HCIA 7 ACL访问控制列表

已于 2023-02-06 19:27:38 修改
阅读量197 收藏
点赞数 1
分类专栏: HCIA 文章标签: 网络
于 2022-11-24 16:20:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48814356/article/details/128021114
版权
本文详细介绍了ACL访问控制列表的用途、匹配规则、分类及配置命令。ACL主要用于路由器接口上的流量控制,分为标准和扩展两种类型,分别关注源IP和源、目标IP。配置时需注意规则的匹配顺序及接口调用方向。此外,还展示了如何利用扩展列表控制目标端口号和ICMP服务。
摘要由CSDN通过智能技术生成

ACL 访问 控制列表

作用:

1,访问控制----在路由器流量进或出的接口上,匹配流量产生动作----允许,拒绝

2, 定义感兴趣流量----抓取流量,之后给到其他的策略,让其它策略进行工作;

匹配规则:

自上而下逐一匹配,上调匹配按上调执行,不在查看下条;cisco系统默认末尾隐含拒绝所有;

华为系统末尾隐含允许所有

分类:

1,标准---仅关注数据包中的源IP地址

2,扩展---关注数据包中的源,目标IP地址,目标端口号或协议号

配置命令:

一,标准 --- 由于标准ACL仅关注数据中的源IP地址;故调用时必须尽量靠近目标;避

免对其它流量访问的误删;

编号 2000-2999 为标准列表编号,一个编号为一张表;

[r2]acl 2000

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0

[r2-acl-basic-2000]rule deny source 192.168.0.0 0.0.255.255

     动作                源IP 地址

源IP地址需要使用通配符来匹配范围;通配符和反掩码的区别在于:通配符可以0与1穿插书写;

ACL定义完成后,必须在接口上调用方可执行;调用时一定注意方向;一个接口的一个方向上只能调用一张表;

[r2]interface GigabitEthernet 0/0/1

[r2-GigabitEthernet0/0/1]traffic-filter?

  inbound     Apply ACL to the inbound direction of the interface

  outbound  Apply ACL to the inbound direction of the interface

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

[r2-GigabitEthernet0/0/1]undo traffic-filter outbound

二,扩展列表配置---由于扩展ACL源,目IP地址均关注,故调用时尽量靠近源;尽早处理

流量;

[r1]acl 3000 扩展列表编号  3000-3999

[r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.3.2 0.0.0.0

源ip地址                                     目标IP地

[r1-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0.0.0.255

源、目IP地址位置,使用通配符0标记一个主机,或使用反1标记段,或只用any均可

[r1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

三,使用扩展列表,同时关注目标端口号

        目标端口号:服务端使用著名端口来确定具体的服务;

        ICMPV4----internet 控制管理协议 ---ping

Telnet ---- 远程登录   明文(不加密)基于tcp  目标端口号 23;

条件:1,被登录设备与登录设备网络可达;

  2,被登录设备进行了telnet服务配置

[r1]aaa

[r1-aaa]local-user rose privilege level 15 password cipher 123456

[r1-aaa]local-user rose service-type telnet

创建名为rose的账号,权限最大,密码为123456,仅能用来远程登录

[r1]user-interface vty 0 4

[r1-ui-vty0-4]authentication-mode aaa 在vty线上开启认证

[r1]acl 3001

[r1-acl-adv-3001]rule deny tcp source 192.168.1.1 0  destination  192.168.2.0 0     destination-port eq 23

       拒绝 192.168.1.10 对192.168.1.1 访问时,传输层协议为tcp,且目标端口号为23.

[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3001

[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0

仅拒绝 192.168.1.10 对 192.168.1.1 的ICMP 访问

[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3002

小胖鲸~
关注
专栏目录
ACL访问控制列表
weixin_44537595的博客
03-06 340
2.9.1为什么要有ACL? 2.9.2ACL的概念 ACL(Access Control List),是一张管理员手动添加的用于数据包访问控制列表,路由器通过逐项读取列表中的条目来判断当前数据包是放行还是丢弃。是一个路由器数据处理数据包的行为规范手册。 ACL的分类 2.9.3ACL的实现方式 第一步:确定部署位置 可以部署在被控数据包的必经之路上 但部署在靠近源的位置且尽量集中化部署...
ACL常用的匹配项
qq_32044265的博客
05-29 4801
交换机支持的ACL匹配项种类非常丰富,其中以下的几个匹配项比较常用 生效时间段 ACL的生效时间段可以规定ACL规则在何时生效,从而实现在不同的时间段设置不同的策略。 在ACL规则中引用的生效时间段存在两种模式: 周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。 绝对时间段:从某年某月某日的某一时间开始,到某年某月某日的某一时间结束,表示规则在这段时间范围内生效。 同一名称(time-name)配置多条时间段时,通过以下规则选出最终生效
防火墙网络组建 源地址通配符
Microsoft的博客
06-03 4648
通配符掩码表  CIDR 子网掩码 反掩码     /30 255.255.255.252 0.0.0.3    /29 255.255.255.248 0.0.0.7    /28 255.255.255.240 0.0.0.15    /27 255.255.255.224 0.0.0.31    /26 255.255.255.192 0.0.0.63    /25 255.2
HCIA——ACL访问控制列表
钟言的博客
05-07 1259
本篇介绍了ACL访问控制列表也就是ACL出现的原因,以及ACL可以实现的功能,同时也包含了ACL的匹配规则,ACL的不同分类,比如基础ACL,高级ACL,同时二层ACLACL的基础配置,配置接口IP,以及配置OSPF协议以及配置ACL并进行接口调用,本篇用一个实验分别介绍了基础的ACL以及高级ACL的配置全过程,另外我们害拓展了如如何用ACL来停用两个PC之间的远程登陆TELNET。
HCIA-ACL-访问控制列表
m0_61579490的博客
07-28 229
HCIA-ACL-访问控制列表
HCIA (ACL访问控制列表
weixin_68256171的博客
08-09 349
ACL访问控制列表)是由一条或多条规则组成的集合。每条规则描述报文匹配条件(报文的源地址、目的地址、端口号等)的判断语句,设备基于这些规则进行报文匹配,可以过滤出特定的报文。
HCIAACL访问控制列表
dqforgive的博客
08-07 337
ACL访问控制列表 1、访问控制:在路由器流量进或出的接口上匹配流量,之后进行控制 2、定义感兴趣流量:ACL的限制手段--允许-permit 拒绝-deny 匹配规则:自上而下逐一匹配,上条匹配按上条进行,不再查看下条 Cisco在末尾隐含一条拒绝所有;华为在末尾隐含一条允许所有 ACL的分类 1、标准ACL:仅匹配流量中的源IP地址 2、拓展ACL:匹配流量中源/目标地址,目标端口号或者目标协议号 ACL的写法 1、编号 2、命名 命名 1、标准acl`因为只匹配流量中的源IP地址,故调用时为避免误删,
HCIA--ACl访问控制列表
夜星空如海的博客
08-23 350
ACL访问控制列表笔记
华为HCIA进阶笔记:ACL 访问控制列表
君逍遥o
06-20 2921
企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
HCIA 第七天 ACL访问控制列表
G的博客
09-20 351
文章目录ACL 访问控制列表标准ACL扩展ACLtelnet 远程登录 ACL 访问控制列表 访问限制:在路由器流量进或出的接口上匹配流量,之后对其进行控制 定义感兴趣流量 匹配规则 自上而下逐一匹配,上条匹配按照上条执行,不再查看下一条 Cisco在末尾隐含一条拒绝所有,华为在末尾隐含允许所有 ACl的分类 标准ACL:仅匹配流量中的源IP地址 扩展ACL:匹配流量中的源IP地址或者目标IP地址,目标端口号,目标协议号(相对细一些) 标准ACL ACL的的写法 编号 命名 配置标准ACL
HCIA-Datacom实验指导手册:4.1 实验一:访问控制列表配置实验,fragment分片acl演示。
lvshiliang123的博客
01-29 486
fragment分片acl
HCIA--访问控制技术--NAT、ACL、aaa、IPSec、vpn、GRE
qq_42404383的博客
02-03 2293
HCIA访问控制技术–NAT、ACL、aaa、IPSec、vpn、GRE 一、网络地址转换(NAT) 工作原理: 借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。 基本配置: 静态NAT: nat static global 公...
8.19HCIA(ACL,NET)
m0_48944871的博客
08-21 322
HCIA
嵌入式学习-网络高级-Day01
Xiaomo1536的博客
11-06 1006
对于读数据以及写单个来说,在主机询问报文里面报文头中字节长度固定,都是0x0006,(1个字节的单元标识符,1个字节功能码,2个字节的地址,2个字节的数据)输入寄存器,这个和保持寄存器类似,但是也是只支持读而不能写。报文头------功能码-------起始地址-------数量--------字节计数--------数据。报文头(字节长度可能发生变化)------功能码------字节计数-------数据。报文头------功能码-------地址-------数据/断通标志(2个字节)
【网络】深入理解 HTTPS:确保数据传输安全的核心协议
人生苦短,睡觉要紧,睡醒再说
11-06 1563
HTTPS(HyperText Transfer Protocol Secure)是 HTTP 协议的安全版本。HTTP 是用于客户端与服务器之间传输网页数据的协议,而 HTTPS 在 HTTP 协议的基础上添加了一层SSL/TLS加密协议,使得传输的数据在网络中不易被窃取或篡改。HTTPS 通常用于传输敏感信息,如登录凭证、支付信息、个人数据等。与 HTTP 协议不同,HTTPS 在数据传输过程中会对信息进行加密,确保数据在传输过程中不被第三方监听或修改。
第六章传输层协议、ACL
2401_86349554的博客
11-05 850
第六章传输层协议、ACL
防火墙|WAF|漏洞|网络安全
qq_43777616的博客
11-06 850
防火墙|WAF|漏洞|网络安全
软考中级 软件设计师 上午考试内容笔记(个人向)Part.1
最新发布
ozawacai的博客
11-09 595
如标题所示
华为HCIA题库分享与考试要点解析
7. 访问控制列表ACL)编号:基本的访问控制列表编号范围通常是2000-3999,而高级的访问控制列表编号范围是3000-4000。选项A、B和C描述的编号范围均不正确。选项D描述的4000-4999是针对IPv6的基本访问控制列表,与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值