ACL的原理与配置

最新推荐文章于 2025-04-16 15:29:59 发布
原创 最新推荐文章于 2025-04-16 15:29:59 发布 · 1.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #运维

目录

1.ACL技术的概述

2.ACL的基本概念

      2.1 ACL的组成

      2.2 规则编号与步长

      2.3 ACL的分类

      2.4 通配符掩码计算

3.ALC的基础配置及应用

1.ACL技术的概述

       1. ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。根据规则过滤的ACL,能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等的功能,从而提高网络环境的安全性和网络传输的可靠性。

          2.ACL的应用:(1)被调匹配IP流量

                                 (2)在Traffic-filter中被调用

                                  (3)在NAT(Network Address Translation)中被调用

                                  (4)在路由策略中被调用

                                  (5)在防火墙的策略部署中用

                                (6)在QoS中被调用 

 

2. ACL的基本概念

   2.1 ACL的组成

           ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。

 

2.2 规则编号与步长

       1.规则编号(Rule ID): 一个ACL中的每一条规则都有一个相应的编号。

       2. 步长(Step): 步长是系统自动为ACL规则分配编号时,每个相邻规则编号之间的差值,缺省值为5。步长的作用是为了方便后续在旧规则之间,插入新的规则。

       3.Rule ID分配规则: 系统为ACL中首条未手工指定编号的规则分配编号时,使用步长值(例如步长=5,首条规则编号为5)作为该规则的起始编号;为后续规则分配编号时,则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。

2.3 ACL的分类

 

   1.基本ACL:

           主要针对IP报文的源IP地址进行匹配,基本ACL的编号范围是2000-2999。比如这个例子,创建的是acl 2000,就意味着创建的是基本ACL。

      2.高级ACL:

           可以根据IP报文中的源IP地址、目的IP地址、协议类型,TCP或UDP的源目端口号等元素进行匹配,可以理解为:基本ACL是高级ACL的一个子集,高级ACL可以比基本ACL定义出更精确、更复杂、更灵活的规则。

2.4 通配符掩码计算

        通配符:通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严格匹配,哪些比特位无需匹配.

        通配符:通常采用类似网络掩码的点分十进制形式表示,但是含义与网络掩码完全不同

 

例1:192.168.1.1/24和192.168.1.2/24

第一步:化二进制1100 0000.1010 1000.0000 0001.0000 0001(192.168.1.1)

         1100 0000.1010 1000.0000 0001.00000010(192.168.1.2)

第二步:根据24位得0000 0000.0000 0000.0000 0000.0000 0011

第三步:化成十进制0.0.0.3(通配符掩码)

 

例2:192.168.1.0/24

第一步:化二进制1100 0000.1010 1000.0000 0001.0000 0000

第二部:根据24位得0000 0000.0000 0000.0000 0000.00000001

         ......................................................................

         0000 0000.0000 0000.0000 0000.1111 1111

第三步:化成十进制0.0.0.255(通配符掩码)

 

例3:192.168.1.1/24和192.168.1.64/24(算1-64通配符掩码)

第一步:化二进制1100 0000.1010 1000.0000 0001.0000 0001(192.168.1.1)

        1100 0000.1010 1000.0000 0001.0100 0000(192.168.1.64)

第二步:更具24位得0000 0000.0000 0000.0000 0000.0111 1111(这表示的是1-127范围的通配符掩码,而我们需要的是1-64,所以要注意此处的坑,我们可以分两步写此处的掩码)

第三步:化十进制0.0.0.0011 1111=0.0.0.63(表示1-63的通配符掩码)

        192.168.1.64(64可单独写一个IP地址)

所以1-64的通配符掩码就是0.0.0.63+192.168.1.64

3.ALC的基础配置及应用

   1.基本ACL的基础配置命令

创建基本ACI
[Huawei] acl [ number ] ac/-number[ match-order config]

使用编号 (2000~2999) 创建一个数字型的基本ACL,并进入基本ACL视图

[Huawei] acl name ac/-name [ basic  ac/-number) [ match-order config ]

使用名称创建一个命名型的基本ACL,并进入基本ACL视图

配置基本ACL的规则

[Huawei-ac-basic-2000] rule [rule-id] { deny permit } [ source ( source-address source-wildcard | any ) timerange time-name]

在基本ACL视图下,通过此命令来配置基本ACL的规则.

 

配置需求:
        在Router上部署基本ACL后,ACL将试图穿越Router的源地址为192.168.1.0/24网段的数据包过滤掉,并放行其他流量,从而禁止192.168.1.0/24网段的用户访问Router右侧的服务器网络。

1、Router已完成IP地址和路由的相关配置
2、在Router上创建基本ACL,禁止192.168.1.0/24网段访问服务器网络:
      [Router] acl 2000
      [Router-acl-basic-2000] rule deny source 192.168.1.0  0.0.0.255
      [Router-acl-basic-2000] rule permit source any 
3、由于从接口GE0/0/1进入Router,所以在接口GE0/0/1的入方向配置流量过滤:
      [Router] interface GigabitEthernet 0/0/1
      [Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000
      [Router-GigabitEthernet0/0/1] quit

2.高级ACL的基础配置命令 

1.创建高级ACL

    [Huawei] acl [ number ] acl-number[ match-order config]

    使用编号 (3000~3999) 创建一个数字型的高级ACL,并进入高级ACL视图.

    [Huawei] acl name acl-name {advance| acl-number} [ match-order config]

    使用名称创建一个命名型的高级ACL,进入高级ACL视图.

2.配置基本ACL的规则

    根据IP承载的协议类型不同,在设备上配置不同的高级ACL规则。对于不同的协议类型,有不同的参数组合

    当参数protocol为IP时,高级ACL的命令格式为
    rule [ rule-id] {deny  permit } ip [destination { destination-address destination-wildcar |any  }source {source-address sourcewildcard | any } time-range time-name l [ dscp dscp | tos tos precedence precedence] ] ]
    在高级ACL视图下,通过此命今来配置高级ACL的规则

     当参数protocol为TCP时,高级ACL的命令格式为
     rule [ rule-id] {deny  permit } { protocol-number| tcp } [ destination { destination-address destination-wildcard |any }destination-port { eg port |gt port |lt port| range port-start port-end }| source {source-address source-wildcard |any )}source-port {eg port |gt port| lt port|

 range port-start port-end} |tcp-flag {ack\ fin |syn }*|time-range time-name ] *
      在高级ACL视图下,通过此命令来配置高级ACL的规则。

 

配置需求:

       某公司通过Router实现各部门之间的互连。为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。 现要求Router能够限制两个网段之间互访,防止公司机密泄露。

       1.Router已完成IP地址和路由的相关配置.

       2、创建高级ACL 3001并配置ACL规则,拒绝研发部访问市场部的报文:
[Router] acl 3001
[Router-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Router-acl-adv-3001] quit
        3、创建高级ACL 3002并配置ACL规则,拒绝市场部访问研发部的报文:

[Router] acl 3002
[Router-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[Router-acl-adv-3002] quit
         4、由于研发部和市场部互访的流量分别从接口GE0/0/1和GE0/0/2进入Router,所以在接口GE0/0/1和GE0/0/2的入方向配置流量过滤:
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 3001
[Router-GigabitEthernet0/0/1] quit

[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2] traffic-filter inbound acl 3002
[Router-GigabitEthernet0/0/2] quit

shanjun12
关注
ACL的基本配置
lwljh134的博客
08-27 7495
(2)在交换机LSW1上创建VLAN10和20,把g0/0/1划分到vlan10,把g0/0/2划分到vlan20,把g0/0/3设置成trunk。PC1的配置,在ipv4下选择静态配置,输入对应的ip地址、子网掩码和网关,然后点击应用。(3)如图11-1所示,在路由器上配置IP地址,并配置单臂路由让PC1和PC2可以相互访问。华为ACL总结:如果配置在接口上,则默认规则为允许,如果配置在其他地方,则默认规则为拒绝。在g0/0/口的入方向配置流量过滤,当匹配到acl2000流量则执行相应的过滤掉动作。
ACL基本配置
飘雪冰峰的博客
05-28 6193
ACL 基本配置 OSPF 配置 这里以 R3 为例,展示 ospf 的配置。 在 AR3260 系列路由器中,可以正常配置 # R3 IP配置 <Huawei>system-view [Huawei]sysname R3 [R3]q <R3>undo terminal monitor # 屏蔽 terminal 端的打印信息 Info: Current terminal monitor is off. <R3> <R3>system-view En
标准ACL基本配置
咸鱼的梦想专栏
07-29 9024
R0上做如下设置: R0(config)#int s0/0 R0(config-if)#no shutdown R0(config-if)#ip add 12.1.1.1 255.255.255.0 R0(config-if)#ip add 12.1.1.3 255.255.255.0 secondary R0(config-if)#end R0#conf ter R0(co...
ACL基础配置
yxz778的博客
05-18 910
1.网络配置[r1]aaar2]aaa。
HCIA-ACL原理配置MD版本
最新发布
07-07
掌握ACL配置应用不仅可以有效防御恶意流量和攻击,还能优化网络性能,提升网络资源的利用效率。随着网络环境的日益复杂,ACL的高级应用也逐渐成为网络工程师进阶的方向之一。了解和熟练掌握ACL原理配置,...
12 ACL原理配置.pptx
07-08
12 ACL原理配置
ACL原理配置
口袋里的梦想
09-19 566
【代码】ACL原理配置
基本ACL配置
smxsnq的博客
04-16 1158
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
ACL的基本配置应用
weixin_45921302的博客
09-23 2597
基本和高级ACL的简单配置使用。
ACL的基本原理配置
weixin_50931573的博客
04-17 1394
一、ACL概述ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。
如何配置基本ACL
彭淦淦的博客
04-08 5367
5.1 问题 如图配置IP地址 禁止 PC1 网络访问服务器 Server1 允许其他所有的访问流量 5.2 方案 搭建实验环境,如图-5所示。 图-5 5.3 步骤 实现此案例需要按照如下步骤进行。 1)配置终端设备 - PC1 地址: 192.168.1.1 掩码: 255.255.255.0 网关: 192.168.1.254 2)配置终端设备 - PC2 地址: 192.16...
ACL配置
2302_78575222的博客
07-03 1614
在R2中配置去往192.168.3.0/24的静态路由,下一跳为192.168.23.3。在R2中配置去往192.168.1.0/24的静态路由,下一跳为192.168.12.1。第一步:配置Client1/PC1/Server1的IP,掩码,网关。在R3中配置默认路由,下一跳为192.168.23.2。售后主机client1可以访问行政部的所有主机的服务。售后主机client1不能访问网络中的其他主机。配置R1/R2/R3的接口IP地址。第三步:在R1中配置ZCL。确定配置ACL的设备。
ACL理论及简单配置
热门推荐
weixin_58107256的博客
05-04 1万+
应用意义 ACL可以通过定义规则来允许或者拒绝流量的通过。 如图所示,192.168.1.0网段的社交场所为只能够进入公网,而不能够进入服务器,这个时候我们在路由器或者是三层交换机上(带路由功能的交换设备)上配置ACL策略,在192.168.1.0网段的数据包发送到RTA的时候会在入网口进行检测,从而判断能否让该(IP/MAC/端口)通过。 1.ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 2.本示例中,网关RTA允许192.16.
ACL介绍及其相关配置
m0_61665967的博客
07-25 9829
ACL称为访问控制列表在流量转发的接口限制流量的进或出为其他策略定义感兴趣流量;当数据包流量经过路由器接口进或出时,ACL可以匹配流量产生动作 --- 允许 拒绝匹配规则:自上而下逐一匹配,上条匹配按上条执行,不再查看下一条;cisco系在表格末尾隐含拒绝所有;华为系在表格末尾隐含允许所有;1. 意识到全意识的重要性:ACL实验涉及到对计算机资源访问权限的控制,这也在提醒我们要时刻保持警惕,意识到安全意识的重要性。
ACL原理基本ACL配置
summer_12th的博客
12-01 9735
ACL(Access Control List)----访问控制列表,在路由器接口上使用的规则列表。 规则:匹配数据包,实现数据包的控制(过滤或放行)–作用 动作:permit允许,deny拒绝。 ACL读取第三层(IP)和第四层(TCP/UDP)的头部信息——源ip,目标ip,源端口,目标端口,然后根据预先定义好的规则对报文进行过滤。 ACL原理:一个ACL可以有多个规则(rule),acl匹配...
ZXR10 ACL原理配置详解
"RGUB_501_C1 G系列路由交换机ACL原理配置V1.1(48)" 访问控制列表(ACL)是网络管理中的重要工具,用于控制数据流的进出,以实现对网络流量的管理和限制。本文档主要介绍了ACL的基本原理配置步骤和应用实例。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值