基本ACL与高级ACL-白红宇

基本ACL与高级ACL

阅读量：5984 次

发布时间：2019-06-20

本文共 2558 字，大约阅读时间需要 8 分钟。

ACL：Acess Control List，即访问控制列表。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段

ACL的作用 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。

ACL常用的有两种分别为基本ACL和高级ACL

基本ACL：标准ACL只检查数据包的源地址（2000~2999）

高级ACL：扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。（3000~3999）

基本ACL与高级ACL

基本ACL的使用

进入R1路由器

<Huawei>system-view //进入系统视图

[Huawei]interface GigabitEthernet 0/0/0 //进入0接口

[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //添加ip地址

[Huawei]interface GigabitEthernet 0/0/1 //进入1接口

[Huawei-GigabitEthernet0/0/1]ip address 192.168.4.1 24 //添加ip地址

启用动态路由协议rip

[Huawei]rip

[Huawei-rip-1]network 192.168.1.0 //声明自己直连网段

[Huawei-rip-1]network 192.168.4.0 //声明自己直连网段

进入R2路由器

<Huawei>system-view //进入系统视图

[Huawei]interface GigabitEthernet 0/0/0 //进入0接口

[Huawei-GigabitEthernet0/0/0]ip address 192.168.4.2 24 //添加ip地址

[Huawei]interface GigabitEthernet 0/0/1 //进入1接口

[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 //添加ip地址

[Huawei]interface GigabitEthernet 0/0/2 //进入2接口

[Huawei-GigabitEthernet0/0/2]ip address 192.168.5.1 24 //添加ip地址

启用动态路由协议rip

[Huawei]rip

[Huawei-rip-1]network 192.168.2.0 //声明自己直连网段

[Huawei-rip-1]network 192.168.4.0 //声明自己直连网段

[Huawei-rip-1]network 192.168.5.0 //声明自己直连网段

进入R3路由器

<Huawei>system-view //进入系统视图

[Huawei]interface GigabitEthernet 0/0/0 //进入0接口

[Huawei-GigabitEthernet0/0/0]ip address 192.168.5.2 24 //添加ip地址

[Huawei]interface GigabitEthernet 0/0/1 //进入1接口

[Huawei-GigabitEthernet0/0/1]ip address 192.168.3.254 24 //添加ip地址

启用动态路由协议rip

[Huawei]rip

[Huawei-rip-1]network 192.168.3.0 //声明自己直连网段

[Huawei-rip-1]network 192.168.5.0 //声明自己直连网段

[Huawei]acl 2000 //建立基本ACL

[Huawei-acl-basic-2000]rule 1 deny source 192.168.1.1 0 //添加ACL规则阻止来自192.168.1.1的报文

[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 //进入接口并采用这个规则

现在在ping192.168.3.1不通代表成功了

高级ACL

刚刚配置不变

进入路由器R3，0接口undo traffic-filter inbound

[Huawei-GigabitEthernet0/0/0]undo traffic-filter inbound

进入R1路由器

[Huawei]acl name undo-5.1 advance //建立高级ACL并取名字

[Huawei-acl-adv-undo-5.1]rule 1 deny icmp source 192.168.1.1 0 destination 192.168.5.1 0

//建立规则1阻止来自192.168.1.1发到192.168.5.1的报文

//0代表完全匹配是0.0.0.0的简写如果想阻止一个网段可以写成 0.0.0.255 表示只关注前三位数。

[Huawei]interface GigabitEthernet 0/0/0 //进入接口0

0[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl name undo-5.1 //采用刚刚建立的规则

最后ping不通192.168.5.1代表成功

与基本ACL相比高级ACL更精准的控制

转载于:https://blog.51cto.com/13585704/2082912

你可能感兴趣的文章

一次thinkphp框架 success跳转卡顿问题的解决

查看>>

sencha touch学习心得之FormPanel

HDU - 3085 Nightmare Ⅱ

在StackPanel中加入新的stackpanel，包含图片和文字

查看>>

MySQL监控内容

查看>>

Windows保护模式 - 基础篇05|解密系列

查看>>

合并链表【微软面试100题第四十二题】

查看>>

Poj OpenJudge 1068 Parencodings

linux python升级和ipython的安装