ACL(访问控制列表)

已于 2024-08-14 11:24:52 修改
阅读量273 收藏 5
点赞数 7
文章标签: 网络 服务器 运维 华为
于 2024-08-14 11:20:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57945391/article/details/141183221
版权

ACL,Access Control List,访问控制列表,流量工程技术

ACL编号(华为)

基本ACL(Basic),只能匹配源地址信息:2000~2999

高级ACL(Advanced),可以匹配源目的IP、端口及协议:3000~3999

二层ACL(L2),用于二层技术:4000~4999

自定义ACL(Name),属于扩展功能:5000~5999

ACL的规则结构

  • 条件

安全套接字(sip、dip、sport、dport、protocol)

  • 动作

deny(拒绝)、permit(允许)

路由器收到数据包的执行顺序:收包→执行入接口(ACL)→匹配路由表→执行出接口(ACL)→转发

ACL的匹配原则

根据Rule-ID进行顺序匹配,若成功,则不再对剩余的规则进行匹配;如果所有的规则都未匹配成功则视为允许通过;

①自上而下优先匹配;

②末尾隐含拒绝;

基本ACL(实验)

要求:1、PC1可以和PC2、PC3通信;

           2、使用ACL,让PC2不可以和PC1通信,PC可以和PC1通信;

AR1:

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.12.1 24
[Huawei]rip 1
[Huawei-rip-1]net 192.168.12.0
[Huawei-rip-1]net 192.168.1.0
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule deny source 192.168.2.2 0
[Huawei-acl-basic-2000]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000

AR2:

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.12.2 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]rip 1 
[Huawei-rip-1]net 192.168.12.0
[Huawei-rip-1]net 192.168.2.0

 运行结果:

PC2和PC1可以通信。

PC3和PC1不能通信

 高级ACL(实验)

Server1:

启动服务器,导入文件(随便一个文件夹);

Client1:

AR1:

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.12.1 24
[Huawei]rip 1
[Huawei-rip-1]net 192.168.12.0
[Huawei-rip-1]net 192.168.1.0
[Huawei-GigabitEthernet0/0/1]acl 3000
[Huawei-acl-adv-3000]rule deny tcp destination-port eq 80 source 192.168.2.2 0 destination 192.168.1.1 0
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000

AR2:

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.12.2 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]rip 1 
[Huawei-rip-1]net 192.168.12.0
[Huawei-rip-1]net 192.168.2.0

运行结果:

可以ping成功,

获取Http服务失败;

如果ping失败,获取http服务成功;

首先进入:acl 300
查询:dis th
删除:undo rule (查询到的数字)
[Huawei-acl-adv-3000]rule deny icmp source 192.168.2.2 0 destination 192.168.1.1 0

例如:

@荏苒
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ACL 访问控制列表
高飞的博客
12-28 32万+
访问控制列表
ACL访问控制列表
qq_45948932的博客
12-26 3367
ACL访问控制列表一、简介1.工作原理2. 访问控制列表类型二、CLI指令1. 创建ACL指令1.1 创建标准ACL1.2 创建扩展ACL2. 删除ACL指令3. 查看ACL指令4. ACL与交换机端口(加入)5. ACL与交换机端口(删除)三、具体实现1. 访问权限控制分析1.1 行政部门1.2 销售部门1.3 生产车间2. 配置语句2.1 配置行政部门2.2 配置销售部门2.3 一、简介 访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数
ACL 访问控制列表 实验
m0_72279717的博客
04-30 1787
1、ACL - Access Control List - 访问控制列表。2、ACL是一系列有序的语句。(1)有序:ACL有序号,执行时按顺序查找并匹配。默认先写的语句序号靠前。--- 所以注意书写规则的顺序,精确的规则放在前面。如果查完了列表没有匹配的条件,则默认拒绝所有 deny all。--- 所以全是deny的ACL中,最后一条应该写上permit any。等同于 access-list 10 permit any。这里的255.255.255.255是。
acl访问控制列表
jhy1798807161的博客
03-22 1349
作用:1访问控制列表ACL)读取第三层,第四层包头协议,根据预先定义好的规则对包进行过滤。要么放行要么丢弃。2结合其他协议,用来匹配范围。根据通信五元素来实现具体的匹配1 访问控制列表在接口应用的方向2 事先在一个接口定义好相关的规则,然后根据相关的规则去处理经过这个接口的数据包,最终结果要么放行要么丢弃。基本acl(2000-2999)只能匹配源IP地址高级acl(3000-3999)可以匹配源ip,目标IP,源端口,目标端口等三层和四层的字段和协议)
ACL访问控制列表.docx
10-13
ACL 访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包。下面是 ACL 访问控制列表的相关知识点: 1. ACL 访问控制列表的定义:ACL 是路由器和交换机接口的指令列表,用来控制端口进出的数据包...
ACL访问控制列表·ppt
04-30
ACL 访问控制列表 ACL(Access Control List,访问控制列表)是一种非常重要的基础性工具,主要用于控制和过滤网络流量。它是由一系列有序的条目组成的,每个条目包含“条件”和“动作”两元素。 ACL 的类型: 1....
ACL访问控制列表说明
10-24
ACL
26_ACL访问控制列表基础.pptx
09-27
ACL访问控制列表基础
HAProxy基本配置及参数实操
Webston的博客
08-12 853
静态#动态#以下静态和动态取决于hash_type 是否consistentfirst #使用较少static-rr #做了session 共享的web集群leastconn #数据库source#基于客户端公网IP 的会话保持Uri--------------->http #缓存服务器,CDN服务商,蓝汛、百度、阿里云、腾讯url_param--------->http #可以实现session 保持hdr #基于客户端请求报文头部做下一步处理高。
mpls vpn基础实验
wudongfang666的专栏
08-10 474
场景:异地两个站点通过mpls vpn骨干网络实现安全通讯虚拟路由转发 VRF ,相当于在设备内建立一条虚拟通道,一个vpn的实例(vrf)可以简单的理解为一台虚拟设备。拓扑图。
Netty原理及实战应用(下篇)
program哲学
08-12 46
本文详细介绍了netty关于websocket集成、消息推送应用、网络连接编解码等方面的内容
48天笔试训练错题——day44
ミカミミミ博客
08-08 827
48天笔试训练错题——day44.
思路超清晰的 LVS-NAT 模式实验部署
star103301的博客
08-09 1015
一、实验原理1、实验基础配置图。
运用Npcap库实现SYN半开放扫描
CSDN
08-10 1080
Npcap 是一款高性能的网络捕获和数据包分析库,作为 Nmap 项目的一部分,Npcap 可用于捕获、发送和分析网络数据包。本章将介绍如何使用 Npcap 库来实现半开放扫描功能。TCP SYN 半开放扫描是一种常见且广泛使用的端口扫描技术,用于探测目标主机端口的开放状态。由于这种方法并不完成完整的 TCP 三次握手过程,因此具有更高的隐蔽性和扫描效率。
网络安全优秀创新成果大赛哈尔滨站”名场面,智能代码安全解决方案斩获大奖
最新发布
weixin_55163056的博客
08-13 220
开源网安“医保系统下基于AI大模型智能代码安全解决方案”荣获CCIA“2024年网络安全优秀创新成果大赛杭州分站赛”优胜奖。本方案通过引入AI大模型、机器学习等多种创新种技术,来解决医保系统源代码存在的安全隐患和质量问题。方案有效解决了某医保局在代码安全检测不全面、漏洞修复效率低、抵御外部攻击能力弱等问题,实现了对源代码全方位深层次的安全检测,智能化修补代码漏洞,提升代码质量和可维护性,确保客户系统上线后可安全稳定地运行,有效降低故障和被攻击的风险。
【学习笔记】A2X通信的协议(六)- A2X Uu通信(一)
u011376987的博客
08-11 555
本条款描述了UE和A2X应用服务器之间通过Uu进行A2X通信的程序。除了3GPP TS 33.501[21]中为与5GCN的Uu连接指定的安全或隐私程序外,通过Uu的A2X通信没有其他额外的安全或隐私程序。本规范支持基于IP和非基于IP的通过Uu的A2X通信。在本规范的此版本中,通过Uu传输的A2X消息在上行链路中仅通过单播发送或接收,而在下行链路中则通过单播或多播广播单频网络(MBS)发送或接收。此外,A2X消息是通过用户平面上的用户数据通过Uu传输的。
什么是haproxy七层代理
m0_64981741的博客
08-11 732
HAProxy是法国开发者 威利塔罗(Willy Tarreau) 在2000年使用C语言开发的一个开源软件是一款具备高并发(万级以上)、高性能的TCP和HTTP负载均衡器支持基于cookie的持久性,自动故障切换,支持正则表达式及web状态统计企业版网站:社区版网站:github:#静态#动态#以下静态和动态取决于hash_type是否consistent对指定的报错进行重定向,进行优雅的显示错误页面。
等保测评中,如何确保技术与管理的双重视角得到有效实施?
w13359990065的博客
08-12 426
8. 持续监控和审计:通过持续的监控和审计,确保技术防护和管理措施得到有效执行,并及时调整以应对新出现的威胁。2. 制定明确的政策和标准:制定明确的网络安全政策和标准,确保所有技术实施和管理措施都符合等级保护的要求。4. 风险评估:进行定期的风险评估,识别潜在的安全威胁和漏洞,从技术和管理两个层面制定相应的防护措施。13. 技术与管理的整合:在实施过程中,确保技术措施和管理措施能够相互整合,形成一个统一的防护体系。14. 持续更新和升级:随着技术的发展和威胁的变化,持续更新和升级技术防护措施和管理策略。
ensp acl访问控制列表
08-30
ensp是华为设备上的一个命令行模式,用于配置和管理网络设备。而ACL(Access Control Lists)是一种用于控网络流量的机制,可以根据预定义的规则过滤和限制数据包的传输。 在ensp中配置ACL访问控制列表,可以通过以下步骤进行操作: 1. 进入ensp CLI命令行界面。 2. 使用acl命令创建一个ACL,并定义它的规则。例如,可以指定允许或拒绝哪些IP地址、端口、协议等等。 3. 将ACL应用到设备的特定接口上,以控制该接口上的数据流。可以使用interface命令选择要应用ACL的接口。 4. 配置ACL规则的匹配条件和动作,例如permit或deny。 5. 确认ACL配置无误后,保存并应用配置。 需要注意的是,具体的ACL配置命令可能有所不同,取决于使用的设备型号和操作系统版本。在实际操作中,请参考设备的官方文档或咨询网络设备厂商的技术支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@荏苒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值