前文我们了解了DHCP服务相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15147870.html;今天我们来聊一聊访问控制列表ACL;

  ACL(access control list)是一款流量过滤工具,它能针对特定的流量数据包做拒绝或允许操作;本质上讲ACL是最早的包过滤防火墙;它能根据我们定义的规则将数据包进行分类,并针对不同类型的数据包进行不同的处理,从而实现针对网络访问行为的控制、限制网络流量、提高网络性能和防止网络攻击;

  提示:ACL主要针对三层ip包头里的源地址和目标地址以及四层TCP包头的源端口和目标端口来分类过滤数据包,我们可以根据这四个元素任意组合定义不同的规则;当然对于二层数据链路层也可根据源mac和目标mac、vlan id等来制定规则;

  ACL应用场景

  提示:我们可以通过制定ACL规则实现允许或拒绝流量通过;如上图我们可以允许192.168.1.0/24这个网段里的主机可以正常访问互联网,但不允许访问服务器A;对于192.168.2.0/24这个网络里的主机允许访问服务器A,但拒绝访问互联网;

  提示:ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作;如上图,匹配ACL条件的数据包进行加密操作;未匹配的数据不做任何处理;

  ACL工作原理

  提示:首先ACL由一条或多条规则组成;每个ACL都有一个名称或编号;对于不同范围编号的ACL其特性也有所不同;每条规则必须选择动作,允许或拒绝;每条规则都有一个id序号,默认不给id,就是5,间隔5;序号的作用就是排序规则匹配顺序,数字越小越有限匹配;只要有一条规则和报文匹配,就停止查找,称为命中规则;如果查找完所有规则,如果没有符合条件的规则,称为未命中规则;ACL创建后,必须将其应用到某个接口或其他技术内才会生效;应用在接口时必须选择方向:入站或出站(相对设备来判断),每个接口在每个方向上只可应用一个ACL;不能过滤由设备自己产生的数据;

  ACL类型

  提示:ACL分为数字型ACL和命名型ACL;对于数字型ACL来说,主要分三中类型,基本ACL,其编号范围是2000-2999,高级ACL编号为3000-3999,二层ACL编号为4000-4999;最后是用户自定义ACL其编号范围5000-5999;对于命名型ACL具体属于高级还是基本还是二层,由命令决定;默认不跟编号就是高级ACL;

  正掩码、反掩码、通配符区别

  示例:用通配符匹配一个地址

  示例:匹配一个网段

  示例:匹配任意地址

  提示:后面不接任何地址直接回车也表示匹配任意地址,后面接any也表示匹配任意地址;

  示例:匹配网段内的所有奇数地址

  提示:我们知道对于一个奇数来说,它的二进制最后一位肯定是1;那么我们只需匹配最后一位必须是1即可;结合上述通配符的规则,1表示无需匹配,0表示必须匹配;对应我们可以算出匹配奇数的通配符为254;对于254来说,它的二进制最后一位是0,则表示最后一位必须匹配;这个必须匹配是指匹配前边的ip地址和后面的通配符做异或计算(相同为0不同为1)的结果;如上1的二进制最后一位是1和254的最后一位0做异或计算就是1;这表示IP地址二进制最后一位必须是1对应ip地址才能被匹配;这样一来对于匹配是奇数还是偶数,由前边变得ip地址决定;如果ip地址的二进制最后一位是1则匹配奇数,如果ip地址最后一位是0则匹配偶数;

  示例:匹配网段内的所有偶数地址

  ACL配置

  1、创建ACL

  提示:创建ACL如果后面直接跟数字表示创建数值型ACL,根据给定数字自动创建对应类型的ACL;如果创建acl后面跟的是名称,如果后面没有指定对应acl编号,默认就是高级ACL;

  2、创建规则

  提示:创建规则,如果没有跟规则编号,默认就是5;创建ACL规则需要指定对应的动作,允许或拒绝;后面是该规则的匹配条件;不同类型的ACL,对应后面的匹配条件也有所不同,对于基本acl来说,它只能匹配源ip等;对于高级acl来说,它即可以匹配源ip地址,目标ip地址,也可以匹配源端口或目标端口;

  3、创建高级ACL

  在高级acl里创建规则

  提示:上述规则表示允许192.168.1.232这台主机访问1.1.1.1这台服务器的80端口;

  4、在接口调用ACL过滤流量

  提示:在接口模式下调用acl,需要注意方向,inbound表示入站,outbound表示出站;

  5、验证acl

  6、查看接口acl调用情况

  7、查看设备上所有基于ACL调用情况

  提示:该命令在路由器上能够正常执行,交换机不支持;

HCNA Routing&Switching之访问控制列表ACL的更多相关文章

  1. 由于 web 服务器上此资源的访问控制列表(acl)配置或加密设置,您无权查看此目录或页面。

    场景:IIS中遇到无法预览的有关问题(HTTP 异常 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置 IIS中遇到无法预览的问题(HTTP ...

  2. 用访问控制列表(ACL)实现包过滤

      用访问控制列表(ACL)实现包过滤 一.ACL概述 1.ACL(Access Control List,访问控制列表)是用来实现数据包识别功能的 2.ACL可以应用于诸多方面 a>.b包过滤 ...

  3. 第10章 网络安全(5)_访问控制列表ACL

    6. 访问控制列表ACL 6.1 标准访问控制列表 (1)标准ACL ①标准ACL是基于IP数据包的源IP地址作为转发或是拒绝的条件.即,所有的条件都是基于源IP地址的. ②基本不允许或拒绝整个协议组 ...

  4. 基本的访问控制列表ACL配置

    摘要: 访问控制列表ACL (Access Control L ist)是由permit或 deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址.目的地址.源端口.目的端口等信息  来 ...

  5. 网络访问控制列表ACL(读懂这篇就基本够了,后面有配置案例)

    一.访问控制列表是什么? 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问 ...

  6. CCNA网络工程师学习进程(8)访问控制列表ACL

    前面几节我们介绍了路由器的路由配置,接下来几节我们将介绍路由器的高级配置应用,包括ACL.NAT.DHCP.PPP.VPN和远程连接等的配置.     (1)ACL概述:   ACL(Access C ...

  7. windows访问控制列表 --ACL(Access Control List)

    1.定义 ACL是一个windows中的表示用户(组)权限的列表. Access Control List(ACL) Access Control Entry(ACE) ... 2.分类 ACL分为两 ...

  8. Linux 系统访问控制列表ACL

    常见的文件系统的一般权限(rwx).特殊权限(SUID,SGID,STICK).隐藏权限(chattr)其实有个共性——权限是针对某一类用户设置的.而如果希望对某个指定的用户进行单独的权限控制,那么就 ...

  9. ORA-24247:网络访问被访问控制列表(ACL)拒绝

    今天将一个发送数据库监控邮件的procedure 从10g 迁移到11g,不工作了.处理记录如下: 在Oracle11g中,Oracle在安全方面有了很多的改进,而在网络权限控制方面,也有一个新的概念 ...

随机推荐

  1. CentOS6.5 mini安装到VirtualBox虚拟机中

    下载Oracle VM VirtualBox 下载下来安装 下载镜像 http://archive.kernel.org/centos-vault/6.5/isos/i386/CentOS-6.5-i ...

  2. mybatis中使用selectKey,返回结果一直是1

    转:https://www.cnblogs.com/caizhen/p/9186608.html mybatis中使用selectKey,返回结果一直是1,结合这个问题,笔记一下selectKey标签 ...

  3. 从S3中拷贝或同步文件

    p.p1 { margin: 0; font: 16px "Helvetica Neue"; color: rgba(53, 53, 53, 1) } p.p2 { margin: ...

  4. Archive for required library:’ WebRoot/WEB-INF/Mytag.tld’in project ‘TagTest’ cannot be read or is not a valid ZIP file

    Description::部署tld文件时报错 我的解决方法: 右击(当前项目)->Build Path->Java Build Path ( Configure Build Path.. ...

  5. php微信jsapi支付 支付宝支付 两码合一

    产品开会提出了这样的需求:一个二维码可以微信支付也可以支付宝支付 经过自己的钻研以及询问技术高人(本人代码一般般)和网上搜索 最终实现其功能  我用微信jsapi 和 支付宝网页支付 其实并不怎么难: ...

  6. 新旧图号(图幅号)转换/计算/检查,经纬度转换计算,C#代码

    图号(图幅号):地图图号是指为便于使用和管理,按照一定方法将各分幅地图进行的编号. 经常用到图号,但是在网上一直没有找到一个完整的图号转换程序,因此自己写了一个图号处理的库,分享出来.如有错误请指正. ...

  7. netcore3.1 + vue (前后端分离) IIS 部署

    1.安装 aspnetcore-runtime-3.1.1-win-x64.exe 2.安装dotnet-hosting-3.1.1-win.exe 3.安装urlrewrite和applicatio ...

  8. Django基础010--ORM操作

    orm返回的数据有两种,QuerySet,object 1.QuerySet支持链式编程,可以在all()后面继续.方法 teachers = models.Teacher.objects.all() ...

  9. 【记录】如何造一个vite插件(2)

    上一篇已经把vite插件的基础结构搭建起来了,这一次就来聊聊继续完善开发环境. 完善开发环境 生成d.ts文件 先来修改一下lib/index.ts这个文件 export interface user ...

  10. [源码解析] 深度学习分布式训练框架 horovod (17) --- 弹性训练之容错

    [源码解析] 深度学习分布式训练框架 horovod (17) --- 弹性训练之容错 目录 [源码解析] 深度学习分布式训练框架 horovod (17) --- 弹性训练之容错 0x00 摘要 0 ...