<返回更多

华为网络设备安全访问,访问控制列表ACL,理论+实战,两分钟掌握

2020-06-06    
加入收藏

企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。

访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。

一、ACL应用场景

ACL可以通过定义规则来允许或拒绝流量的通过

华为网络设备安全访问,访问控制列表ACL,理论+实战,两分钟掌握

 

二、ACL分类

华为网络设备安全访问,访问控制列表ACL,理论+实战,两分钟掌握

 

1、一个ACL可以由多条“deny | permit”语句组成,每一条语句描述了一条规则

2、设备收到数据流量后,会逐条匹配ACL规则,看其是否匹配。如果不匹配,则匹配下一条。一旦匹配,则执行规则中定义的动作,并不再继续与后续规则进行匹配。如果找不到匹配的规则,则设备不对报文进行任何处理。

3、规则的匹配顺序决定了规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形。

4、ARG3系列路由器支持两种匹配顺序:配置顺序和自动排序。配置顺序按ACL规则编号(rule-id)从小到大的顺序进行匹配。通过设置步长,使规则之间留有一定的空间。默认步长是5。路由器匹配规则时默认采用配置顺序。自动排序使用“深度优先”的原则进行匹配,即根据规则的精确度排序。

通配符掩码:

0 ---表示匹配

1 ---表示忽略

ACL 用于匹配流量默认隐含一条permit any, 用于匹配路由默认隐含一条deny any

欢迎系统学习华为网络朋友以下专栏视频进行学习,完整系统,讲解细致理论配合实战讲解,适合从零基础学网络的朋友!万丈高楼平地起,根基非常重要!

 

三、ACL配置

华为网络设备安全访问,访问控制列表ACL,理论+实战,两分钟掌握

 

基本ACL: 针对源地址,靠近目的端配置

AR2进行配置:

华为网络设备安全访问,访问控制列表ACL,理论+实战,两分钟掌握

 

[AR2]interface GigabitEt

hernet 0/0/1

[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

华为网络设备安全访问,访问控制列表ACL,理论+实战,两分钟掌握

 

PC1可以访问服务器

华为网络设备安全访问,访问控制列表ACL,理论+实战,两分钟掌握

 

192.168.2.0网段无法访问服务器

华为网络设备安全访问,访问控制列表ACL,理论+实战,两分钟掌握

 

高级ACL: 一般靠近源端

[AR1]acl number 3000

[AR1-acl-adv-3000]rule 10 deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.1.100 0

[AR1-acl-adv-3000]int g 0/0/0

[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000

华为网络设备安全访问,访问控制列表ACL,理论+实战,两分钟掌握

 

[AR1]acl number 3000

[AR1-acl-adv-3000] rule 20 deny tcp source 192.168.2.1 0 destination-port eq ftp

华为网络设备安全访问,访问控制列表ACL,理论+实战,两分钟掌握

 

ACL配置成功拒绝访问FTP服务。

欢迎关注和转发,想深入学习更多网络技术或者有问题需要咨询,可以单独私信交流!

同时欢迎加入网工圈子讨论交流技术!

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>