热门标签
热门文章
- 1【Windows 11】安装 Android子系统 和 Linux子系统_windows11 子系统
- 2腾讯云服务器测评:16核 32G 28M_16核32g服务器怎么样
- 3linux 进程学习体会——fork()
- 4ESP32构建简单WebServer服务器_esp32 webserver
- 5华为机考Java版_华为机考java环境
- 6CentOS8详细安装教程--图文介绍超详细_centos8安装教程
- 7[经验] git clone失败解决方案_git clone中断后怎么继续
- 8黑群晖(DSM7)使用docker挂载zerotier one实现内网穿透
- 9史上最牛mysql-06 (多表连接)_两个表关联时,两关联字段
- 10Handler dispatch failed; nested exception is java.lang.UnsatisfiedLinkError:/usr/local/openjdk-8/lib_handler dispatch failed; nested exception is java.
当前位置: article > 正文
ACL—访问控制列表_acl访问控制列表
作者:小丑西瓜9 | 2024-03-05 15:01:46
赞
踩
acl访问控制列表
目录
一、ACL概述
ACL——访问控制列表是由一条或多条规则组成的集合。每条规则描述报文匹配条件(报文的源地址、目的地址、端口号等)的判断语句,设备基于这些规则进行报文匹配,可以过滤出特定的报文。
1、ACL两大作用:
- 访问控制—— 配置一张ACL列表,列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
- 抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。而其他服务对匹配到流量执行相应的动作。
2、ACL分类 :
ACL分很多种,不同场合应用不同种类的ACL。
- 基础的ACL——只匹配源,表号范围2000-2999。由于基本ACL仅关注数据包中的源IP地址,故调用时应尽量靠近目标,避免对其他地址访问造成误伤。
- 高级的ACL——可以针对包括协议类型、源地址、目的地址、源端口、目的端口和TCP连接建立等进行过滤,表号范围3000-3999。高级ACL既关注源也关注目标,可以做到精准匹配,不会误伤其他访问地址,因此调用时应尽量靠近源。
- 用户自定义的ACL——可以用户自定义相应的功能。表号范围4000—4999。
二、ACL的匹配原则
- 自上而下逐一匹配,一旦匹配上,则不继续向下匹配。
- 华为体系的设备——ACL列表末尾隐含一条允许所有的指令(不做处理)。
- 思考体系的设备——ACL列表末尾隐含了一条拒绝所有的规则。
三、ACL基本配置
1、基础ACL配置
- 创建ACL列表,并在ACL列表中添加规则。
- 路由器的接口调用ACL列表,注意方向(一个接口的一个方向只能调用一张列表)。
例如:让PC1无法访问192.168.3.0/24网段。
[r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)[r2-acl-basic-2000]display acl 2000——查看ACL列表配置Acl's step is 5——步长,一方面用来确定匹配顺序,另外也方便规则之间插入一些规则策略,步长越小匹配优先级越高。[r2-acl-basic-2000]undo rule 5—删除ACL规则
2、高级ACL配置:
例如:让PC1无法ping通PC3,但可以ping通PC4。
[r1]acl 3000——创建ACL 列表[r1-acl-adv-3000]rule deny icmp source 192.168.1.254 0 destination 192.168.3.254
0 ——配置规则,调用位置更靠近源[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000—注意调用的方向,此时是数据流入的方向
例如:让PC1 可以ping通R2,但不能telentR2 
eq——等于 gt——大于 lt——小于
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小丑西瓜9/article/detail/191889
推荐阅读
相关标签
