IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		图片批量下载器
↓批量下载图片,美女图库↓ 		图片自动播放器
↓图片自动播放器↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 华为(ACL) -> 正文阅读

[网络协议]华为(ACL)

目录

一、ACL概述

? ?1.1、为什么使用ACL

? ?1.2、ACL实现的功能

? ?1.3、ACL的组成

? ?1.4、ACL的分类

? ?1.5、匹配机制

二、高级ACL案例

? ?2.1、拓扑图

? ?2.2、配置

? ?2.3、测试

一、ACL概述

??访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

1.1、为什么使用ACL

??ACL作为一个过滤器,设备通过应用ACL来阻止和允许特定流量的流入和流出,如果没有它,任何流量都会自由流入和流出,使得网络容易受到攻击。

1.2、ACL实现的功能

  1. 提供安全访问
  2. 防止网络攻击
  3. 提高网络带宽利用率

1.3、ACL的组成

? ACL的每一条规则都会允许或者阻止特定的流量,在定义一条合理的ACL规则之前,需要了解其基本组成。

  • ? ?ACL标识:使用数字或名称来标识ACL
  • ? 规则:即描述匹配条件的判断语句
  • ? 规则编号:用于标识ACL规则,所有规则均按照规则编号从小到大进行排序。
  • ? 动作:包括permit/deny两种动作,表示设备对所匹配的数据包接受或者丢弃。
  • ? 匹配项:ACL定义了极其丰富的匹配项。包括生效时间段、IP协议(ICMP、TCP、UDP等)、源/目的地址以及相应的端口号(21、23、80等)。

1.4、ACL的分类

基本ACL(ACL编号2000~2999)

??基本ACL规则只包含源IP地址,对设备的CPU消耗较少,可用于简单的部署,但是使用场景有限,不能提供强大的安全保障。

高级ACL(ACL编号3000~3999)

??相较于基本ACL,高级ACL提供更高的扩展性,可以对流量进行更精细的匹配。通过配置高级ACL,可以阻止特定主机或者整个网段的源或者目标。除此之外,还可以使用协议信息(IP、ICMP、TCP、UDP)去过滤相应的流量。

二层ACL(ACL编号4000~49999)

??在公司的内部网络中,想对特定的终端进行访问权限控制,这时就需要二层ACL。使用二层ACL,可以根据源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息对流量进行管控。

用户ACL(ACL编号6000~6031)

??由于企业内部同部门的工作人员的终端不在同一个网段难以管理,需要将其纳入一个用户组,并对其用户组进行访问权限管理,这时候就需要用户ACL。用户ACL在高级ACL的基础上增加了用户组的配置项,可以实现对不同用户组的流量管控。

1.5、匹配机制

? ACL规则的匹配遵循”一旦命中即停止匹配”的机制。当ACL处理数据包时,一旦数据包与某条ACL规则匹配,就会停止匹配,设备根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配,那么将依次使用ACL列表中的下一条语句去匹配数据包直到列表的末尾。一般在ACL的列表末尾会有一条隐式的拒绝所有的语句,所以数据包与所有的规则都不匹配的情况下会被直接拒绝。此时设备不会将此数据包流入或流出接口,而是直接将其丢弃。

二、高级ACL案例

2.1、拓扑图

2.2、配置

AR1

<Huawei>undo terminal monito ?##关闭弹出信息##
<Huawei>sys ?##进入系统视图##
[Huawei]sysname AR1 ?##重命名##
[AR1]user-interface console 0 ?
[AR1-ui-console0]idle-timeout 0 0 ?##配置永不超时##
[AR1-ui-console0]q ?##退回上一级##
[AR1]acl 3000 ?##创建ACL2000##
[AR1-acl-adv-3000]rule deny tcp source 192.168.1.20 0.0.0.0 destination 10.0.0.2
?0.0.0.0 destination-port eq ftp ?##创建拒绝pc2访问ftp的规则##
[AR1-acl-adv-3000]rule permit ip source any ?##允许所有三层流量##
[AR1-acl-adv-3000]q ?##退回上一级##
[AR1]int g0/0/0 ?##进入接口##?
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 ?##配置IP##
[AR1-GigabitEthernet0/0/0]undo sh ?##开启接口##
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 ?##将ACL应用在入口##
[AR1-GigabitEthernet0/0/0]q ?##退回上一级##
[AR1]int g0/0/1 ?##进入接口##
[AR1-GigabitEthernet0/0/1]ip add 10.0.0.1 24 ?##配置IP##
[AR1-GigabitEthernet0/0/1]undo sh ?##开启接口##

2.3、测试

PC1能正常访问FTP

?PC2无法访问FTP
  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-11-18 11:30:16  更:2021-11-18 11:30:47 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年7日历 -2024/7/3 22:51:33-

图片自动播放器
↓图片自动播放器↓ 		TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓ 		图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码