ACL 訪問控制列表 相關理論與基礎命令

2021-10-10 02:44:51 字數 2953 閱讀 8677

三、acl相關命令

1、讀取第三層、第四層包頭資訊

2、根據預先定義好的規則對包頭進行過濾

1、出:已經經過路由器的處理,正離開路由器介面的資料報

2、入、已經到達路由器介面的資料報,將被路由器處理

(1)、用來對資料報做訪問控制(丟棄或者放行)

(2)、結合其他協議,用來匹配範圍

當資料報從介面經過時,由於介面啟用了acl,此時路由器會對報文進行檢查,然後做出相應的處理。

(1)、基本acl (2000-2999) :只能匹配源ip位址。

(2)、高階acl (3000-3999) :可以匹配源ip、目標ip、源埠、目標埠等三層和四層的字段層

(3)、二層acl (4000-4999) :根據資料報的源mac位址、目的mac位址、802.1p優先順序、二層協議型別等二層資訊制定規則。(僅作了解即可)

基本acl,盡量用在靠近目的點


高階aci,盡量用在靠近源的地方(可以保護頻寬和其他資源)
###############應用規則################1、乙個介面的同乙個方向,只能呼叫乙個acl

2、乙個 acl 裡面可以有多個rule規則,按照規則id從小到大排序,從上往下依次執行

3、資料報一旦被某 rule 匹配,就不再繼續向下匹配

4、用來做資料報訪問控制時,預設隱含放過所有(華為裝置)

[huawei] acl number 2000 ###建立acl 2000

[huawei-acl-basic-2000] rule 5 deny source 192.168.1.1 0 ###拒絕源位址為192.168.10.1的流量, 0代表僅此一台, 5是這條規則的序號(可不加)

[huawei] inte***ce gigabitethernet 0/0/1

[huawei-giqabitethernet0/0/1]ip address 192.168.2.254 24

[huawei-giqabitethernet0/0/1]traffic-filter outbound acl 2000 ###介面出方向呼叫acl

outbound代表出方向, inbound代表進入方向

[huawei-gigabitethernet0/0/1] undo sh

[huawei] acl number 2001 ##進入acl 2000列表

[huawei-acl-basic-2001] rule permit source 192.168.1.0 0.0.0.255 ###permit代表允許, source代表**,掩碼部分為反掩碼

[huawei-acl-basic-2001] rule deny source any ##拒絕所有訪問, any代表所有0.0.0.0 255.255.255.255 或者 rule deny

[huawei]inte***ce gigabitethernet 0/0/1 ###進入出口介面

[huawei-giqabitetherneto/0/1] ip address 192.168.2.254 24

[huawei-giqabitetherneto/0/1] traffic-filter outbound acl 2001

[huawei] acl nmuber 3000 ##拒絕tcp為高階控制,所以3000起

[huawei-acl-adv-3000] rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 ##拒絕ping

[huawei-acl-adv-3000] rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80 ###destination代表目的地位址, destination-port代表目的埠號, 80可用www代替

[huawei-acl-adv-3000] rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80

[huawei-acl-adv-3000] rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21 ###拒絕源位址192.168.10.0網段訪問ftp伺服器12.0.0.2

[huawei-acl-adv-3000]dis this ##檢視當前acl配置是否配置成功

[huawei]inte***ce g0/0/0

[huawei-gigabitetherneto/0/1]ip address 192.168.2.254 24

[huawei-gigabitetherneto/0/0]traffic-filter inbound acl 3000 ##在介面入方向應用acl

[huawei-gigabitetherneto/0/1] undo traffic-filter inbound ##在介面上取消acl的應用

[huawei] display acl 3000 ##顯示ac1配置

[huawei] acl nmuber 3000

[huawei-acl-adv-3000]dis this ##檢視規則序號

[huawei-acl-adv-3000] undo rule 5 ##刪除一條acl語句

[huawei] undo acl number 3000 ##刪除整個acl

ACL訪問控制列表

acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...

ACL訪問控制列表

技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...

訪問控制列表 ACL

訪問控制列表的條件引數都在ip包中,協議號和ip位址 源位址和目的位址 都在ip包頭部分,埠號在ip包的資料部分,也就是第四層頭部。訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些資料報可以接收 哪些資料報需要拒絕。訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網...