亚洲图色激情日韩欧美,亚洲狠狠爱综合影院网页

一、ACL的概述

ACL：訪問控制列表

※是由一系列permit和deny語句組成的（后面跟著條件列表）、有序規(guī)則的列表，它通過匹配報文的相關(guān)信息實現(xiàn)對報文的分類；
※ACL本身只能夠用于報文的匹配和區(qū)分，而無法實現(xiàn)對報文的過濾功能（此功能側(cè)面可以說明ACL可以提高網(wǎng)絡(luò)的安全性），針對AC所匹配的報文的過濾功能，需要特定的機制來實現(xiàn)（例如在交換機的接口上使用traffic-filter命令調(diào)令A(yù)CL來進行報文過濾），ACL只是一個匹配用的工具；
※ACL除了能夠?qū)笪倪M行匹配，還能夠用于匹配路由；
※主要應(yīng)用于流量過濾，實際上是一條一條規(guī)則的集合，是一種工具，可以應(yīng)用在任何場合

二、ACL是什么

ACL能夠匹配一個IP數(shù)據(jù)包中的源IP地址、目的IP地址、協(xié)議類型、源目的端口等元素的基礎(chǔ)性工具；ACL還能夠用于匹配路由條目。說了這么多，那么ACL到底是什么呢？下面就讓我們從ACL的配置深入了解它吧。

1、ACL的標(biāo)識種類

①：利用數(shù)字標(biāo)識
②：利用名稱標(biāo)識

具體分為以下四類

2、ACL的匹配順序

Rule:代表第一條，第二條
5:步長
permit：允許
deny：拒絕

這里需要提一點的是，為什么一般rule 5步長寫5，而不是從1/2/3開始，這個沒有固定的數(shù)字，以上圖舉例，如果說步長寫5，臨時想在中間插入一個不允許訪問192.168.1.4，就可以在中間插入，如果是rule1/2/3，就沒辦法中間插入。

3、ACL的配置

創(chuàng)建ACL:

aclnum編號范圍是2000~2999

創(chuàng)建一個規(guī)則

rule5（permit/deny）sourcesrc-addresswildcard
source：源；wildcare：通配符

查看acl信息

displayaclnum

激活需進出口接口：

traffic-filteroutbound/inboundaclnum
outbound：出的流量接口；inbound：進的流量接口

允許/不允許所有通過

rulepermit/denysourceany

4、wildcare：通配符

這里要說明一個wildcare（通配符）的概念：

通配符是一個32比特長度的數(shù)值，用于指示IP地址中，哪些比特為需要嚴格匹配，哪些比特位則無所謂

通配符通常采用類似網(wǎng)絡(luò)掩碼的點分十進制形式表示，但是漢語卻與網(wǎng)絡(luò)掩碼完全不同

如上圖，0：表示需匹配；1：表示無所謂

再舉個通俗易懂的例子：

有兩個特殊的通配符

192.168.1.1 0.0.0.0 =192.168.1.1 0
0.0.0.0 255.255.255.255 = any

三、實驗加深理解

1、實驗要求：允許PC2通過數(shù)據(jù)

只有pc2可以訪問
先配置網(wǎng)關(guān)

[Huawei]intg0/0/0
[Huawei-GigabitEthernet0/0/0]ipadd192.168.1.25424
[Huawei-GigabitEthernet0/0/0]intg0/0/1
[Huawei-GigabitEthernet0/0/1]ipadd192.168.2.25424
[Huawei-GigabitEthernet0/0/1]intg0/0/2
[Huawei-GigabitEthernet0/0/2]ipadd10.0.0.25424

先創(chuàng)建列表

[Huawei]acl2000

定義規(guī)則

ruledenysource192.168.1.00.0.0.255**阻擋1.0網(wǎng)段的所有訪問**

查看acl 2000信息

[Huawei-acl-basic-2000]disacl2000

這時候是可以ping通的，配置了接口但是還沒有激活所以可以ping通

然后激活接口

[Huawei]intg0/0/2先進要激活的接口

對于接口而言，有出的流量接口（outbound），也有進的流量接口（inbound）

[Huawei-GigabitEthernet0/0/2]traffic-filteroutboundacl2000

然后查看下信息

這時候pc1就無法ping通了

pc2可以ping通

1.2實驗一的基礎(chǔ)上發(fā)生更改，改為：僅允許1.0可以通過。

先斷掉之前配置的rule 5

創(chuàng)建acl

[Huawei]acl2000

允許192.168.1.0網(wǎng)段

[Huawei-acl-basic-2000]rulepermitsource192.168.1.00.0.0.255

阻斷所有網(wǎng)段

[Huawei-acl-basic-2000]ruledenysourceany

ping發(fā)現(xiàn)pc1可以ping通，pc2不可以

1.3、在實驗一的基礎(chǔ)上，更改實驗要求：若允許1.1可以ping通pc3，但是2.1不能ping通pc3。

在g0/0/2出接口配置outbound

創(chuàng)建acl

[Huawei]acl3000**有源有目標(biāo)地址，acl等級要3000**

允許源地址192.168.1.0訪問目的地址10.0.0.1網(wǎng)段

[Huawei-acl-adv-3000]rulepermitipsource192.168.1.10destination10.0.0.10

不允許源地址192.168.2.0訪問目的地址10.0.0.1網(wǎng)段

[Huawei-acl-adv-3000]ruledenyipsource192.168.2.10destination10.0.0.10

查看一下

然后激活acl 3000之前需要先詢關(guān)閉掉acl2000的

[Huawei-GigabitEthernet0/0/2]undotraffic-filteroutbound

進入接口g0/0/2 ，激活acl 3000

[R1-acl-adv-3000]intg0/0/2
[Huawei-GigabitEthernet0/0/2]traffic-filteroutboundacl3000

達成結(jié)果，1.1可以ping通，1.2無法ping通

實驗二、

①、首先實現(xiàn)全網(wǎng)互通

sw1
[Huawei]sysSW1
[SW1]vlanbatch1020
[SW1]inte0/0/1
[SW1-Ethernet0/0/1]pla
[SW1-Ethernet0/0/1]pdv10
[SW1-Ethernet0/0/1]inte0/0/2
[SW1-Ethernet0/0/2]pla
[SW1-Ethernet0/0/2]pdv20
[SW1-Ethernet0/0/2]inte0/0/3
[SW1-Ethernet0/0/3]pla
[SW1-Ethernet0/0/3]pdv10
[SW1-Ethernet0/0/3]inte0/0/4
[SW1-Ethernet0/0/4]pla
[SW1-Ethernet0/0/4]pdv20
[SW1-Ethernet0/0/4]inte0/0/5
[SW1-Ethernet0/0/5]plt
[SW1-Ethernet0/0/5]ptava
R1
[Huawei]sysR1
[R1]intg0/0/0.1
[R1-GigabitEthernet0/0/0.1]ipadd192.168.1.25424
[R1-GigabitEthernet0/0/0.1]dtv10
[R1-GigabitEthernet0/0/0.1]abe
[R1-GigabitEthernet0/0/0.1]intg0/0/0.2
[R1-GigabitEthernet0/0/0.2]ipadd192.168.2.25424
[R1-GigabitEthernet0/0/0.2]dtv20
[R1-GigabitEthernet0/0/0.2]abe
[R1]intg0/0/1
[R1-GigabitEthernet0/0/1]ipadd12.1.1.124
[R1]iproute-static0.0.0.00.0.0.012.1.1.2
R2
[R2]intg0/0/0
[R2-GigabitEthernet0/0/0]ipadd12.1.1.224
[R2-GigabitEthernet0/0/0]intg0/0/1
[R2-GigabitEthernet0/0/1]ipadd100.1.1.25424
[R2]iproute-static192.168.1.02412.1.1.1
[R2]iproute-static192.168.2.02412.1.1.1

全網(wǎng)ping通，實現(xiàn)全網(wǎng)互通

②、配置ACL使得vlan10和vlan20不通

阻止vlan10和vlan20，需要阻止192.168.10.0的方向

rulepermitsourceany：允許所有通過
[R1]acl2000
[R1-acl-basic-2000]rulepermitsourceany
[R1-GigabitEthernet0/0/0.2]traffic-filteroutboundacl2000

結(jié)果如下圖，已實現(xiàn)

③、配置ACL使R1不能訪問webserver

[R1]acl3000
[R1-acl-adv-3000]ruledenytcpsource192.168.1.00.0.0.255destination10.1.1.2
0destination-porteq80

display acl 3000 查看一下配置是否正確

審核編輯：劉清

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴

VLAN技術(shù)

VLAN技術(shù)

+關(guān)注

關(guān)注
0

文章
45

瀏覽量
6420
ACL

ACL

+關(guān)注

關(guān)注
0

文章
61

瀏覽量
12030

原文標(biāo)題：什么是ACL？有哪些分類？如何配置？一文帶你了解！

文章出處：【微信號：網(wǎng)絡(luò)技術(shù)干貨圈，微信公眾號：網(wǎng)絡(luò)技術(shù)干貨圈】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

Consul ACL的配置與使用過程

Consul ACL訪問控制列表配置

發(fā)表于 02-27 13:46

路由器ACL安全經(jīng)典配置錄像教程

路由器ACL安全經(jīng)典配置錄像教程

發(fā)表于 09-13 17:53 ?133次下載

路由器<b class='flag-5'>ACL</b>安全經(jīng)典<b class='flag-5'>配置</b>錄像教程

繼電器的分類有哪些?

繼電器的分類有哪些? 1 在繼電器行業(yè)按其作用原理或結(jié)構(gòu)特征分類，如下表所示。

發(fā)表于 03-02 10:55 ?5378次閱讀

寄存器分類有哪些?

寄存器分類有哪些? 寄存器分類

發(fā)表于 03-08 14:42 ?1.2w次閱讀

什么是接入控制表(ACL)

什么是接入控制表(ACL) 訪問控制列表（Access Control List，ACL) 是路由器接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的

發(fā)表于 04-06 09:05 ?1213次閱讀

基于ACL的權(quán)限系統(tǒng)實現(xiàn)

ACL全稱Access Control List，在ACL中，包含用戶(User)、資源(Resource)、資源操作(Operation)三個關(guān)鍵要素。通過將資源以及資源操作授權(quán)給用戶而使用戶獲取對資源進行操作的權(quán)限，模型如下圖所

發(fā)表于 05-16 15:49 ?0次下載

基于<b class='flag-5'>ACL</b>的權(quán)限系統(tǒng)實現(xiàn)

ACL是什么?ACL有什么用?

常見的文件操作命令 cp 和 mv 等都支持 ACL 權(quán)限，只是 cp 命令需要加上 -p 參數(shù)。但是 tar 等常見的備份工具不會保留目錄和文件的 ACL 權(quán)限信息。如果希望備份和恢復(fù)帶有 ACL

發(fā)表于 09-30 16:52 ?4.7w次閱讀

ACL資源不足時該如何去優(yōu)化？

很多業(yè)務(wù)都會占用ACL資源，而設(shè)備的ACL資源是有限的，當(dāng)ACL資源不足時，則會導(dǎo)致業(yè)務(wù)應(yīng)用ACL失敗或產(chǎn)生ACL資源不足告警。

發(fā)表于 05-06 10:13 ?3485次閱讀

<b class='flag-5'>ACL</b>資源不足時該如何去優(yōu)化？

嵌入式軟件配置的分類

嵌入式軟件配置的分類在嵌入式編碼中，有三種配置的方式Pre-compile timeLink timePost-build后記在嵌入式編碼中，有

發(fā)表于 10-20 20:36 ?8次下載

RTL8380M/RTL8382M管理型交換機系統(tǒng)軟件操作指南五：ACL/訪問控制列表

）是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。配置ACL后，可以限制網(wǎng)絡(luò)流量，允許特定設(shè)備訪問，指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。信息點間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)

發(fā)表于 01-09 09:40 ?1460次閱讀

一文詳解思科設(shè)備ACL與NAT技術(shù)

ACL 訪問控制列表(Access Control Lists),是應(yīng)用在路由器(或三層交換機)接口上的指令列表,用來告訴路由器哪些數(shù)據(jù)可以接收,哪些數(shù)據(jù)是需要被拒絕的,ACL的定義是基于協(xié)議的,它適用于所有的路由協(xié)議,并根據(jù)預(yù)先定義好的規(guī)則對數(shù)據(jù)包進行過濾,從而更好的控

發(fā)表于 01-16 11:25 ?2499次閱讀

華為企業(yè)交換機ACL經(jīng)典案例

模擬器有三臺主機PC，是PC1,PC2,PC3我們分別使用基本ACL高級ACL和二層ACL來實現(xiàn)一些訪問控制，用戶可自行體會其中的差別。

發(fā)表于 08-14 10:19 ?848次閱讀

華為企業(yè)交換機ACL設(shè)置案例分析

模擬器有三臺主機PC，是PC1,PC2,PC3我們分別使用基本ACL高級ACL和二層ACL來實現(xiàn)一些訪問控制，用戶可自行體會其中的差別

發(fā)表于 08-14 10:19 ?1079次閱讀

訪問控制列表什么？ACL的功能特點

訪問控制列表(Access Control List，簡稱ACL)是一種網(wǎng)絡(luò)安全機制，用于定義和實施對網(wǎng)絡(luò)資源或系統(tǒng)對象的訪問權(quán)限。ACL可以精確地控制哪些主體(如用戶、設(shè)備、服務(wù)等)能夠?qū)μ囟腕w

發(fā)表于 04-03 13:57 ?852次閱讀

工業(yè)級POE交換機的ACL

工業(yè)級POE交換機通常支持訪問控制列表（Access Control List，ACL）功能，用于實施網(wǎng)絡(luò)安全策略。ACL可以根據(jù)源IP地址、目標(biāo)IP地址、傳輸協(xié)議、端口號等條件來過濾和控制網(wǎng)絡(luò)流量。

發(fā)表于 04-17 16:14 ?548次閱讀