见习网工之ACL协议

最新推荐文章于 2023-09-15 19:58:12 发布
最新推荐文章于 2023-09-15 19:58:12 发布
阅读量551 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaohan209/article/details/105739713
版权

ACL简介

Access Control List ,访问控制列表。一是可以用于限制报文传送,二是结合其他协议来匹配范围.

ACL的分类

基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源IP、目的IP、源端口和目标端口等字段
二层acl(4000-4999):可以匹配源MAC地址、目的MAC地址、以太帧协议类型

ACL配置命令

在这里插入图片描述

在路由器R2上配置

需求一:禁止192.168.1.2访问整个192.168.2.0/24网络

acl number 2000
rule 5 deny source 192.168.1.2 0.0.0.0
int gi0/0/1
traffic-filter outbound acl 2000

需求二:需求:在R2上配置高级acl 拒绝PC1和PC2 ping server,但是允许其HTTP 访问server

acl number 3002
rule 5 deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0
int gi0/0/2
traffic-filter outbound acl 3002

需求三:拒绝源地址192.168.1.2 telnet 访问 12.1.1.2

acl 3003
rule 5 deny tcp source 192.1.1.2 0 destination 12.1.1.2 0 destination-port eq telnet
int gi0/0/0
traffic-filter inbound acl 3003

需求四:允许源地址192.168.1.2访问192.168.3.2 其他剩下的报文全部被拒绝

acl 3004
rule 5 permit ip source 192.168.1.2 0 destination 192.168.3.1 0
rule 10 deny ip
int gi0/0/2
traffic-filter outbound acl 3004

需求五:拒绝源地址192.168.1.2 在8:00-12:00 和14:00-20:00 周内访问网页,但允许其访问QQ

time-range web 08:00 to 12:00 working-day
time-range web 14:00 to 20:00 working-day
acl number 3005
rule 5 deny tcp source 192.168.1.2 0 destination-port eq www time-range web
int gi0/0/2
traffic-filter outbound acl 3005

需求六:拒绝任何人上QQ :传输层 UDP 8000

acl nmuber 3006
rule 5 deny udp destination-port eq 8000
int gi0/0/2
traffic-filter outbound acl 3006

需求七:只允许192.168.1.2远程R2(ACL控制允许telnet的网段或IP)

配置Telnet的步骤可以查看我的另一篇文章《见习网工之DHCP、Telnet、SSH协议》
acl number 2007
rule 5 permit source 192.168.1.2 0
rule 10 deny
user-interface vty 0 4
acl 2007 inbound

需求八:ACL 用于多层交换机

int Gi0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
traffic-filter outbound acl 3006

需求九:多层交换机调用acl

全局:traffic-filter vlan 10 inbound acl 2000

ACL补充事项

1:一个接口的同一个方向,只能调用一个acl
2:一个acl里面可以有多个rule 规则,从上往下依次执行
3:数据包一旦被某rule匹配,就不再继续向下匹配
4: 用来做数据包访问控制时,默认隐含放过所有(华为设备)

xiaohan209
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
你可能不知道的网工技术—ACL访问控制技术 ,看这篇文章就够了
zhongyuanjy的博客
09-20 874
访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策略部署中被调用、在路由策略中被调用和用来通过流量过滤。规则编号:每条规则都有一个相应的编号,用来标识ACL规则,可以由用户指定;
局域网能ping通但是不能访问_设备配置基于MAC地址控制访问
weixin_39619451的博客
12-03 1617
组网需求如图1所示,Router为企业网关,企业内部用户通过Router访问互联网。现要求限制局域网内某些主机访问互联网,但是由于这些主机可以变换IP地址,所以通过防火墙限制不能有效防范,最合适的做法是基于MAC地址进行限制。在本例中可以实现限制某些主机访问互联网,但是可以访问网关。图1 配置组网图操作步骤Router的配置sysname Router#vlan batch 10#...
网工ACL综合应用配置笔记
fq_fly的博客
10-16 540
某公司通过Switch实现各部门之间的互连,公司要求禁止研发部门和市场部门在上班时间(8:00-17:30)访问工资查询服务器(IP地址为10.164.9.9),总裁办公室不受限制,可随时访问。 配置思路: 1、配置时间段、高级ACL和基于ACL的流分类,使设备可基于时间的ACL,对用户访问服务器的报文进行过滤,从而限制不同用户在特定时间访问特定服务器的权限。 2、配置流行为,拒绝匹配上ACL的...
了解ACL
了解ACL
03-26 385
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。
6/6 ACL原理与配置
m0_72359405的博客
06-08 309
3000-3999:高级ACL 既可以匹配ip,目标ip,端口号,目标端口,三层和四层的协议字段 icmp tcp udp。在这个接口的地方定义N条规则进行筛选过滤数据包,如果匹配就放行,如果拒绝就丢弃,规则判定全部结束之后会进入一个隐藏的规则。4000-4999:根据数据包的macmac地址、目的mac地址,802.lq 优先级,二层协议。一个接口的方向只能调用一个ACL,一个ACL可配置多条规则,从上往下依次匹配,匹配即停止。根据ip数据包去与回时的原目的ip地址,选择在入站或出站时应用ACL
ACL访问控制
Hastur_____的博客
09-15 42
ACL数据包从接口经过,接口启用了ACL时,路由器会对报文进行检查,然后根据策略做出相应的处理(丢弃或者放行)高级ACL:3000-3999可以匹配ip还可以匹配目的ip,端口,目的端口,以及三层四层的协议。二层ACL:4000-4999根据数据包的mac地址进行匹配,一般不用。访问控制:屏蔽一些网站,用来对数据包做访问控制,丢弃或者放行。华为设备默认是放通的,不做限制,需要人工配置策略。白名单:在名单上的才可以放行,不在的一律丢弃。黑名单:在名单上的一律丢弃,不在的可以放行。
大数据专业见习.docx
12-24
大数据专业见习
电子计算机见习总结.doc
11-24
电子计算机见习总结.doc
通信工程专业见习报告.doc
12-18
通信工程专业见习报告.doc
毕业生就业见习基地与见习毕业生协议
12-10
毕业生就业见习基地与见习毕业生协议怎么写呢,小编为大家带来了一份最新毕业生就业见习基地与见习毕业生...该文档为毕业生就业见习基地与见习毕业生协议,是一份很不错的参考资料,具有较高参考价值,感兴趣的可以...
ACL匹配规则
Zuoriqiufeng的博客
08-21 1万+
ACL - 访问控制列表 前言 ACL: Access Control List, 访问控制列表 ACL是一种技术,不是一种协议 ACL就是第一代防火墙技术 ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 本示例中,网关RTA允许192.168.1.0/24中的主机可以访问外网,也就是Internet;而192.168.2.0/24中的主机则被禁止访问Internet。对于服务器A而言,情况则相反。网关允许192.168.2.0/24中的主机访问
ACL——协议
潇潇雨歇
04-15 3440
系列文章目录 一、ACL的概念 二、ACL的分类和应用 三、ACL的匹配和通配符 一、ACL的概念 **1、**访问控制列表ACL 是由一系列permit或deny语句组成的、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类; **2、**ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调用ACL来进行报文过滤) , ACL只是一个匹配用的工具; **3、**ACL除了
华为VLAN下应用ACL
qq_24328629的博客
12-31 6350
华为如何在VLAN下应用ACL
交换机通过traffic-filter方式调用ACL示例
热门推荐
auragreen的专栏
10-20 3万+
转自:http://support.huawei.com/ecommunity/bbs/10248323.html?auther=1&buildingowner=10184221 通过traffic-filter调用 sys [Huawei]acl 3000               //创建高级ACL(3000~3999) [Huawei-acl-adv-3000]
ACL配置与管理——3
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
09-28 4640
ACL配置示例 基本ACL、高级ACL、二层ACL和用户自定义ACL的配置方法。 一、基本ACL配置示例 如上图拓扑,Switch作为FTP服务器(172.16.104.110/24),已知Switch与各个子网之间路由可达。现在要通过基本ACL过滤用户访问FTP服务器时报文中IP地址,限制用户访问交换机上FTP服务器的权限,具体要求如下: (1)子网1(172.16.105
ACL基础】
qq_44701266的博客
02-25 2146
注意: 1.如果acl没被调用,该条acl不起任何作用。 2.acl属于三层技术,智能部署在三层设备上面,acl适合用与不同网段互访的访问控制。 3.相同vlan相同网段的pc互访控制不适合用acl,建议使用端口隔离来实现。 注意事项: 1.一个接口的同一个方向,只能调用一个ACL 2.一个ACL里面可以有多个rule规则,从上往下一次执行 3.数据包一旦被rule匹配,就不再继续往下匹配(匹配即停止) 4.用来做数据包访问控制时,默认放过所以 实验一 基础配置:IP地址和静态路由使全网互通 需求:在R2配
华为简化流策略traffic-filter ACL的使用
jike2019的博客
02-13 1万+
华为简化流策略的使用配置和注意的点
【零基础入门】ACL访问控制列表
B站:众元网络
09-09 1407
【零基础入门】ACL访问控制列表
ACL 访问控制列表
ken6328的博客
05-09 453
应用 1.优先级判断 2.按需拨号 3.路由表过滤 类型 1.标准访问列表 只检查分组的地址信息(从哪来的) 允许活拒绝整个协议栈 2.扩展访问列表 同时检查员和目的地址信息 可针对三层四层信息进行控制,常用 标准 1-99, 延伸的标准列表1300-1999 扩展 100-199, 延伸的扩展列表2000-2999 自主命名 1-99, 1300-1999 只针对地址信息来决定是否过滤 1...
工程师见习期转正工作总结.pptx
最新发布
03-16
"工程师见习期转正工作总结" 在工程师的职业生涯中,见习期转正工作总结是一个重要的里程碑。这份报告通常在工程师见习期结束后编写,旨在全面回顾和评估见习期间的工作表现,同时也为未来的职业发展设定方向。工作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值