网络工程师学习笔记——ACL

最新推荐文章于 2024-05-22 19:13:36 发布
最新推荐文章于 2024-05-22 19:13:36 发布
阅读量505 收藏 7
点赞数 8
分类专栏: 计算机网络 网络工程师 华为认证 文章标签: 网络 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuyeconglong/article/details/135711386
版权
本文详细介绍了访问控制列表(AccessControlList,ACL)在网络安全中的应用,涵盖基本ACL、高级ACL、基于时间的ACL和自反ACL,以及创建、匹配机制和规则编号规则。重点讲解了通配符掩码和Inbound/Outbound的概念。
摘要由CSDN通过智能技术生成

随着网络的飞速发展,网络安全问题日益突出。访问控制列表 (ACL, Access Control List) 可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

一、基本概述

访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第3层及第4层包头中的信息,如源地址、目的地址、源端口和目的端口等,根据预告定义好的规则对包进行过滤从而达到访问控制的目的。ACL分很多种,不同场合应用不同种类的ACL。

1、基本ACL

基本ACL最简单,是通过使用IP包中的源IP地址进行过滤,表号范围2000-2999。

2、高级ACL

高级ACL比基本ACL具有更多的匹配项,功能更加强大和细化,可以针对包括协议类型、源地址、目的地址、源端口、目的端口和TCP连接建立等进行过滤,表号范围3000-3999。

3、基于时间ACL

ACL的生效时间段可以规定ACL规则在何时生效,比如某个特定时间段或者每周的某个固定时间段。

4、自反ACL

通过自反ACL可以实现网络节点的单向访问。

在访问控制列表的学习中,要特别注意以下两个术语。

① 通配符掩码:一个32比特位的数字字符串,它规定了当一个IP地址与其他的IP地址进行比较时,该IP地址中哪些位应该被忽略。通配符掩码中的”1”表示忽略IP地址中对应的位,而”0”则表示该位必须匹配。两种特殊的通配符掩码是”255.255.255.255”和”0.0.0.0”,前者等价于关键字”any”,而后者等价于关键字”host”。

② Inbound和Outbound:当在接口上应用访问控制列表时,用户要指明访问控制列表是应用于流入数据,还是流出数据。

二、ACL的创建

ACL创建后需要在接口下调用

创建基本ACL:

  1. 建立规则:ACL 2000
  2. rule  (默认为5) (deny:拒绝,permit,允许) source(源地址+反掩码)
  3. 调用ACL:接口模式下,traffic-filter(流量过滤) inbound进/outbound 出 + ACL2000

创建高级ACL

  1. rule deny +协议 icmp source/destination +地址 +反掩码+destination +地址+反掩码
  2. rule deny +udp source +地址+反掩码+destination +地址+反掩码eq 4000 禁止访问端口 = rule deny udp destination-port eq 8000
  3. 调用ACL:接口模式下,traffic-filter(流量过滤) inbound进/outbound 出 + ACL2000

三、ACL的匹配机制

四、ACL的匹配顺序及匹配结果

五、真题解析

1、如果ACL规则中最大的编号为12,缺省情况下,用户配置新规则时未指定编号,则系统为新规则分配的编号为?(  )

A、13

B、15

C、14

D、16

答案:[[‘B’]]

解析:ACL的系统默认rule-id是按5,10,15来分配的。所以本题系统默认分配的不会是13而是15,选B。

↓更多计算机网络相关学习资料领取↓

部分网工实验拓扑

 ↓ 关注+点赞后 ↓,文章底部联系我领取 

卓应米老师
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
C语言学习笔记——小浪神
10-04
C语言学习笔记——小浪神 本笔记是关于C语言的学习笔记,涵盖了C语言的基本概念、历史发展、语言特点、数据类型、变量、常量、算法等方面的知识点。 计算机程序的概念 计算机程序是指一组能够被计算机识别和执行...
软考网络工程师防火墙配置考点总结
ducanwang的博客
09-22 786
内网发起的流量,设备会根据流量的第三层和第四层信息,生成一个临时性的反向ACL,并且保持一段的时间,此临时性的ACL中,协议类型不变,而源IP和目的IP、源端口和目的端口与初始的ACL进行对调,而且可以设置老化周期,如果老化周期内没有相对应的流量返回,则自反的ACL会被删除,增加老化的安全性。(也就是配置了自反ACL后,主机发送给服务器流量后,服务器才能返回流量给主机,而服务器主动发起的流量则会被ACL丢弃。DMZ区(50):本区域内的网络受信程度中等,通常用来定义公共服务器所在的区域。
计算机网络-ACL
m0_62231324的博客
07-12 85
原理:当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。
ACL简单介绍
最新发布
weixin_57827781的博客
05-22 403
简单介绍了ACL(访问控制列表)
计算机网络ACL原理与配置)
Z的博客
06-07 2380
ACL : 访问控制协议(访问控制列表)作用:1.用来对做访问控制2.其结合其他协议,匹配范围(传输层:tcp、udp);ACL可以控制协议的流量是否可以通过。总结:ACL为访问控制,其确定流量是否能通过;=====》如果通过,则放行数据包;如果不通过则直接丢弃。
ACL——访问控制列表
weixin_58376680的博客
12-16 1255
编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从哪个IP地址过来的)编号3000-3999---高级ACL----依据数据包当中源、目的IP;NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)编号4000-4999---二层ACL,MAC、VLAN-id、802.1q。应用在路由协议-------匹配相应的路由条目( )
计算机网络基础(十)----ACL的操作使用
我的博客
03-21 3945
ACL 是访问控制列表通信的五元素:源ip地址、目的ip地址、源端口号、目的端口号和协议ACL的作用是:1、对数据包做访问控制(丢弃或者放行)2、结合其他协议进行匹配如图所示,访问列表的处理过程:不管他有多少的工作规则,从上往下依次匹配,只要陪陪到了则立刻停止,执行该匹配的选项。
ACL入门指南:如何使用它轻松保护网络安全
weixin_43263566的博客
12-07 5884
ACL包过滤技术
Python学习笔记——运算符
12-10
Python学习笔记——运算符 运算符: 赋值运算符 算术运算符 关系运算符 逻辑运算符 位运算
AI学习笔记——卷积神经网络(CNN)
02-24
上篇文章简单地地介绍了神经网络和深度学习,在神经网络中,每一层的每个神经元都与下一层的每个神经元相连(如下图),这种连接关系叫全连接(FullConnected)。如果以图像识别为例,输入就是是每个像素点,那么每一...
Solidworks学习笔记——随形变化.docx
07-13
总结一下,随形变化功能在Solidworks中提供了极大的灵活性,它允许工程师在阵列特征时控制哪些尺寸是固定的,哪些可以随模型的其他部分动态变化。这对于创建复杂和适应性的设计非常有用,特别是在需要一系列相似但不...
【第7天】网络ACL包过滤概述、过滤原理、注意事项
小杨学习云计算
01-05 793
rule是规则关键字,后面的数字5,10,15是规则编号, source是指根据源来进行过滤的192.168.1.1是IP地址,0.0.0.255是通配符。入场景:数据包到达入接口-没有配置直接permit,通过;简单来说:ACL是许多不同的规则组成的一张滤网,通过permit/deny的动作,来决定是抓取还是不抓取。[r1-acl-basic-2500]rule 10 permit ----其他默认permit。显示配置的IPv4 ACL信息:display acl。第一步:在路由器上启动防火墙功能。
计算机网络acl什么意思,计算机网络 | 思科网络 | ACL通配符掩码
weixin_30460749的博客
06-21 802
目录一.什么是通配符掩码二.使用通配符掩码三. 通配符掩码示例1.使用通配符掩码匹配 IPv4 子网2.使用通配符掩码匹配网络范围四.计算通配符掩码1.通配符掩码计算:示例 12.通配符掩码计算:示例 23.通配符掩码计算:示例 3五.通配符掩码关键字1.示例 1:匹配单个 IPv4 地址的通配符掩码过程2.示例 2:匹配所有 IPv4 地址的通配符掩码过程一.什么是通配符掩码通配符掩码是由 32...
【计算机网络ACL工作原理及标准
Running Snail
03-19 5363
【实验名称】编号的标准IPv4访问列表。 【实验目的】 掌握路由器上编号的标准IP访问列表规则及配置。 【背景描述】 你是一个公司的网络管理员,公司的经理部、财务部门和销售部门分属不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部门进行访问,但经理部可以对财务部门进行访问。PC1代表经理部的主机,PC2代表销售部门的主机、PC3代表财务部门的主机。 【实验原理】 访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)。这些指令列表用来告诉路由器,哪些数据包可
ACL笔记总结
weixin_60636922的博客
04-15 159
2、高级ACL:3000-3999 Advanced access-list 精确匹配,数据五元组(源IP、目标IP地址、协议、 源端口、目标端口)2、按照ACL的编号从上至下逐一匹配,直到有与之匹配规则出现 3、所有规则都不匹配,则执行默认动作,默认允许则允许,默认拒绝则丢弃。1、数据包到达接口后,会被检查,是否设置了ACL规则,如果设置了,就按ACL规则执行,如果没有设置就正常转发。自动生成:编号从5开始,是5的倍数,比如:0、5、10、15、20。5、命名的ACL :name。
ACL笔记
weixin_59031940的博客
04-16 54
2、高级ACL:3000-3999 Advanced access-list 精确匹配,数据五元组(源IP、目标IP地址、协议、1、数据包到达接口后,会被检查,是否设置了ACL规则,如果设置了,就按ACL规则执行,如果没有设置就正常转。1、基本ACL:2000-2999 Basic access-list 只关心数据的源地址,容易出现误伤。自动生成:编号从5开始,是5的倍数,比如:0、5、10、15、20。3、二层ACL:4000-4999 源MAC、目标MAC地址、协议。5、命名的ACL :name。
ACL技术笔记
LZY61xpy的博客
07-06 88
高级ACL:对数据包的五元组(源IP、目的IP、源端口、目的端口、协议类型)进行检查,编号3000----3999。2.按照ACL编号顺序(从小到大)匹配第一条规则,匹配进一步检查该条规则的动作,否则与下一条规则进行匹配……二层ACL:检查二层帧的头部信息,源MAC\目的MAC\二层协议类型等等,编号4000-4999。建议:在不影响实际效果的前提下,包过滤尽量配置在离源地址最近的接口的入方向。ACL-----访问控制列表,用于数据流的匹配和筛选。基本ACL:只关心报文的源地址,2000-2999……
ACL的概述以及命令应用
weixin_56667320的博客
04-14 6411
一、ACL的概述 ACL:访问控制列表 ※是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类; ※ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能(此功能侧面可以说明ACL可以提高网络的安全性),针对AC所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调令ACL来进行报文过滤),ACL只是一个匹配用的工具; ※ACL除了能够对报文进行匹配,还能够用于匹配路由; ※主要应
网络基础学习(第八章):ACL原理及配置
weixin_42054864的博客
06-06 2427
一、ACL访问控制列表1.1 ACL的两种作用:● 用来对数据包做访问控制(丢弃或者放行)● 结合其他协议,用来匹配范围1.2 访问控制列表● 读取第三层,第四层包头信息● 根据预先定义好的规则对包进行过滤1.3 访问控制列表在接口应用的方向● 出: 已经过路由器的处理,正离开路由器接口的数据包。● 入:已到达路由器接口的数据包,即将被被处理。注:数据是有去又回的,进的是进口,回来的时候就是出口,出的是出口,回来的时候就是进口。
软考网络工程师学习笔记:交换技术详解
“软考网络工程师学习笔记包含了交换技术的相关内容,包括线路交换、分组交换、帧中继交换和信元交换。其中,线路交换强调物理连接和通信的三个阶段,但存在效率低下的问题。分组交换提高了线路利用率,支持数据率...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

卓应米老师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值