《一名网络工程师的自我修养-高级ACL》

最新推荐文章于 2025-10-07 19:39:00 发布
原创 最新推荐文章于 2025-10-07 19:39:00 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #运维

本文详细讲解了思科和华为高级ACL(扩展ACL)的区别,展示了如何创建和应用高级ACL来阻止特定流量,如UDP 445端口访问和VLAN 10的流量控制。实例包括配置步骤、测试验证和最佳实践,涉及命令行操作和策略优化。

高级ACL

高级ACL编号范围:3000-3999

  • 思科
    • 标准ACL (华为的基本ACL)
    • 扩展ACL(就是华为的高级ACL)

高级ACL可以根据数据包

华为高级ACL的创建

华为可以给ACL命名,但系统依然会配一个编号,所以差别不大。

[ISP] acl 3000
[ISP-acl-adv-3000] rule permit icmp(各种协议) 对icpm协议族下的数据包进行过滤
[ISP-acl-adv-3000] rule permit icmp source 10.10.10.0 0.0.0.255 destination 20.20.20.0 0.0.0.255 允许 10.10.10.0 24 ping 20.20.20.0 24
[ISP-acl-adv-3000]rule 5 deny ip(Any ip protocol) 通过禁止源目地址
[ISP-acl-adv-3000]rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.20.20.0 0.0.0.255 阻止全部协议的通信
[ISP-acl-adv-3000] rule permit tcp source 10.10.10.0 0.0.0.255 desination 162.16.33.11 0 eq destination-port 80 http流量的端口号为80 htpps : 443
拒绝来源特定网络通过端口号20、21访问172.16.33.11
rule deny tcp source 10.10.10.0 0.0.0.255 destination 172.16.33.11 0 destination-port range 20 21 ftp-data 20 ftp 21
法不禁止就可行,华为的高级ACL也同样拥有隐式语句,默认放行。

Tip : 当不记得命令时,利用好 ?提示符

ACL匹配原则:从上到下,一有匹配直接发送。

ACL自动匹配原则(深度匹配):

最低0.47元/天 解锁文章
网络安全-ACL应用
A soul tortured by desire
09-05 1257
网络安全——访问控制——ACL的应用场景
思科网络基础---ACL配置
coisini的博客
12-27 4362
记得这是多年前的一道作业题,如今再接触网络,感触颇深。 先提下配置要求吧,说实话,这拓扑图是真的简单,配置要不复杂,当然,这只是基本的训练题。 用RIP路由协议配置,实现网络连通。 1、终端PC-5的WEB浏览器上输入http://40.4.4.200,是否可以打开页面? 2、若要拒绝该网段访问Server-2的网站,该如何实现? 3、PC-6能否ping通R-1所连接主机?如果想拒绝所...
学习日记Day27:ACL原理与配置
qq_40909772的博客
08-13 5915
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
HCIA 第八天
weixin_45800779的博客
11-20 415
ACL的概念。 1、ACL:Access Control List,访问控制列表。 作用: 1、实现访问控制 2、抓取感兴趣流量供其他技术调用 工作原理:通过在路由器上手工定义一张ACL列表,表中包含有多种访问规则,然后将此表调用在路由的某个接口的某个方向上, 让路由器对收到的流量基于表中规则执行动作–允许、拒绝 3、 ACL匹配规则: 至上而下按照顺序依次匹配,一旦匹配中流量,则不再查看下一条 ...
rule 5 permit source 192.168.1.0 0.0.0.127 特定子网 概念及实验
最新发布
weixin_42185241的博客
10-07 668
摘要:华为/H3C防火墙命令"rule 5 permit source 192.168.1.0 0.0.0.127"用于创建ACL规则,允许特定IP范围的流量通过。其中rule 5表示规则序号(决定匹配顺序),permit为允许动作,source定义源IP范围。关键点在于通配符掩码0.0.0.127(反掩码),0表示精确匹配,1表示任意值,该配置匹配192.168.1.0-192.168.1.127共128个IP地址。典型应用场景是限制只允许特定网段访问网络资源。ACL规则按序号从小到大
第七章:ACl技术
Ruimin0519的博客
07-06 390
2、按照ACL编号顺序(从大到小)匹配第一条规则,匹配进一步检查该条规则的动作,否则与下一条规则进行匹配.....高级ACL:对数据包的五元组(源IP、目的IP、源端口、目的端口、协议类型)进行检查,编号3000-3999。二层ACL:检查二层帧的头部信息,源MAC\二层协议类型等等,编号4000-4999。通配符:哪些位需要严格匹配,哪些位可以随意,0表示严格匹配,1表示随意匹配。3、所有规则都不匹配,检查默认动作,默认动作允许则放行,默认动作拒绝则放弃。手动指定:0、1、2、3、4、5......
以太网安全技术ACL原理+配置
weixin_33733810的博客
07-04 750
一、以太网访问控制列表 主要作用:在整个网络中分布实施接入安全性 访问控制列表ACL(Access Control List)为网络设备提供了基本的服务安全性。对某个服务而言,安全管理员首先应该考虑的是:该服务是否有必要运行在当前环境中;如果必要,又有哪些用户能够享用该服务。 如果该服务不必要,则应当禁止该服务。因为运行一个不必要的服务,不仅会浪费网络等资源,而且会给当前的网络环境带来安全隐患。...
故障排查华三交换机不回复ping报文
q253289627的博客
06-29 3988
华三交换机作为三层交换机。车载新增的交换机与华三路由不通。 进一步排查发现是三层的互联IP地址不通。 车载ping不通华三,但是可以ping通同一个vlan内其他的车辆。 抓包发现icmp报文进入了华三,但是华三没有回应。像是进入了一个黑洞。 排查华三发现arp和mac地址表都正常。 查看fib的转发表。发现到车载交换机的主机路由有2条。其中生效的一条是虚拟化bfd的vlan。仔细看bfd配置,发现IP地址段与车载的冲突了。更改bfd的IP地址后恢复通行。 以下为排查过程中用到的命令 1、建立acl acl
[网络工程师]-防火墙-ACL
m0_58983558的博客
10-31 3803
讲述了ACL规则的分类、匹配方式和配置方式
Packet Tracer - IPv4 ACL 的实施挑战(完美解析)
符啸九天的博客
09-21 2432
在这个Packet Tracer练习中,您要配置扩展IPv4 ACL、 命名的标准IPv4 ACL和命名的扩展IPv4 ACL,来满足特定的通信需求。列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。针对每个分支机构的LAN配置一条访问列表语句。
ACL技术配置
热门推荐
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
10-31 1万+
ACL华为命令 1.基本ACL配置 [Huawei]acl number 2000 ###创建acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加) [Huawei] interface GigabitEthernet 0/0/1 [ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254
华为数通——ACL
CLONS的博客
06-20 3450
ACL判别依据是五元组:源IP地址,源端口,目的IP地址,目的端口、协议。设置规则拒绝TCP协议,这里精准地址,反掩码0.0.0.0=0,到目的172.16.10.2,这里精准地址,反掩码0.0.0.0=0,端口23,eq=等于。设置规则拒绝icmp协议(ping)源地址范围,反掩码0.0.0.255,到172.16.10.2,这里精准地址,反掩码0.0.0.0=0高级ACL(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。一个接口的同一个方向,只能调用一个ACL
华为ACL配置命令详解
SuSe的专栏
01-29 1万+
ACL(Access Control List)即访问控制列表,可以在路由器、交换机等设备上进行配置,用来限制网络中数据流的访问,实现基本网络安全控制。ACL通过匹配数据包的源地址、目的地址、协议类型、端口号等信息来控制数据流在网络中的流向。ACL网络设备中常用的安全配置之一,通过限制数据流的访问,提高了网络的安全性。文章从ACL类型、配置命令、常用命令等多个方面进行了详细的阐述,希望对大家在实际应用中使用ACL有所帮助。
TCP/IP学习
a200638012的博客
11-09 1889
目录目录 TCPIP 计算机通信协议Computer Communication Protocol 什么是 TCPIP 在 TCPIP 内部 TCP 使用固定的连接 IP 是无连接的 IP 路由器 TCPIP TCPIP 寻址 IP地址 IP 地址包含 4 组数字 比特 4 字节 IP V6 域名 TCPIP 协议 协议族 TCP - 传输控制协议 IP - 网际协议Internet Protoc
TCP/IP协议(5): IP(Internet Protocol) 协议 —— 连接各个网络的协议
杨领well的专栏
09-04 5762
TCP/IP协议(4): IP(Internet Protocol) 协议 关于 IP(Internet Protocol) 协议 IP 协议的主要内容 IP 协议包(Packet) IPv6 协议 参考文献
华为eNSP-ACl访问控制列表
m0_73931111的博客
11-19 2393
访问控制列表广泛应用于路由器和三层交换机,可以有效控制用户对网络的访问,从而保障网络安全。访问控制列表:是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据进行控制,允许其通过或丢弃。只允许R2 的 loopback接口 telnet R1 的loopback接口。此时PC1 可以 ping 通 PC3,但是 PC2 无法ping 通PC3。此时PC1 可以 ping 通 PC2,但是 PC3 无法ping 通PC2。此时 PC1、PC2 都可以 Ping 通 PC3。
华为设备ACL与NAT技术
weixin_30655219的博客
07-08 684
ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制数据的流入与流出. NAT 网络地址转换(Network Address Translation),是一个互联网工程任务组的...
腾讯无线网服务器,腾讯服务器的IP地址是什么?
weixin_30914901的博客
07-31 1306
你自己看一下吧:rule 25 permit ipdestination 58.60.15.0 0.0.0.255rule 30 permit ip destination 58.61.32.00.0.0.255rule 35 permit ip destination 58.61.33.0 0.0.0.255rule 40permit ip destination 58.61.34.0 0.0....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值