訪問控制列表(acl)是一種基於包過濾的訪問控制技術,它可以根據設定的條件對介面上的資料報進行過濾,允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機,借助於訪問控制列表,可以有效地控制使用者對網路的訪問,從而最大程度地保障網路安全。
用來對資料報的訪問、控制或丟棄,結合其他協議來匹配範圍。
基本acl (2000-2999) :只能匹配源ip位址。
高階acl (3000-3999) :可以匹配源ip、目標ip、源埠、目標埠等三層和四層的字段。
二層acl ( 4000-4999) :根據資料報的源mac位址、 目的mac位址、802.1q優先順序、二:層協議型別等二層資訊制定規則。
1、乙個介面的同乙個方向,只能呼叫乙個acl。
2、乙個acl裡面可以有多個rule規則,按照規則id從小到大排序,從上往下依次執行。
3、資料報一旦被某rule匹配,就不再繼續向下匹配。
4、用來做資料報訪問控制時,預設隱含放過所有(華為裝置)。
[huawei]acl number 2000 #建立acl 2000
[ huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 #拒絕源位址為192.168.1. 1的流量,0代表僅此-一台,5是這條規則的序號。
[huawei] inte***ce gigabitethernet 0/0/1
[huawei-gigabitethernet0/0/1]ip address 192.168.2.254 24
[huawei-gigabi tethernet0/0/ 1]traffic- filter outbound acl 2000 #介面出方向呼叫acl
2000, outbound代表出方向,inbound代表進入方向。
[huawe i-gigabitethernet0/0/1]undo sh
[huawei] acl number 2001 進入acl 2001列表
[huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 #permit代表允許,source代表 **,掩碼部分為反掩碼
[huawei-acl-basic-2001] rule deny source any #拒絕所有訪問,any代表所有0.0.0.0 255.255.255.255 或者 rule deny
[huawei] inte***ce gigabitethernet 0/0/1 #進入出口介面
[huawei-gigabitethernet0/0/1]ip address 192.168.2.254 24
[huawei-gigabitethernet0/0/1]traffic- filter outbound acl 2001
[huawei]acl nmuber 3000#拒絕tcp為高階控制,所以3000起
[huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0#拒絕ping
[huawei-acl-adv-3000] rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80#destination代表目的地位址,destination- port代表目的埠號,80可用www代替
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...
ACL訪問控制列表
技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...
訪問控制列表 ACL
訪問控制列表的條件引數都在ip包中,協議號和ip位址 源位址和目的位址 都在ip包頭部分,埠號在ip包的資料部分,也就是第四層頭部。訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些資料報可以接收 哪些資料報需要拒絕。訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網...