基础和高级的ACL的基础配置和原理

最新推荐文章于 2024-06-03 10:40:23 发布
最新推荐文章于 2024-06-03 10:40:23 发布
阅读量348 收藏 1
点赞数 1
分类专栏: 网通 文章标签: 网络 智能路由器 vlan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51079220/article/details/129687010
版权

基础和高级的ACL的基础配置和原理

需求

  • 如图配置设备的IP地址
  • 售后服务部不允许访问财务部服务器,但是可以访问其他的网段

拓扑图

在这里插入图片描述

配置思路

  • 配置终端设备

    • 终端PC
    • 服务器

  • 配置网络设备

    • 交换机
    • 路由器

  • 配置策略

    • 确定配置策略的设备
    • 创建ACL
    • 确定调用ACL的端口和方向
    • 调用ACL
    • 验证ACL

  • 验证终端互访是否满足项目要求

配置命令

  • 基础配置
PC1:
192.168.1.1
255.255.255.0
192.168.1.254

PC2:
192.168.2.1
255.255.255.0
192.168.2.254

Server1:
192.168.3.1
255.255.255.0
192.168.3.254

SW1:
undo terminal monitor
system-view
sysname SW1
vlan 10
quit
interface gi0/0/1
port link-type access
port default vlan 10 
quit
interface gi0/0/2
port link-type access
port default vlan 10 
quit

SW2:
undo terminal monitor
system-view
sysname SW2
vlan 20
quit
interface gi0/0/1
port link-type access
port default vlan 20 
quit
interface gi0/0/2
port link-type access
port default vlan 20 
quit


R1:

undo terminal monitor
system-view
sysname R1
interface gi0/0/0
ip address 192.168.12.1 24
quit

interface gi0/0/1
ip address 192.168.1.254 24
quit
ip route-static 192.168.2.0 24  192.168.12.2 // 路由不能忘
ip route-static 192.168.3.0 24  192.168.12.2


R2:
undo terminal monitor
system-view
sysname R2
interface gi0/0/0
ip address 192.168.12.2 24
quit

interface gi0/0/1
ip address 192.168.2.254 24
quit

interface gi0/0/2
ip address 192.168.3.254 24
quit

ip route-static 192.168.1.0 24  192.168.12.1  // 路由不能忘
  • ACL 设置
 R2:
 acl 2001
  rule 10 deny source 192.168.1.1 0.0.0.0
  //该“规则”表示的是:
    检查数据包的“源IP地址”(因为写了source)的4个字节(因为通配符是 0.0.0.0)
    数据包的源IP地址必须是 192.168.1.1 (因为规则中写了 192.168.1.1)
    数据匹配住以后,直接执行“拒绝动作”(因为规则中写了 deny)
  quit 
  
 interface gi0/0/2
   traffic-filter outbound acl 2001  // 华为设备  ACL 与 traffic-filter 连用 默认允许所有
   // 对于该端口而言,要进行流量过滤(因为写了 traffic-filter)
                          仅仅对于出方向的流量起作用(因为写了 outbound)
                          在出方向的流量中,存在很多流量,但是仅仅关注ACL2000匹配的流量
                          如果匹配成功的,则拒绝“出去”。                                
   quit

验证

  • 添加ACL之前
    在这里插入图片描述

  • 添加ACL之后
    在这里插入图片描述

  • 验证ACL

display acl all -> 查看设备上创建的所有的ACL
display traffic-filter applied-record -> 查看ACL在接口上的调用情况

在这里插入图片描述

总结

ACL 类型
  1. 2层ACL
    • 这种类型的ACL,只能检查数据的2层头部
    • 表示ACL,如果通过ID表示的话,那么取值范围是 4000 ~ 4999
    • 基本ACL只能匹配数据的源IP地址,所以匹配数据非常的不精准
    • 为了实现精确的数据匹配,在使用基本ACL时,尽量调用在距离目标设备近的地方
  2. 3层ACL
    • 这种类型的ACL,可以检查数据的3层头部以及4层头部
    • 基本ACL:只能检查数据的3层头部的源IP地址
      • 表示ACL,如果通过ID表示的话,那么取值范围是 2000 ~ 2999
    • 高级ACL:可以检查数据的3层头部的源IP地址、目标IP地址、协议号以及4层头部的源端口和目标端口号
      • 表示ACL,如果通过ID表示的花,那么取值范围是 3000~3999
        ACL,称之为 access control list ,即访问 控制 列表 。

该列表中,包含了很多的“规则”。

每个规则都对应着一个动作,这个动作通常就分为两种:允许(permit) 和 拒绝(deny)

如果数据和这个规则描述的相同,称之为匹配住了该规则,此时才能执行“动作”

如果数据和这个规则描述的不同,称之为没有匹配住规则,此时不能执行“动作”

但是,每个“列表”中,通常都会存在一个 默认规则

不懂说安全
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基本ACL高级ACL原理配置
buwfrpt607658344的博客
08-10 1万+
1.ACL的作用:匹配数据包,实现数据包的控制(过滤或放行)2.ACL的类型:基本ACL 表示方式:ID,取值控制为:2000~2999仅仅能匹配数据包的源IP地址匹配数据包不精确建议: 在调用时,尽量调用在距离目标设备近的地方;高级ACL 表示方式:ID,取值控制为:3000~3999 可以同时匹配数据包的源IP地址、目标IP地址、协议、源端口、目标端口;匹配数据更加的精确 ...
ACL原理以及配置方法
勤能补拙,知行合一
10-21 1565
文章目录ACL原理ACL的种类:ACL的应用原则:ACL配置实例 前言:本章介绍ACL原理以及基础ACL,高级ACL配置 ACL原理: 访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。 访问控制列表(ACL)的工作原理 ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。 ACl是一组规则的集合,
网络基础学习(第八章):ACL原理配置
weixin_42054864的博客
06-06 2074
一、ACL访问控制列表1.1 ACL的两种作用:● 用来对数据包做访问控制(丢弃或者放行)● 结合其他协议,用来匹配范围1.2 访问控制列表● 读取第三层,第四层包头信息● 根据预先定义好的规则对包进行过滤1.3 访问控制列表在接口应用的方向● 出: 已经过路由器的处理,正离开路由器接口的数据包。● 入:已到达路由器接口的数据包,即将被被处理。注:数据是有去又回的,进的是进口,回来的时候就是出口,出的是出口,回来的时候就是进口。
ACL配置原理和实验
m0_73695023的博客
02-11 180
acl配置真的很有趣,可以限制一些软件使用,限制网络的通信.
2022-01-02 网工基础(十八)ACL原理配置
x629242的博客
01-03 2886
ACL原理配置 随着网络的飞速发展,网络安全和网络服务质量QoS(QualityofService)问题日益突出。访问控制列表(ACL,AccessControlList)是与其紧密相关的一个技术。 ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。 一 ACL概述 ACL是由一系列permit或deny语句组成的、有序规则的列表。 ACL是一个匹配工具,能够对报文进行匹配
高级ACL基础配置命令
qq_23930765的博客
01-11 4387
它的基本原理是:配置ACL网络设备根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对匹配上的报文执行事先设定好的处理动作。处理动作的不同以及匹配规则的多样性,使得ACL可以发挥出各种各样的功效。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。主要介绍了ACL的相关技术知识,包括:ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置及应用。在基本ACL视图下,通过此命令配置基本ACL的规则。
基础】华为设备基本和高级ACL配置实战
weixin_33755847的博客
11-22 5661
实验拓扑: 使用ENSP模拟器(版本V100R002C00 1.2.00.350) 实验要求: 1.在华为设备上配置标准ACL实现vlan 10主机不能和vlan20主机互访,但可以正常上网。 2.在华为设备上配置扩展ACL实现vlan 10主机不能和vlan 20主机互访,但可以正常上网;vlan 10中C2需要和vlan 20中C3通信,...
网络(十)ACL和NAT
qq_64612585的博客
12-16 1204
网络管理在生产环境和生活中,如何实现拒绝不希望的访问连接,同时又要允许正常的访问连接?当下公网地址消耗殆尽,且公网IP地址费用昂贵,企业访问Internet全部使用公网IP地址不够现实,如何让私网地址也可以访问Internet?针对上面两个问题,将分别介绍ACL与NAT技术。目录前言一、ACL1. 概述2. ACL的作用3. ACL的类型4. 工作原理5. ACL配置5.1 命令参数介绍5.2 图示5.3 配置路由器接口IP地址。
数通IA实验topo 数通基础知识
09-20
1)数通基础知识  2)网络基本概念、IP网络构架、标准化组织与协议  3)OSI、TCP/IP协议模型结构、各个层次的功能... 1)ACL的基本原理以及配置方法  2)AAA的原理及应用场景  3)NAT的基本原理  4)NAT的应用场景以及
网络安全管理基础自学全套课程
09-13
3.2 ACL包过滤防火墙 4.1 ISA2004简介及安装 4.2 ISA2004基本配置 5.1 IDS概念及原理 5.2 IDS分类及发展 5.3 IDS安装与部署 5.4为IDS编写规则 6.1关于计算机病毒 6.2部署企业防病毒方案 7.1资深网工秘籍之网络管理...
华为数通基础培训PPT汇总集.rar
10-17
03_网络设备管理及基础配置 04_网络拓扑绘制技能专题 05_eNSP华为网络设备仿真平台 06_以太网二层交换基础 07_STP生成树协议基础 08_实现VLAN间的通信 09_以太网端口镜像(含报文分析)和链路聚合 10_Smart_...
H3C基础入门实战视频.zip
03-18
目录 1---H3C技术入门.zip 2---H3C网络设备管理.zip 3-1---配置路由选择协议(Part1 路由原理).zip 3-2---配置路由选择协议(Part2 动态路由原理回顾).zip 3-3---配置路由选择协议...6 以太网交换机基础配置.zip
第一阶段:基础知识(思科)
05-05
02 交换机的基本概念和配置:交换机的转发,2层交换和3层交换 03 VLANVLAN概念,优点,作用,类型,端口模式,中继的概念 05 STP:概念和作用,了解原理 06 VLAN间路由:VLAN通信的方式 05 访问控制列表(ACL):...
Java网络编程(上)
qq_34471880的博客
06-01 904
数据在网络的传输, 局域网的概念, 广域网的概念, 网络协议, TCP五层模型, 网络封装 网络分用
网络编程(一)
最新发布
xuezhe_____的博客
06-03 751
网络的分层模型和每层所使用的协议的集合。
冶炼钢铁厂热风炉发酵池煤矸石进回水无线远程温度监测
weixin_46970383的博客
05-30 331
Modbus RTU 标准Modbus-RTU通信协议。Modbus RTU使用二进制格式传输数据,并使用串行通信协议(如RS-232或RS-485)进行数据传输。它通常用于连接不同厂家的可编程逻辑控制器(PLC)、传感器、执行器和其他自动化设备。
note-网络是怎样连接的4 接入网和网络运营商
qq_42783188的博客
05-29 426
在BAS和运营商路由器之间的ADSL/FTTH接入服务商的网络中建立隧道,把用户到BAS的接入网连接起来,形成一条从用户一直到运营商路由器的通道。这些状况不是稳定出现的。一方路由器让相连的运营商的路由器告知路由信息后,就能知道对方路由器连接的所有网络,把这些信息写入自己的路由表中,就能向那些网络发送包了。运营商之间的路由交换是在特定路由器间一对一进行的,运营商可以只将路由信息提供给交了费的运营商,没交费的运营商无法将网络包发送过来。Modem产生的信号是以一定周期振动的波,振动的起始位置不同,波形就不同。
解密网络流量监控:优化IT运维的利器
Johnstons的博客
05-29 365
通过实时监测和分析网络流量,管理员可以及时发现并解决网络问题,确保业务的顺畅进行。作为一名资深网络工程师,我将分享一些关于网络流量监控的重要知识,并探讨如何在IT运维中运用这一工具优化网络性能,确保业务的顺畅进行。网络流量监控是指对网络中的数据流进行实时监测和分析,以了解网络使用情况、性能状况和潜在问题。通过网络流量监控,可以及时发现网络拥塞、异常流量和安全威胁,帮助管理员快速做出反应,保障网络的稳定运行。定期对监控数据进行分析,发现网络性能问题的潜在原因,并采取相应的优化措施,从而持续提升网络性能。
华为设备 高级acl inbound和outbound 配置案例
03-31
1. 配置高级ACL inbound acl number 3001 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 rule 10 deny ip source any destination any interface GigabitEthernet 0/0/0 ip ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不懂说安全

创作不易您打赏是对我最大的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值