ACL技术

最新推荐文章于 2024-11-01 15:32:36 发布
最新推荐文章于 2024-11-01 15:32:36 发布
阅读量48 收藏
点赞数
文章标签: 运维 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45875361/article/details/130183180
版权
文章介绍了访问控制列表(ACL)在数据流管理中的作用,包括数据包抓取、路由控制和流量控制。ACL由一系列允许或拒绝的规则组成,分为基本ACL、高级ACL、二层ACL等类型,并遵循特定的匹配机制。此外,文章提供了几个练习案例来演示如何配置ACL规则,如拒绝特定IP或网段的访问权限。
摘要由CSDN通过智能技术生成

一、ACL功能

        访问控制列表---数据流的抓取和匹配

        访问控制:ACL+packet-filter(数据包抓取)

        路由控制:ACL+Route-policy(路由策略)

        流量控制:ACL+QOS(服务质量)

二、ACL组成

        组成:由若干条允许或者拒绝的规则组成

        rule 1 deny source 192.168.1.0 0.0.0.255(反掩码/通配符)

        规则的ID的来源:ID范围:<0-4294967294>

        手工配置:

        自动生成:编号从5开始,是5的倍数,比如:0、5、10、15、20

三、ACL分类

        1、基本ACL:2000-2999 Basic access-list 只关心数据的源地址,容易出现误伤

       2、高级ACL:3000-3999 Advanced access-list 精确匹配,数据五元组(源IP、目标IP地址、协议、源端口、目标端口)

        3、二层ACL:4000-4999 源MAC、目标MAC地址、协议

        4、基于IPv6的ACL

        5、命名的ACL :name

四、匹配机制

        1、数据包到达接口后,会被检查,是否设置了ACL规则,如果设置了,就按ACL规则执行,如果没有设置就正常转发

        2、按照ACL的编号从上至下逐一匹配,直到有与之匹配规则出现

        3、所有规则都不匹配,则执行默认动作,默认允许则允许,默认拒绝则丢弃

练习1:拒绝除192.168.1.1外192.168.1.0/24网段其他ip的访问

rule permit source 192.168.1.1 0.0.0.0

rule deny source 192.168.1.0 0.0.0.255

练习2:拒绝192.168.1.0/24网段的访问

rule deny source 192.168.1.0 0.0.0.255

rule permit source 192.168.1.1 0.0.0.0

练习3:拒绝所有人去访问192.168.10.1

rule deny ip source any destionation 192.168.10.1

练习4:拒绝192.168.1.1去访问任何人

rule deny ip source 192.168.1.1 destionation any

练习5:允许192.168.1.0去访问任何人

rule permit ip source 192.168.1.0 destionation any

weixin_45875361
关注
深入探索思科中的ACL技术
2301_81920872的博客
04-17 1542
ACL(Access Control List)是一种基于包过滤的网络安全技术,用于控制网络流量的访问权限。它可以根据一定的规则,对经过网络设备的数据包进行过滤,从而实现访问控制的目的。ACL的重要性在于它可以有效地保护网络资源,防止非法访问和攻击,提高网络的安全性和稳定性。
ACL技术与园区网络
upmans的博客
10-28 458
NAT,对于从内到外的流量设备会通过NAT将数据包的源地址进行转换(转换成特定的公网 地址);即可以使用ipv4报文的源IP地址,也可以使用目的的IP地址,协议类型、甚至使用ICMP、TCP、UDP、ipv6等协议的各类字段信息来定义规则。配置了ACL网络设备会根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对报文执行优先设定好的处理动作。如果是公网地址,则会根据事先配好的静态ip地址映射表查找该源ip对应的公网ip地址。访问控制:在设备的流入或流出接口上,匹配流量,然后执行设定的动作。
ACL技术,NAT技术,园区网组网
weixin_67259816的博客
10-24 1423
ACL技术解决了网络安全的问题;NAT技术解决了IPV4公网地址枯竭的问题; 园区组网是我们现在工作和生活所使用的的网络,主流为有线,无线为辅助。
ACL技术和NAT技术
shiqiang002的博客
04-13 1038
ACL 1…访问控制列表,由permit或deny组成,对于经过自己的报文进行匹配和区分,是一个匹配用的工具 2.ACL应用, 匹配IP流量 在traffic-filter中被调用 在NAT中被调用 3.分类 利用数据标识 利用名称标识 Basic ACL 2000—2999 可以对源IP地址进行匹配 Advanced ACL 3000—3999 可以对源IP ,目标IP,端口,协议进行匹配 二层ACL 4000—4999 自定义ACL 5000—5
ACL技术原理和实验(华为设备)
tushanpeipei的博客
01-20 5275
概述: 常用的路由选择工具:过滤器,只匹配,不调用就不会生效。 ACL访问控制类表 • ACL是由permit或deny语句组成的一系列有顺序规则的集合,它通过匹配报文的信息实现对报文的分类。路由器根据ACL定义的规则判断哪些报文可以接收,哪些报文需要拒绝,从而实现对报文的过滤。 • ACL通过配置的一系列匹配规则对特定的数据包进行过滤,从而识别需要过滤的对象。然后,根据预先设定的策略允许或禁止相应的数据包通过。同时,ACL可以作为基础配置被其他功能模块引用。 ip-prefix前缀类表 • ip-pr
ACL技术概述
2301_78538021的博客
07-06 380
匹配条件可以基于源IP地址、目标IP地址、协议类型、端口号等进行定义,而动作可以是允许通过、拒绝或其他特定操作。注:包过滤必须配置在接口某个方向上才能生效,一个接口的一个方向只能配置一个包过滤策略 建议:在不影响实际效果的前提下,包过滤尽量配置在离源地址最近的接口的入方向。高级ACL:对数据包的五元组(源IP、目的IP、源端口、目的端口、协议类型)进行检查,编号3000- 3999。2.按照ACL编号顺序(从小到大)匹配第一条规则,匹配进一步检查该条规则的动作, 否则与下一条规则进行匹配……
ACL技术与NAT技术
x74188的博客
07-12 895
主要用于过滤网络中的流量,是控制访问的一种技术手段。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,应用在端口上,根据预先设定的策略,对特定端口的流量起到控制作用。访问控制列表(ACL)由一组规则组成,在规则中定义允许或拒绝通过路由器的条件。利用ACL可以对经过路由器的数据包按照设定的规则进行过滤,使数据包有选择的通过路由器,起到防火墙的作用。
《学习笔记79》—— # 计算机网络 # ACL技术详解:编号ACL和命名ACL
weixin_53801131的博客
07-16 2885
ACL 1. 技术特性 ACL介绍: 访问控制列表(Access Control Lists,ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 分类: 主要使用的是编号ACL和命名ACL两种类别。 2. 编号ACL 编号ACL分为编号标准ACL和编号扩展ACL。 编号标准ACL: 特点——因为标准ACL是IP ACL
华为模拟器ensp ACL技术
weixin_46731227的博客
06-08 3160
华为模拟器ensp ACL技术 ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制数据的流入与流出. NAT 网络地址转换(Network Address Translation),是一个互联网工程任务组的标准,它可以实现内部私有IP地址和公网IP地址的转换,能够起到节约公网IP地址的作
ACL技术学习
12-02
PTN技术系列培训 -ACL技术,向对交换芯片ACL技术有所了解的可以看一下
ACL技术网络安全中的应用.pdf
09-20
ACL技术网络安全中的应用 ACL(Access Control List,访问控制列表)是一种被广泛应用在路由器和三层交换机上的访问控制技术。它能够对数据包进行过滤和控制,从而实现对网络访问的安全控制。本文将详细介绍ACL...
ACL技术在中小型网络安全管理中的应用分析.pdf
09-20
1. ACL技术概述:ACL是一种基于包过滤机制的网络安全技术,它的核心作用是根据预先设定的条件来过滤数据包,判断是否允许数据包通过网络设备的接口。ACL可以应用在路由器或三层交换机上,通过读取数据包的第三层和第...
oceanbase V4.2.2社区版集群离线部署
king_harry的专栏
11-01 768
版本,选择是上传文件,包含oceanbase-ce、oceanbase-ce-libs、oceanbase-ce-utils。关闭时展示,为 OBProxy 集群的访问地址,仅用于生成租户的连接串,不影响实际使用,需要自主配置负载均衡,如果是 VIP 地址,还需要您自主申请并绑定到 OBProxy Server。集群配置选项卡—更多配置—更改系统内存保留选项,默认是30G,如果测试机内存只有16G,则需要调小,本测试调整为2G,这样ocp-server安装不会失败。自定义待管理的集群的名称。
服务器虚拟化
Hellc007的博客
10-30 1005
服务器虚拟化是一种将物理服务器的计算资源分割为多个独立虚拟环境的技术,通过软件层将底层硬件资源抽象化并在上层构建多个虚拟机(Virtual Machine, VM)。每个虚拟机运行独立的操作系统和应用程序,相互之间不受干扰,具备类似于物理服务器的功能。这种技术使得一台物理服务器能够承担多台虚拟服务器的角色,从而极大地提升了硬件资源的利用率。服务器虚拟化的概念最早可追溯到20世纪60年代IBM大型机时代,当时虚拟化被用来将大型机的资源分配给多个任务,使得企业在有限的资源下能够同时运行多个应用。
nginx常用负载均衡策略及使用场景
希望能解决大家的问题,也欢迎老哥们来骚扰技术交流业务中的问题
10-31 240
根据指定的Key(例如URL、请求参数)进行哈希计算,确保特定请求始终访问同一台服务器。:适合后端服务器性能较均衡,且业务请求较简单、时间较短的情况,比如静态资源服务等。:适合处理时间较长的业务场景,比如视频转码、文件处理等,能够避免服务器负载不均。:根据客户端IP的哈希值分配请求,同一IP的请求会始终分配到同一台服务器上。:适合服务器配置不均衡的情况,可以将更多请求分配到性能更好的服务器上。:为每台服务器设置不同的权重,权重高的服务器分配的请求更多。:将请求分配到当前连接数最少的服务器上。
linux基础-lvm逻辑卷组分区实操
最新发布
pikaqiuu11的博客
11-01 345
2、swap分区(交换分区):当程序运行时的物理内存不够时,从其他未运行的程序中调取一部分内存到swap分区中,供程序使用,当未运行的程序运行时,将内存还原。lvm(logical volume manager),逻辑卷管理,linux系统下管理磁盘分区的一种机制,适合于管理大存储设备,1、系统引导分区(第0扇区):存放系统引导文件(检测操作系统的位置)和linux的内核文件。
http 从请求到响应的过程中发生了什么
m0_63542260的博客
10-30 385
‌:客户端向服务器发送一个HTTP请求,请求包含请求行、请求头部和请求体。‌:服务器接收到请求后,解析请求,查找所需资源,并进行处理。状态行包含HTTP版本、状态码和状态消息,如200 OK表示请求成功,404 Not Found表示资源未找到‌2。服务器监听端口,客户端发送SYN包请求连接,服务器响应SYN+ACK包,客户端再次发送ACK包确认连接建立,完成三次握手后,客户端和服务器进入数据传输状态‌1。HTTP/1.1引入了持久连接,允许一个连接处理多个请求和响应,提高了性能。
Jenkins面试整理-如何在 Jenkins 中配置构建任务?
不务正业的猿
10-30 437
通过上述步骤,你可以在 Jenkins 中配置一个基本的构建任务,自动化项目的构建、测试和部署。下面是详细的配置流程,带你从创建到配置 Jenkins 的构建任务。如果项目需要多个步骤,可以通过点击 “添加构建步骤”(Add build step)添加更多步骤,例如构建完毕后再执行测试。点击某个构建编号,选择 “控制台输出”(Console Output),查看构建的详细日志,排查可能的错误。配置要构建的分支,通常使用默认的 */master 或 */main,可以通过修改表达式构建其他分支。
ACL技术网络安全策略中的应用与实践
作者莫林利是网络工程和网络安全领域的讲师,文章详细阐述了ACL技术的基本原理、主要功能,以及在路由器上的配置和访问规则。通过一个具体的网络拓扑实例,文章深入分析了如何利用ACL来防范网络安全问题,并提供了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值