ACL详解

最新推荐文章于 2024-04-12 22:20:14 发布
最新推荐文章于 2024-04-12 22:20:14 发布
阅读量2.6k 收藏 11
点赞数 2
文章标签: 网络 智能路由器 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60917414/article/details/129695852
版权

ACL详解

# 前言

通信四元素,源IP地址,目的IP地址,和源端口,目的端口、第五元素是协议。

ACL(访问控制列表)

1. ACL概述

读取数据包中的IP头部,TCP/DUP 头部中的源IP地址,目的IP地址,和源端口,目的端口根据设置好的ACL决定数据的丢弃还是允许通过。

2. 工作原理

  • acl 在接口上定义N条规则过滤数据包,要么放行,要么丢弃

  • 匹配规则:从上往下依次匹配,匹配即停止,不会继续匹配下一条。

当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的丢弃或允许通过

3. ACL类型:

  • 基本ACL(2000-29999)只匹配源IP
  • 高级ACL:(3000-3999)可恨据源IP地址,目的IP地址,和源端口,目的端口 匹配
  • 二次ACL:(4000-4999)可根据源MAC 目的MAC 二层协议

4. ACL匹配原则

在这里插入图片描述

一个接口的一个方向只能调用一个ACL,一个ACL可配置多条规则,匹配时是从上往下依次匹配、符合拒绝规则的数据会被直接丢弃,就不会继续匹配下一条了。符合允许规则的数据会直接通过、也不会继续匹配下一条了,如果是不符合允许规则的继续匹配下一条直到符合了允许条件或拒绝条件,匹配了最后一条也没有符合的规则(允许或拒绝)的话,会被隐含的拒绝也就是丢弃掉。(华为设备隐含放通所有)

5.配置实验

在这里插入图片描述
我们来完成一下这个实验吧

1.仅允许pc1访问192.168.2.0/24网络


[Huawei]acl number 2000  (创建ACL 2000)
[Huawei-acl-basic-2000]rule permit source 192.168.1.1 0  (添加一条规则:允许192.168.1.1这台
主机通过 0 表示主机)
[Huawei-acl-basic-2000]dis th(查看状态)
[V200R003C00]
#
acl number 2000  
  rule 5 permit source 192.168.1.1 0 (这里多了一个设定好的规则 rule 5 是他的规则序号,序号越
  小执行优先级越高)
#
return
[Huawei-acl-basic-2000]rule deny source any   (添加一个拒绝规则,any 表示所有 ,所有地址都
不允许通过)
[Huawei-acl-basic-2000]dis th  (再次查看状态)
[V200R003C00]
#
acl number 2000  
 rule 5 permit source 192.168.1.1 0 
 rule 10 deny   (这里又多了一条规则 ,规则号是10)
#
return
[Huawei]int g0/0/2  (进入接口)
[Huawei-GigabitEthernet0/0/2]ip add 192.168.2.254 24  (给接口添加IP地址)
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 2000  (给端口 调用 acl 2000 的配置,outbound
表示将这个端口设置为出口模式即从路由器出来的数据要经过 acl 规则 进行匹配)

在这里插入图片描述
在这里插入图片描述

然后我们进入PC1和PC2 看一下能不能ping通PC3
在这里插入图片描述

PC1可以ping通


PC2ping不通PC3所以我们实验成功了

2.禁止192.168.1.0/24网络ping Web服务器

[Huawei]acl number 3000  (创建一个高级acl)
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192
.168.3.1 0  (添加一条不允许192.168.1.0/24网段到192.168.3.1主机中含有icmp协议的数据)
[Huawei-acl-adv-3000]display this   (查看一下)
[V200R003C00]
#
acl number 3000  
 rule 5 deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 (设置成功了)
#
return
[Huawei-acl-adv-3000]q (q退出当前模式)
[Huawei]int g0/0/1  (进入接口)
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3000 (给此接口调用acl 3000 并设置为出口模式)
[Huawei-GigabitEthernet0/0/1]dis th (查看一下)
[V200R003C00]
#
interface GigabitEthernet0/0/1
 ip address 192.168.3.254 255.255.255.0 
 traffic-filter outbound acl 3000 (添加成功了)
#
return

在这里插入图片描述在这里插入图片描述
然后我们来ping一下试试
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
3.仅允许Client1访问Web服务器的WWW服务

[Huawei]acl 3000  
[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq www(添加一条允许源IP地址为192.168.1.3的主机,目标地址为192.168.3.1的主机之间传输的tcp协议中的 www 报文通过的规则)
[Huawei-acl-adv-3000]rule deny tcp source any destination 192.168.3.1 0 destination-port eq www  (添加一条拒绝所有以目标地址为192.168.3.1主机的设备发送的含有TCP协议中的 www 报文,不允许其通过的规则)
[Huawei-acl-adv-3000]dis th(查看一下)
[V200R003C00]
#
acl number 3000  
 rule 10 permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-p
ort eq www 
 rule 15 deny tcp destination 192.168.3.1 0 destination-port eq www 
#
return
return

在这里插入图片描述
在这里插入图片描述

设置完了让我们来看一下吧
在这里插入图片描述
我们为了验证需要再添加一台客户端设置好IP地址
在这里插入图片描述
在这里插入图片描述
然后我们来试一下吧
在这里插入图片描述

在这里插入图片描述
实验到这里就结束啦,下次见咯。

川子^
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ACL技术笔记
LZY61xpy的博客
07-06 81
高级ACL:对数据包的五元组(源IP、目的IP、源端口、目的端口、协议类型)进行检查,编号3000----3999。2.按照ACL编号顺序(从小到大)匹配第一条规则,匹配进一步检查该条规则的动作,否则与下一条规则进行匹配……二层ACL:检查二层帧的头部信息,源MAC\目的MAC\二层协议类型等等,编号4000-4999。建议:在不影响实际效果的前提下,包过滤尽量配置在离源地址最近的接口的入方向。ACL-----访问控制列表,用于数据流的匹配和筛选。基本ACL:只关心报文的源地址,2000-2999……
ACL—访问控制列表
qq_47175413的博客
06-03 4443
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表,列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
什么是ACL?
最新发布
weixin_67092935的博客
04-12 697
因此,提高网络安全性服务质量迫在眉睫。通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。根据规则过滤的ACL,能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等的功能,从而提高网络环境的安全性和网络传输的可靠性。ACL工作主要是根据规则进行,ACL规则里包括他的规则编号(顺序),动作(允许或者拒绝)规则匹配的地址段(源/源-目的)生效时间段。
ACL(访问控制列表)
qq_58881947的博客
05-10 1185
目录1、ACL概述2、实验一:基本ACL(2000~2999)用法3、实验二:高级ACL(3000~3999)用法(单项访问)4、实验四:ACL时间设定ACL技术作用:通过定义一些列规则来允许或拒绝流量通,提高网络性能、防止网络攻击。保障数据传输的安全可靠性和网络稳定,可定义一些列的规则对数据包进行分类并针对不同类型的报文进行不同的处理以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击可以限制网络访问。ACL技术用法: 设置在路由器或交换机接口上,两个接口协议设置不一样时效果不一样。
ACL原理以及配置
热门推荐
zy748539的博客
05-23 2万+
一.什么是ACL?   访问控制列表(Access Control list,ACL)是应用在路由器接口的指令列表(即规则)。它读取的是TCP/IP五层模型的第三层、第四层的报文头信息,根据预先定义好的规则对报文进行过滤。 IP数据报报头结构 TCP报头结构   ACL根据IP报头中的源地址、协议号、目标地址和TCP报头中的源端口、目标端口这5个元素来定义规则。 ACL的作用   ACL的作用是用于控制设备之间的数据包的互通。 二.ACL的类型 基本ACL   编号范围2000-2999   参数:
HCL实验:三种ACL配置
计算机
04-06 7844
ACL(访问控制列表)可以设置规则来过滤路由。有三种acl,分别为:基本acl(2000 - 2999)、高级acl(3000 - 3999)和二层acl(4000 - 4999)。
acl3000和acl2000
Richardlygo的博客
07-24 6428
acl3000和acl2000
ACL详解视频7讲.zip
04-24
**ACL详解视频7讲** 本资源包含7个MP4视频文件,全面讲解了访问控制列表(Access Control List,简称ACL)这一重要的网络管理技术。ACL网络设备如路由器、交换机上的一种安全机制,用于控制网络流量的流向,实现...
上网行为管理技术ACL详解.doc
08-24
上网行为管理技术ACL详解 上网行为管理技术ACL网络设备中的一种访问控制机制,负责管理用户配置的所有规则,并提供报文匹配规则的算法。ACL由多个规则组成,每个规则通过规则ID(rule-id)来标识,规则ID可以由...
路由器配置ACL详解.doc
07-12
路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的 话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全 可以...
cisco路由器配置ACL详解.pdf
05-26
Cisco 路由器配置 ACL 详解 Cisco 路由器配置 ACL 详解,在网络管理中扮演着至关重要的角色。ACL(Access Control List,访问控制列表)是一种网络安全机制,它可以根据预先定义好的规则对网络流量进行过滤,从而...
基本ACL和扩展ACL
weixin_69884785的博客
04-20 3412
如果有两条语句,一个拒绝来自某个主机的通信,另一个允许来自该主机的通信,则排在前面的语句将被执行,而排在后面的语句将被忽略。所以在安排ACL语句的顺序时要把最特殊的语句排在列表的最前面,而最一般的语句排在列表的最后面,这是ACL语句排列的基本原则。出于安全性考虑,ACL的默认动作是拒绝(Implicit Deny),即在ACL中没有找到匹配的语句时分组将被拒绝通过,这相当于在列表最后有一个隐含语句拒绝了所有的通信(deny any)。①一旦发现匹配的语句,就不再处理列表中的其他语句。
ACL技术配置
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
10-31 1万+
ACL华为命令 1.基本ACL配置 [Huawei]acl number 2000 ###创建acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加) [Huawei] interface GigabitEthernet 0/0/1 [ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254
网络安全技术——ACL技术(访问控制列表)
weixin_62594100的博客
04-03 1万+
一、ACL概述 访问控制列表(ACL)就是一种对经过路由器的数据流进行判断、分类和过滤的方法。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。 ACL有不同的类别,通过不同的编号来区别,华为设备中的ACL分类如下表: ACL类型 编号范围 规则制定依据 基本ACL 2000~2
ACL访问控制列表基本概念
一个人的旅行的博客
10-08 1万+
1. ACL概述   (1)、ACL全称访问控制列表(Access Control List)。   (2)、基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息(如源地址、目的地址、协议口、端口号等),根据预先定义好的规则对包进行过滤,从而达到控制的目的。   (3)ACL目的:限制网络流量、提高网络性能;提供对通信流量的控制手段;提供网络访问的基本安全手段。
ACL常用的匹配项
qq_32044265的博客
05-29 4551
交换机支持的ACL匹配项种类非常丰富,其中以下的几个匹配项比较常用 生效时间段 ACL的生效时间段可以规定ACL规则在何时生效,从而实现在不同的时间段设置不同的策略。 在ACL规则中引用的生效时间段存在两种模式: 周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。 绝对时间段:从某年某月某日的某一时间开始,到某年某月某日的某一时间结束,表示规则在这段时间范围内生效。 同一名称(time-name)配置多条时间段时,通过以下规则选出最终生效
交换机通过traffic-filter方式调用ACL示例
weixin_34341229的博客
05-27 3818
转自:http://support.huawei.com/ecommunity/bbs/10248323.html?auther=1&buildingowner=10184221 通过traffic-filter调用 <Huawei>sys [Huawei]acl 3000 //创建高级ACL(3000~3999) [Huawei-acl-adv-3...
关于acl命令,端口状态的解释
weixin_33896069的博客
09-27 741
关于ACL Tcp端口的解释(总结) 关于135,137.138.139等端口的阐述 TCP 135=Netbios Remote procedure call(远程过程调用) 135端口说明:135端口主要用于使用RPC协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM...
访问控制列表ACL详解
04-22
ACL(Access Control List)指访问控制列表,是一种权限控制方法。ACL用于控制文件和文件夹的访问权限,规定了哪些用户可以访问这些文件和文件夹,以及哪些用户可以读、写、执行这些文件和文件夹。ACL的实现方式一般分为两种:基于对象(如文件、文件夹等)的ACL和基于主体(如用户、用户组等)的ACL。基于对象的ACL允许在被控制对象上定义一个访问控制模板,这个模板可以标识哪些用户能够对对象所具有的各种访问权限进行修改。基于主体的ACL允许在主体上定义一套ACL信息,以此来规定与这个主体相关的文件或文件夹的访问权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值