ACL规则

已于 2022-07-03 17:35:59 修改
阅读量3.8k 收藏 11
点赞数 1
文章标签: 网络安全 网络协议 网络
于 2022-07-03 17:35:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48236860/article/details/125585370
版权

目录

ACL分类

ACL规则

讲解规则:rule 5 deny source 192.168.1.1 0.0.0.0

创建规则后

注意

每个ACL(访问控制列表)可以包含多个规则,RTA根据规则来对数据流量进行过滤。

  • ACL分类

分类编码范围参数
基本ACL2000-2999源ip地址等
高级ACL3000-3999源ip、目的ip、源端口、目的端口等
二层ACL4000-4999源mac、目的mac、以太网帧协议类型、vlan等

  • ACL规则

讲解规则:rule 5 deny source 192.168.1.1 0.0.0.0

  • 5:步长5,即为规则的idx,越小优先级越高,优先级高的最先进行匹配,也可以自动生成5、10、15....
  • deny:规则,拒绝
  • source:源ip
  • 0.0.0.0:通配符

( 0:表示一定要匹配(一模一样才算匹配上),为1:表示可以不匹配(随意数都可以 )

举例:

  • rule 5 deny 192.168.1.1  0.0.0.0

此时192.168.1.2的源ip的流量过来,不能匹配上此acl规则,则往下走到下一条默认规则。

  • rule 5 deny 192.168.1.1  0.0.0.254

0.0.0.254--0.0.0.1111 1110--则为1的位数上没限制、最后一个0的则一定要一模一样

此时源IP为192.168.1.2、192.168.1.4.。。。偶数才能匹配上此规则。

192.168.1.2--192.168.1.0000 0010

192.168.1.4--192.168.1.0000 0100

  • ACL流量规则

从路由器入方向:

当一个数据包进入一个端口,路由器检查这个数据报是否可路由。(查路由表)

如果是可以路由的,路由器检查这个端口是否有ACL控制进入数据报。(查ACL)

如果有,根据ACL中的条件指令,检查这个数据报。                          (匹配ACL)

如果数据报是被允许的,就查询路由表,决定数据报的目标端口。   (找路由)
 

从路由器出方向:(前面已经检查路由表,且允许此数据从接口处了)

路由器检查目标端口是否存在ACL控制流出的数据报。

若不存在,这个数据报就直接发送到目标端口。

若存在,就再根据ACL进行取舍。然后在转发到目的端口

  • 一个接口下,一个方向,只能匹配一个ACL规则

在路由器上应用ACL时,可以为每种协议(Per Protocol)、每个方向(Per Direction)和每个接口(Per Interface)配置一个ACL,一般称为“3P原则”。

 

一个ACL只能基于一种协议,因此每种协议都需要配置单独的ACL

 

经过路由器接口的数据有进(ln)和出(Out)两个方向,因此在接口上配置访问控制列表也有进(In)和出(Out)两个方向。每个接口可以配置进方向的ACL,也可以配置出方向的ACL,或者两者都配置,但是一个ACL只能控制一个方向。一个ACL只能控制一个接口上的数据流量,无法同时控制多个接口上的数据流量

  • 创建规则后

生效规则,是要在接口下生效规则。

traffic-filter inbound acl 2000  对接口而言进来的流量去匹配2000的acl进行流量过滤

  • 注意

  • 注意ACL的最后一条语句,最后一条隐含的语句适用于不满足之前任何条件的所有数据包。是拒绝语句,因为如果当前面所有语句都无法匹配时,将会走到最后一条语句,此时会将所有没有匹配上的数据自动丢弃,以防数据意外进入网络。因此,在写“拒绝(deny)”的ACL时,一定至少要有一条允许(Permit)语句,否则配置ACL的接口将拒绝任何数据通过,影响正常的网络通信。

  • 与此同时,网络ACL还需注意一点,最有限制性的语句应该放在ACL的靠前位置,可以过滤很多不符合条件的数据,从而提供路由器工作效率。
  • 一旦被前面有rule被匹配上了,就不再继续向下匹配 

附上参考链接:

网络ACL的应用规则有哪些?-金山云 (ksyun.com)

(75条消息) [ 网络协议篇 ] 一篇文章让你掌握神秘的 ACL__PowerShell的博客-CSDN博客

ACL规则实验
萝卜拌凉菜的博客
06-06 3446
目录标题拓扑图:实验要求第一部分1、为交换机增加VLAN2、将交换机上面一个接口设为trunk,下面四个接口设为access3、配置R1接口及单臂路由4、配置R2接口第二部分:1、拖入网云,分别连接VMnet1和WLAN网段2、在R1,R2,Linux和Win10上配置静态路由,实现全网ping通R1R2Win10:服务器:3、测试,全网ping通4、在R1上配置ACL规则,实现奇数可以ping通R2环回,偶数ping不通5、验证,PC2可以ping通2.2.2.2,PC3不能ping通6、在R2上配置扩展
【无标题】
L_LXZ的博客
01-08 342
一、实验要求 需求:R1-R2-R3-R4-R5运行RIPV2 R6-R7运行RIPV1 1、使用合理Ip地址规划网络,各自创建环回接口 2、R1创建环回172.16.1.1/24 172.16.2.1/24 172.16.3.1/24 3、要求r3使用R2访问R1环回 4、减少路由条目数量,增加路由传递安全性 5、R5创建一个环回模拟运营商,不能宣告 6、R1 telnet R2环回实际telnet到R7上 7、R6-R7路由器不能学习到达r1环回路由 8、全网可达 ...
ACL规则总结
weixin_30752699的博客
05-24 3900
一、ACL的使用场合:允许或禁止对路由器或来自路由器的telnet访问;QOS与队列技术;策略路由;数据速率限制;路由策略;端口流镜像;NAT。二:规则总结: 1、按照由上到下的顺序执行,找到第一个匹配后既执行相应的操作(然后跳出ACL) 2、每条ACL的末尾隐含一条deny any的规则 3、ACL可应用于某个具体的IP接口的出方向或入方向 4、ACL可应用于系统的某种特定的服务(如针对...
ACL基本原则
weixin_43142543的博客
12-11 5376
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、ACL的作用二、使用步骤1.引入库2.读入数据总结功能: 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可
Haproxy 的 ACL 规则及实战案例
Xucf1
01-24 5116
文章目录一、ACL 规则1.概述2.主要功能3.语法二、Haproxy 实现智能负载均衡1.实验环境2.配置 Apache 服务器3.基于地址的访问控制4.基于访问文件的控制与重定向5.实现动静分离功能的智能负载均衡 一、ACL 规则 1.概述 比起使用 LVS 做负载均衡,Haproxy 能提供更加强大的功能 因为 Haproxy 支持 ACL 规则,用于定义三层到七层的规则来匹配一些特殊的请求,实现基于请求报文首部、相应报文内容或者是一些其他状态信息,从而根据需要进行不同的策略转发响应 2.主要功
华为交换机配置acl规则
yangnianlong的博客
08-13 9375
华为交换机配置acl规则 1、实验拓扑 2、设备IP配置 3、基础环境组网配置 进入核心交换机 system-view [Huawei]sysname jigui-sw [jigui-sw]vlan batch 10 20 30 [jigui-sw]interface GigabitEthernet 0/0/1 [jigui-sw-GigabitEthernet0/0/1]port link-type access [jigui-sw-GigabitEthernet0/0/1]port default
setfacl命令 设置文件ACL规则
01-09
ACL指文件的所有者、所属组、其他人的读/写/执行之外的特殊的权限, 对于需要特殊权限的使用状况有一定帮助。 如,某一个文件,不让单一的某个用户访问。 语法格式:setfacl [参数] [文件] 常用参数: -m –...
EMQ配置ACL权限控制规则图文教程.pdf
06-23
EMQ的ACL规则配置是以插件方式进行实现,以实现对信息发布 (PUBLISH)/订阅(SUBSCRIBE)操作的权限控制。例个例子:拒绝用户名为Test的客户端向$sys/abc/主题发布信息。在EMQ X 中提供了多种ACL插件的支持,如内置ACL...
ACL原理及配置
zhangchang3的博客
02-10 2665
ACL原理及配置
ACL详解
weixin_60917414的博客
03-22 3166
ACL详解,很详细
ACL的配置
最新发布
Ljw3187136228的博客
06-14 1862
一、引言随着网络技术的不断发展,网络安全问题日益突出。在网络通信中,访问控制列表(Access Control List,简称ACL)作为一种重要的安全机制,被广泛应用于路由器、交换机、防火墙等网络设备中,用于控制数据包的访问权限,确保网络通信的安全性和可靠性。本文将对ACL的配置进行详细介绍,包括ACL的基本原理、分类、配置方法、应用原则及注意事项等方面,旨在为读者提供一份全面、深入的ACL配置指南。二、ACL概述ACL是一种网络安全技术,用于控制数据包的访问权限。
ACL(访问控制列表,Access Control Lists)
Nove1205的博客
04-22 3628
ACL(访问控制列表)相关知识点
ACL的基本原理与配置
ll945608651的博客
02-10 9768
ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。
ACL原理与配置
chenzhivhao的博客
06-07 943
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为,防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。引入:随之网络的飞速发展,网络安全网络质量QoS(Quality of Service)问题日益突出。数据包经过端口,端口配置acl,路由器会对数据包的报文进行检查,并做出相对反应。(ACL,Access Control List)是与其紧密相关的一个技术。当数据包经过路由器端口,系统会检查端口是否配置ACL
ACL最全详解:原理及作用、分类及特点、配置及需求
热门推荐
最铁头的网工博客
04-29 4万+
ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。 为什么需要ACL? 根据规则过滤的ACL,能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等的功能
reset ACL规则
06-01
好的,要重置ACL规则,首先需要进入ACL配置模式。在Cisco路由器上,可以通过以下命令进入ACL配置模式: ``` conf t ip access-list standard <acl-name> ``` 其中,`<acl-name>`是你想要配置的ACL的名称。进入ACL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冻龄廖女士

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值