HCIA 7 ACL访问控制列表

已于 2023-02-06 19:27:38 修改
阅读量165 收藏
点赞数 1
分类专栏: HCIA 文章标签: 网络
于 2022-11-24 16:20:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48814356/article/details/128021114
版权

ACL 访问 控制列表

作用:

1,访问控制----在路由器流量进或出的接口上,匹配流量产生动作----允许,拒绝

2, 定义感兴趣流量----抓取流量,之后给到其他的策略,让其它策略进行工作;

匹配规则:

自上而下逐一匹配,上调匹配按上调执行,不在查看下条;cisco系统默认末尾隐含拒绝所有;

华为系统末尾隐含允许所有

分类:

1,标准---仅关注数据包中的源IP地址

2,扩展---关注数据包中的源,目标IP地址,目标端口号或协议号

配置命令:

一,标准 --- 由于标准ACL仅关注数据中的源IP地址;故调用时必须尽量靠近目标;避

免对其它流量访问的误删;

编号 2000-2999 为标准列表编号,一个编号为一张表;

[r2]acl 2000

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0

[r2-acl-basic-2000]rule deny source 192.168.0.0 0.0.255.255

     动作                源IP 地址

源IP地址需要使用通配符来匹配范围;通配符和反掩码的区别在于:通配符可以0与1穿插书写;

ACL定义完成后,必须在接口上调用方可执行;调用时一定注意方向;一个接口的一个方向上只能调用一张表;

[r2]interface GigabitEthernet 0/0/1

[r2-GigabitEthernet0/0/1]traffic-filter?

  inbound     Apply ACL to the inbound direction of the interface

  outbound  Apply ACL to the inbound direction of the interface

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

[r2-GigabitEthernet0/0/1]undo traffic-filter outbound

二,扩展列表配置---由于扩展ACL源,目IP地址均关注,故调用时尽量靠近源;尽早处理

流量;

[r1]acl 3000 扩展列表编号  3000-3999

[r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.3.2 0.0.0.0

源ip地址                                     目标IP地

[r1-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0.0.0.255

源、目IP地址位置,使用通配符0标记一个主机,或使用反1标记段,或只用any均可

[r1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

三,使用扩展列表,同时关注目标端口号

        目标端口号:服务端使用著名端口来确定具体的服务;

        ICMPV4----internet 控制管理协议 ---ping

Telnet ---- 远程登录   明文(不加密)基于tcp  目标端口号 23;

条件:1,被登录设备与登录设备网络可达;

  2,被登录设备进行了telnet服务配置

[r1]aaa

[r1-aaa]local-user rose privilege level 15 password cipher 123456

[r1-aaa]local-user rose service-type telnet

创建名为rose的账号,权限最大,密码为123456,仅能用来远程登录

[r1]user-interface vty 0 4

[r1-ui-vty0-4]authentication-mode aaa 在vty线上开启认证

[r1]acl 3001

[r1-acl-adv-3001]rule deny tcp source 192.168.1.1 0  destination  192.168.2.0 0     destination-port eq 23

       拒绝 192.168.1.10 对192.168.1.1 访问时,传输层协议为tcp,且目标端口号为23.

[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3001

[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0

仅拒绝 192.168.1.10 对 192.168.1.1 的ICMP 访问

[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3002

小胖鲸~
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ACL常用的匹配项
qq_32044265的博客
05-29 4614
交换机支持的ACL匹配项种类非常丰富,其中以下的几个匹配项比较常用 生效时间段 ACL的生效时间段可以规定ACL规则在何时生效,从而实现在不同的时间段设置不同的策略。 在ACL规则中引用的生效时间段存在两种模式: 周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。 绝对时间段:从某年某月某日的某一时间开始,到某年某月某日的某一时间结束,表示规则在这段时间范围内生效。 同一名称(time-name)配置多条时间段时,通过以下规则选出最终生效
HCIA 第七天 ACL访问控制列表
G的博客
09-20 241
文章目录ACL 访问控制列表标准ACL扩展ACLtelnet 远程登录 ACL 访问控制列表 访问限制:在路由器流量进或出的接口上匹配流量,之后对其进行控制 定义感兴趣流量 匹配规则 自上而下逐一匹配,上条匹配按照上条执行,不再查看下一条 Cisco在末尾隐含一条拒绝所有,华为在末尾隐含允许所有 ACl的分类 标准ACL:仅匹配流量中的源IP地址 扩展ACL:匹配流量中的源IP地址或者目标IP地址,目标端口号,目标协议号(相对细一些) 标准ACL ACL的的写法 编号 命名 配置标准ACL
ACL访问控制列表
weixin_44537595的博客
03-06 280
2.9.1为什么要有ACL? 2.9.2ACL的概念 ACL(Access Control List),是一张管理员手动添加的用于数据包访问控制列表,路由器通过逐项读取列表中的条目来判断当前数据包是放行还是丢弃。是一个路由器数据处理数据包的行为规范手册。 ACL的分类 2.9.3ACL的实现方式 第一步:确定部署位置 可以部署在被控数据包的必经之路上 但部署在靠近源的位置且尽量集中化部署...
防火墙网络组建 源地址通配符
Microsoft的博客
06-03 4587
通配符掩码表  CIDR 子网掩码 反掩码     /30 255.255.255.252 0.0.0.3    /29 255.255.255.248 0.0.0.7    /28 255.255.255.240 0.0.0.15    /27 255.255.255.224 0.0.0.31    /26 255.255.255.192 0.0.0.63    /25 255.2
华为HCIA进阶笔记:ACL 访问控制列表
06-20
华为HCIA基础实验 - 基本ACL & eNSP
HCIA-Datacom V1.0 模拟考试
04-15
5. **访问控制列表ACL)**:用于控制网络流量,通过设定规则允许或拒绝特定的数据包通过。 **WLAN(无线局域网)**部分则涉及到: 1. **无线标准**:如802.11a/b/g/n/ac/ax等,理解其速率、频段和覆盖范围的差异...
华为HCIA课程PPT.rar
02-21
ACL(Access Control List)访问控制列表,实现流量过滤与安全控制;QoS(Quality of Service)服务质量,保障关键业务的带宽需求。此外,还将探讨无线网络基础,包括Wi-Fi的工作原理和配置。 通过华为HCIA的系统...
HCIA-DATAcom.rar
05-08
学习配置IP地址、端口安全、访问控制列表ACL)来实现网络安全。 5. **网络故障排查**:学习使用各种网络诊断工具,如ping、traceroute、tcpdump等,以及如何分析日志和性能监控数据来定位和解决网络问题。 6. **...
HCIA综合实验视频.zip
09-28
HCIA综合实验视频】是华为认证信息技术 associate(HCIA)级别的实践教学资源,主要涵盖了网络基础、交换技术、路由技术、广域网、IP服务、无线局域网(WLAN)部署、访问控制列表ACL)以及网络地址转换(NAT)和...
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 283
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 647
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
网络编程套接字socket
安权_code的博客
07-23 962
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
使用WebSocket协议调用群发方法将消息返回客户端页面
2302_79840586的博客
07-27 851
使用WebSocket协议调用群发方法将消息返回客户端页面
H3C与VPN高级应用(七)深入探讨H3C防火墙与VPN高级应用
洛秋的博客
07-23 1117
IPSec(Internet Protocol Security)是一种用于保护IP通信的协议,通过对数据包进行加密和认证来确保数据的机密性、完整性和真实性。IPSec VPN通常用于建立安全的远程连接,保护企业内部网络与远程办公或分支机构之间的数据通信。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,通常用于多个设备共享一个公共IP地址访问互联网。NAT有助于节约公共IP地址,同时增强内部网络的安全性。
DNS域名管理系统、搭建DNS服务
十四的博客
07-23 933
DNS概述。
【计算机网络】OSPF单区域实验
m0_65787507的博客
07-26 762
DR和BDR是由同一网段中所有的路由器根据路由优先级和Router ID通过Hello报文选举出来的,只有优先级大于0的路由器才具有选举资格。进行DR/BDR选举时每台路由器将自己选出的DR写入Hello报文中,发给网段上的每台运行OSPF协议的路由器。如果DR或BDR失效,或者有新的路由器加入网络并希望成为DR或BDR,那么它们将参与新的选举过程。4:非DR路由器将自己的LSA发送给DR,然后DR将这些LSA泛洪到整个区域,使所有路由器获得一致的LSDB,从而确保区域内路由器都能计算出相同的最短路径树。
通信原理-思科实验五:家庭终端以太网接入Internet实验
sinat_39522506的博客
07-24 366
实验五 家庭终端以太网接入Internet实验。接着配置IP地址池和虚拟模板 开启宽带拨号。1.按照上图选择对应的设备,并连接起来。5.为路由器R1配置静态路由项。7.完成终端PC2 IP配置。
Hyperledger Fabric 网络体验 - 网络启动过程概览
ALONG的博客
07-25 473
作为第一次Fabric网络体验,网络启动主要包含三个操作,分别是生成配置文件、启动网络和操作网络。执行完指令能看到fabric已经启动。
华为HCIA题库分享与考试要点解析
7. 访问控制列表ACL)编号:基本的访问控制列表编号范围通常是2000-3999,而高级的访问控制列表编号范围是3000-4000。选项A、B和C描述的编号范围均不正确。选项D描述的4000-4999是针对IPv6的基本访问控制列表,与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值