华为数通ACL访问控制列表

背景:ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
ACL概述:ACL是由一系列permit或deny语句组成的( permit允许,deny拒绝)、有序规则的列表,ACL工作时读取第三层、第四层包头信息,根据预先定义好的规则进行过滤.。抓取的流量包含源地址、目标地址、源端口、目标端口、协议 这五个元素。ACL是按照顺序执行,匹配上一条即执行,不会再继续向下匹配 (至少要放行一条流量),

数据包转发:
1、需要路由,静态、ospf等等。
2、控制网络设备转发,ACL实现。
路由器、交换机:访问控制类别检测acl。
防火墙:安全策略。

acl的功能:
1、 流量过滤,允许流量,拒绝流量。
2、 筛选流量,选出要求的数据。

acl访问控制列表在接口应用的方向:
入:已经到达路由器接口的数据包,将被路由器处理。
入接口上调用ACL将会影响本地路由器,策略会在本地生效。
出:已经过路由器的处理,正离开路由器接口的数据包。
出口上调用ACL将不会影响本地路由器,将会影响数据传输过程中的下一台路由器,策略不会在本地生效。

ACL的应用与规则:
需求一:只放行一些流量
先写放行的流量再拒绝所有
需求二:只拒绝一些流量
先写拒绝的流量再放行所有
需求三:抓取一些流量
列表语句写允许这些流量通过即可,不用做策略
一个接口的同一个方向,只能调用一个acl
一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
数据包一旦被某个rule匹配,就不再继续向下匹配
用来做数据包访问控制时,默认隐含放过所有(华为设备)

ACL的分类:(重点掌握基本ACL与高级ACL即可)
接口ACL(编号1000-1999):(仅作了解)
基本ACL(编号2000-2999):基于源IP地址过滤数据包,列表需要放在靠近目标的位置。
高级ACL(编号3000-3999):基于源IP地址、目标IP地址、指定协议、源端口、目标端口和标志来过滤数据包,列表需要放在靠近源的位置(用来保护带宽和其他资源)。
二层ACL(编号4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则(仅作了解)
自定义ACL(编号5000-5999):根据数据包源MAC地址、目的MAC地址、以太帧协议类型等信息制定规则

匹配反掩码的三种情况:
0.0.0.255 匹配或者控制一个网段
0.0.0.0 匹配或者控制一个PC
0.0.0.31 匹配或者控制连续的PC

ACL访问控制列表实验:
1、终端可以访问FTP和http,但是无法ping通 (高级ACL)
2、PC端192.168.1.89和192.168.1.190无法访问Server,其他主机都可以访问 (基本ACL)

首先配置路由器ip地址,Server启用FTP和HTTP服务

其他设备也配置好相应ip后,测试全通

默认可以ping通Server

开始在路由器上配置高级ACL规则

[Huawei]acl number 3000
 #创建高级acl                  	
[Huawei-acl-adv-3000]rule deny icmp source 192.168.2.1 0.0.0.0 #拒绝终端的icmp数据
[Huawei]int g0/0/0 
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 #inbound表示控制接口入方向
终端已经ping不通Server
HTTP访问正常
FTP访问正常


配置基本ACL规则

[Huawei]acl number 2000	#创建基本acl
[Huawei-acl-basic-2000]rule deny source 192.168.1.89 0.0.0.0 #拒绝1.89所有数据
[Huawei-acl-basic-2000]rule deny source 192.168.1.190 0.0.0.0 #拒绝1.190所有数据
[Huawei-acl-basic-2000]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 #outbound表示控制接口出方向
89已经ping不通Server了
没有限制的1.200可以访问Server
华为数通ACL访问控制列表
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇