NA-ACL访问控制列表

最新推荐文章于 2025-07-28 20:54:08 发布
最新推荐文章于 2025-07-28 20:54:08 发布
阅读量98 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 服务器 网络 windows 计算机网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Lin_Jumping/article/details/131897336

ACL-访问控制列表

概述

  • ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。

  • 实现对网络中报文流的精确识别和控制,达到控制网络访问行为,保障网络环境安全可靠

  • ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。

标准ACL/基本ACL

  • 只对SIP感兴趣-只对源ip匹配--基于源IP过滤数据包

  • 需要调用才能生效,建议配置在靠近目的地的地方

思科

  • 编号:1-99/1300-1999

  • access-list XX permit/deny host x.x.x.x/网段

  • 命名acl

R1(config)#ip access-list standard pc 
​
R1(config-std-nacl)#deny/permit host x.x.x.x /网段

  • 思科ACL有一条隐式拒绝所有,写了deny必须要有permit

华为/华三

  • 编号:2000-2999

[R3]acl XX
[R3-acl-basic-2000]rule deny/permit source x.x.x.x x.x.x.x 
命名:
[R1]acl name pc basic
[R1-acl-basic-pc]rule deny source x.x.x.x x.x.x.x

扩展ACL/高级ACL

  • 对五元组感兴趣

    • 源地址

    • 目的地址

    • 源端口

    • 目的端口

    • 端口号

  • 需要调用才能生效,建议部署在靠近源的地方

思科

  • 编号:100-199/2000-2699

  • 选择协议

    • icmp--ping echo--请求包/echo-reply-回复包

access-list XX permit/deny ip host x.x.x.x/网段  host x.x.x.x/网段
​
access-list 100 deny   icmp 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 echo 
​

  • 命名:

R1(config)#ip access-list extended pc 
​
R1(config-ext-nacl)#permit/deny ip host x.x.x.x/网段  host x.x.x.x/网段  eq  xx

  • ¥思科ACL有一条隐式拒绝所有,写了deny必须要有permit

华为/华三

  • 编号:3000-3999

[R3]acl XX
[R3-acl--adv-3000]rule deny/permit ip source x.x.x.x x.x.x.x  destination  x.x.x.x x.x.x.x
命名:
[R3]acl name p advance
[R3-acl--adv-p]rule deny/permit ip source x.x.x.x x.x.x.x  destination  x.x.x.x x.x.x.x

配置

  • 思科标准ACL

Router(config)#access-list 1 deny ?
  A.B.C.D  Address to match    ---网段
  any      Any source host     ---全部
  host     A single host address  ---绑定
Router(config)#access-list 1 deny 192.168.10.0 0.0.0.255
Router(config)#access-list 1 permit any
Router(config)#int f0/0   ---在接口做调用
(可以是vty,子接口,)
Router(config-if)#ip access-group ?---接上表编号
Router(config-if)#ip access-group 1 ? --跟上方向
  in   inbound packets
  out  outbound packets
Router(config-if)#ip access-group 1 out

  • 华三基本ACL

[H3C]acl basic 2000
[H3C-acl-ipv4-basic-2000]rule ?
  INTEGER<0-65534>  ID of an ACL rule
  deny              Specify matched packet deny
  permit            Specify matched packet permit
[H3C-acl-ipv4-basic-2000]rule deny source 192.168.10.0 0.0.0.255
[H3C-acl-ipv4-basic-2000]int g1/0
[H3C-GigabitEthernet1/0]packet-filter 2000 ?
  inbound   Inbound direction
  outbound  Outbound direction
[H3C-GigabitEthernet1/0]packet-filter 2000 outbound

  • 扩展ACL

Router(config)#access-list 100 deny ?
  ahp    Authentication Header Protocol
  eigrp  Cisco's EIGRP routing protocol
  esp    Encapsulation Security Payload
  gre    Cisco's GRE tunneling
  icmp   Internet Control Message Protocol
  ip     Any Internet Protocol
  ospf   OSPF routing protocol
  tcp    Transmission Control Protocol
  udp    User Datagram Protocol
Router(config)#access-list 100 deny icmp 192.18.30.0 0.0.0.255 host 12.12.12.1  --实现30网段不能ping通12.1
Router(config)#access-list 100 permit ip any any 
Router(config)#int f0/0
Router(config-if)#ip access-group 100 in
​
实现1可以ping5,5不能ping1
Router(config)#ACcess-list 100 deny icmp host 192.168.50.5 host 192.168.10.1 ?
  <0-256>               type-num
  echo                  Echo (ping)  --回报
  echo-reply            Echo reply  --请求包
  host-unreachable      Host unreachable
  net-unreachable       Net unreachable
  port-unreachable      Port unreachable
  protocol-unreachable  Protocol unreachable
  ttl-exceeded          TTL exceeded
  unreachable           All unreachables
  <cr>
Router(config)#ACcess-list 100 deny icmp host 192.168.50.5 host 192.168.10.1 echo
Router(config)#access-list 100 permit ip any any
Router(config)#

  • 华三高级ACL

实现1.1不能telnet到3.1
[H3C-acl-ipv4-adv-3000]rule deny ?
  INTEGER<0-255>  Protocol number
  gre             GRE tunneling (47)
  icmp            Internet Control Message Protocol (1)
  igmp            Internet Group Management Protocol (2)
  ip              Any IP protocol
  ipinip          IP in IP tunneling (4)
  ospf            OSPF routing protocol (89)
  tcp             Transmission Control Protocol (6)
  udp             User Datagram Protocol (17)
[H3C-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.1 ?
  0        Wildcard bits: 0.0.0.0 (a host)
  X.X.X.X  Wildcard of source
[H3C-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0
[H3C-acl-ipv4-adv-3000]int g1/0
[H3C-GigabitEthernet1/0]packet-filter 3000 inbound
JJumpping
关注
mysql+nat+设置_NAT转换配置
weixin_33873270的博客
02-04 285
NAT转换配置配置环境:华为最新模拟器1、要求:现有一台防火墙和两台PC机。要求用这些设备模拟NAT转换,其中一台PC机代表一个局域网,另一台PC机代表广域网,局域网内用的是私有IP地址,广域网用的是公有IP地址,在局域网设备要访问广域网需要用NAT转换。2、网络拓扑图:用亿图绘图工具绘制出网络拓扑图为如图1所示:图1:网络拓扑图3、设备配置(1)防火墙的配置:[R1]sysname firewa...
配置高级ACL案例
WFlySky的博客
11-07 5665
前提条件 •如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。 背景信息 高级ACL根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。 高级ACL比基本ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。 操作步骤 1、执行命令system-view,进入系统视图。 2、创建高级ACL。可使用编号或者名称两种方
静态拓展配置,ACL,RIP
2201_75739063的博客
05-28 633
(3)对于R2而言,如果我收到一条我本地路由表已经有的路由信息,如果来源不一致则根据传递过来的路由信息中携带的开销值进行比对。(4)对于R2而言,如果我收到一条我本地路由表已经有的路由信息,如果来源不一致则根据传递过来的路由信息中携带的开销值进行比对。—当路由器访问目标网段具备相同的下一跳,同时这些目标网段是连续的(具备汇总的条件)的情况下,我们可以进行汇总,写一条去往汇总网段的路由。(2)对于R2而言,如果我收到一条我本地路由表已经有的路由信息,如果来源一致则刷新该路由信息到自己的本地路由表中。
端口(Port
久绊A的博客
05-05 1369
端口(Port)是计算机网络中的一个逻辑概念,用于标识计算机上运行的不同网络应用程序或服务。它是一个16位的数字编号,范围是0 - 65535。端口是网络通信中的一个重要概念,它用于区分不同的网络应用程序和服务。通过合理使用端口,可以实现高效的网络通信。同时,注意端口的安全管理,可以有效减少网络攻击的风险。
port大全及port关闭方法
weixin_34363171的博客
10-15 2078
网络技术中,port(Port)大致有两种意思:一是物理意义上的port,比方,ADSL Modem、集线器、交换机、路由器用于连接其它网络设备的接口,如RJ-45port、SCport等等。二是逻辑意义上的port,通常是指TCP/IP协议中的 portport号的范围从0到65535,比方用于浏览网页服务。    查看port    在windows 2000/XP/Serve...
动态路由RIP协议
2201_75581284的博客
05-31 7180
r1-rip-1]timers rip 10 60 40—配置位置为RIP进程中,相当于改变了协议的标准,所以,所有运行这一种协议的设备都需要更改—更改计时器时间,时间变短加快收敛。①对于R2而言,如果我收到一条我本地路由表没有的路由信息则直接将该路由信息刷新到自己本地路由表中(发送的网段就是目标网段,哪个路由器发的网段就写这个路由器接口的IP作为下一跳 )创建远程登录的配置步骤(场景布置的不好,不应该直接在R2上,所以没有达到预期的效果,应该在R2后加一个用户,但是原理和步骤是正确的)
NA-LAB考试详解之-NAT-ACL-RIP总结
05-13
NA-LAB考试中,除了NAT和RIP之外,访问控制列表(ACL)也是一个重要的考察内容。访问控制列表是用来过滤进出网络的数据包的一种工具,可以根据源IP地址、目的IP地址等条件进行过滤。虽然案例题中没有给出具体的配置...
NA中的ARP、ACL、RIP、NAT
weixin_45445073的博客
07-23 467
ARP ARP 知道逻辑定位,不知道物理定位。 ARP 缓存表:是临时的,不是固定不变的 无故arp–主动发送自己的MAC和IP地址 代理ARP:非本地通讯(跨网关通讯),将数据发至网关。 CSMA-CD载波侦听多路访问目的:检测线路是否有信号 若发生冲突,就得去随机避让。 总线式交换机,只有一根总线,在线路处有内存 矩阵式交换机,打开节点,在接口处有内存 路由器在数据传输时三层不变化,源...
Packet Tracer-排除IPv6ACL 故障
04-23
IPv6的访问控制列表与IPv4类似,但配置命令不同,比如使用ipv6 access-list命令。需要确保用户知道如何正确创建和应用ACL。常见的错误可能包括语法错误、规则顺序问题或者应用接口不正确。 接下来,用户可能需要...
全方位ACL学习资料汇总:从基础到进阶
- NA级别的ACL通常包含基础的访问控制列表知识,适合初学者入门。 - 一般会介绍标准ACL的基本概念、配置方式及常见用途。 2. **IE(Internet Engineer)级别的ACL**: - IE级别的ACL会包含更高级的应用,比如...
pop imap smtp 端口
whyhonest的专栏
02-24 1万+
25端口(SMTP):25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务所开放的,是用于发送邮件。 如今绝大多数邮件服务器都使用该协议。当你给别人发送邮件时,你的机器的某个动态端口(大于1024)就会与邮件服务器25号端口建立一个连接,你发送的邮件就会通过这个连接传送到邮件服务器上,保存起来。   109端口(POP2):109端口是为PO
使用vnc通过esxi管理虚拟机
萌新包大人的博客
12-17 4213
前言:现有需求,我的虚拟化中有一台虚拟机,这台虚拟机拥有ipv4和ipv6的网络环境,为防止网络紊乱,将其ipv4服务禁用只使用ipv6,这样就出现一个问题,如何在ipv4的环境中去管理这台ipv6的机器?终于在网上面找到一篇解决办法,能使我们使用vnc工具连接时通过esxi跳转到虚拟机。 1、新建vnc防火墙规则 [root@localhost:~] cd /etc/vmware/firewall [root@localhost:/etc/vmware/firewall] ls fdm.xml .
华为eNSP配置访问控制列表ACL
海阔天空
01-21 1万+
访问控制列表ACL:access control list。ACL有两种:一是基ACL(2000-2999):只能匹配IP地址。二是高级ACL(3000-3999):可以匹配IP、目标IP、源端口、目标端口等三层和四层的字段。 一个接口的同一个方向,只能调用一个ACL;一个ACL里面可以有多个rule规则,从上往下依次执行,数据包一旦被rule匹配,就不再继续向下匹配;华为ACL拒绝数据包时,默认配置是放过所有的数据。
wildcard-mask:通配符掩码与反掩码的区别
热门推荐
大任的网络专栏
03-12 1万+
wildcard-mask:通配符掩码与反掩码的区别 在配置ACL、OSPF、EIGRP的时候,通常会用到wildcard-mask,他们在Cisco IOS下面的提示信息分别为: A.B.C.D Source wildcard bits A.B.C.D OSPF wild card bits A.B.C.D EIGRP wild card bits
H3C 标准ACL
07-19 324
网络之间开启RIP协议! [R1]rip [R1-rip-1]ver 2 [R1-rip-1]undo summary [R1-rip-1]net 192.168.1.0 [R1-rip-1]net 1.0.0.0 [R1-rip-1]q [R2]rip [R2-rip-1]ver 2 [R2-rip-1]undo summa...
暴雨服务器更懂人工智能+
最新发布
BAOYUCompany的博客
07-28 225
以与某头部股份制银行的合作为例,暴雨服务器通过创新技术算力产品强化安全可靠的AI算力平台,支撑DeepSeek Coder-6.7B-base、Qwen1.5-72B等大模型的高效训练与推理,助力该行智能客服、智能风控、反洗钱反欺诈、大资管等核心金融场景的数智化转型。然而,随着大模型向千亿级乃至万亿级参数演进,传统计算架构逐渐显露出性能瓶颈、能耗高企以及生态适配性不足等问题,行业市场亟须开箱即用、软硬协同的大模型算力底座与可靠解决方案,来加速大模型向实际生产力的转化。
Ubuntu服务器安装与运维手册——操作纯享版
Jay_NanX的博客
07-27 741
本手册详细记录了Dell XPS 8960服务器从硬件配置到Ubuntu 24.04 LTS系统搭建的全流程指南。涵盖BIOS设置、安装介质制作、静态IP配置(netplan)、SSH远程访问、Samba文件共享(支持Windows/macOS访问)、MySQL数据库初始化等关键步骤,并对比了FTP与Samba的适用场景。针对常见问题如安装黑屏、网络配置错误、访问权限问题等提供解决方案。文档采用代码块与表格形式清晰呈现命令与配置参数,便于运维人员快速参考与实施。
【内网穿透】使用FRP实现内网与公网Linux/Ubuntu服务器穿透&项目部署&多项目穿透方案
@LPX
07-25 733
本文对Linux/Ubuntu服务器如何实现内网穿透进行了详细的介绍,主要使用FRP实现内网与公网服务器的穿透,同时介绍了多项目穿透方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值