掩码,只能叫做通配符,因为反掩码的1和0必须连续,而通配符是不需要连续的,这样就可以作出更加灵活的匹配。

这个技巧,其实也没什么,一句话,完全一样写0,不一样写1

举个例子,用ACL匹配所有的A类地址。

在之前的课程中学过,所有的A类地址换算为2进制后,开头都为0。
那么通配符即为0111111.11111111.11111111.11111111,也就是127.255.255.255。
那么前缀呢,前缀就是所有需要被匹配的数据当中,最小的那个,即0.0.0.0。

那么此ACL最终写法为,rule permit source 0.0.0.0 127.255.255.255

理解的同学还是挺简单的,没理解的,那可就难了~

baynk
关注
专栏目录
h3c防火墙u200配置命令_H3C U200-S 配置实例
weixin_31022521的博客
01-17 1296
dis cur#version 5.20, Beta 5104#sysname U200-S#ftp server enable#undo voice vlan mac-address 00e0-bb00-0000#domain default enable system#telnet server enable#qos carl 1 source-ip-address subnet 10.58....
HCIA 第八天
weixin_45800779的博客
11-20 330
ACL的概念。 1、ACL:Access Control List,访问控制列表。 作用: 1、实现访问控制 2、抓取感兴趣流量供其他技术调用 工作原理:通过在路由器上手工定义一张ACL列表,表中包含有多种访问规则,然后将此表调用在路由的某个接口的某个方向上, 让路由器对收到的流量基于表中规则执行动作–允许、拒绝 3、 ACL匹配规则: 至上而下按照顺序依次匹配,一旦匹配中流量,则不再查看下一条 ...
ACL (访问控制列表)
2301_76838634的博客
03-21 1159
第一步配置IP地址(同理配置pc2,pc3,cliebt1,client2,AR1,server1)2.一个acl可以有多个rule,根据规则ID,从小到大排序,从上往下,依次执行。禁止192.168.1.0 /24 2网络ping web服务器。3.数据包一旦被某个rule匹配,就不在往下匹配。仅允许pc1访问192.168.2.0 /24。仅允许client访问web服务器的www服务。1.一个接口的同一个方向只能调用一个acl。4.华为设备默认放通所有。
ACL理论及简单配置
weixin_58107256的博客
05-04 1万+
应用意义 ACL可以通过定义规则来允许或者拒绝流量的通过。 如图所示,192.168.1.0网段的社交场所为只能够进入公网,而不能够进入服务器,这个时候我们在路由器或者是三层交换机上(带路由功能的交换设备)上配置ACL策略,在192.168.1.0网段的数据包发送到RTA的时候会在入网口进行检测,从而判断能否让该(IP/MAC/端口)通过。 1.ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 2.本示例中,网关RTA允许192.16.
ACL实验
dark_rabbit的博客
07-25 203
outbound Apply ACL to the outbound direction of the interface //出栈。inbound Apply ACL to the inbound direction of the interface //进站。三、pc2不能登录AR1,不能ping通AR2。[R1]aaa//存储帐户密码。
HC110110026 访问控制列表
01-06
访问控制列表(ACL)是一种网络安全机制,用于控制和限制网络流量,以保障数据传输的安全可靠和网络性能的稳定。 知识点1:访问控制列表(ACL)的定义和作用 访问控制列表(ACL)是一种网络安全机制,用于定义规则...
高级网络人才培训专家-HC110110026 访问控制列表
最新发布
03-16
高级网络人才培训专家_HC110110026 访问控制列表
华为培训课件:HC110117000 访问控制列表.ppt
09-20
华为培训课件:HC110117000 访问控制列表.ppt
HC110117000 访问控制列表.ppt
02-14
HC110117000 访问控制列表.ppt
网络基础之ACL技术及NAT技术
weixin_47062656的博客
10-25 2458
ACL技术 访问控制列表概述 acl工作原理 当数据包从接口经过时,由于接口启动了ACL,此时路由器会对报文进行检查,然后做出相应的处理。 访问控制列表(ACL) 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 访问控制列表在接口应用的方向 出:已经过路由器的处理,正离开路由器接口的数据包 入:已到达路由器接口的数据包,将被路由器处理 列表应用到接口的方向与数据方向有关 访问控制列表的处理过程 ACL的两种作用 用来对数据包做访问控制访问控制(丢..
ACL技术配置
热门推荐
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
10-31 1万+
ACL华为命令 1.基本ACL配置 [Huawei]acl number 2000 ###创建acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加) [Huawei] interface GigabitEthernet 0/0/1 [ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254
H3C设备之高级ACL应用
weixin_34406796的博客
08-13 461
配置高级ACL过滤,使PCA无法访问192.168.2.0网络上的FTP服务: [RTA]intG0/0 [RTA-G0/0]ipadd192.168.0.1255.255.255.0 [RTA-G0/0]undoshutdown [RTA-G0/0]intS6/0 [RTA-S6/0]ipadd192.168.1.124 [RTA...
十分钟带你了解你不知道的ACL访问控制技术
03-26 2669
##前言 访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。它类似于一种数据包过滤器。 ####1.为什么需要ACL技术? 当某个局域网中需要使某些主机无法访问指定的资源,时就需要这么一个技术实现流量的过滤,如下图所示,某公司为保障财务部数据安全,机制研发部门访问财务部服务器,但总裁办公室不受影响: ####2.ACL介绍 ACL是由一系列perm
ACL访问控制列表实验之限制用户远程登录和ping命令
Mi Qi
07-17 7909
ACL访问控制列表实验之限制用户远程登录和ping命令 一、实验要求 PC1可以telnet R1,不能ping 通R1 PC1可以ping R2,不能 talnet R2 PC2要求与PC1相反 二、实验说明 拓扑图中PC1与PC2用了路由器代替 三、实验思路 1.配置底层IP 2.配置路由全网可达 3.根据要求,策略思路,有两种方式 前提注意:在配置ACL时,每个接口的某一方向只能有ACL访问控制列表 否则,该接口出/入方向将只调用配置的最后一张表。 (1)第一种方式,ACL列表根据要求,先将允许条件
华为交换机常见的ACL操作
Tony_long7483的博客
10-26 1万+
常见的ACL操作 1.删除生效时间段:需要先删除关联生效时间段的ACL规则或者整个ACL [HUAWEI] acl 2001 [HUAWEI-acl-basic-2001] undo rule 5 //先删除rule [HUAWEI] undo time-range time1 //在删除时间段 [HUAWEI] undo acl 2001 //先删除ACL [HUAWEI] undo time-range time1 //在删除时间段 2. 配置基于时间的ACL规则 [HUAWEI] time-r
ACL匹配规则
Zuoriqiufeng的博客
08-21 1万+
ACL - 访问控制列表 前言 ACL: Access Control List, 访问控制列表 ACL是一种技术,不是一种协议 ACL就是第一代防火墙技术 ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 本示例中,网关RTA允许192.168.1.0/24中的主机可以访问外网,也就是Internet;而192.168.2.0/24中的主机则被禁止访问Internet。对于服务器A而言,情况则相反。网关允许192.168.2.0/24中的主机访问
华为路由器:ACL介绍及配置实验
迷逝
12-10 1万+
一、ACL介绍 ACL作用 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 应用设备——路由器 访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定
HCIA--访问控制技术--NAT、ACL、aaa、IPSec、vpn、GRE
qq_42404383的博客
02-03 2263
HCIA–访问控制技术–NAT、ACL、aaa、IPSec、vpn、GRE 一、网络地址转换(NAT) 工作原理: 借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。 基本配置: 静态NAT: nat static global 公...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值