HCIA-ICT实战基础-访问控制列表ACL进阶

目录

二层ACL技术及配置

高级ACL的扩展使用方法及使用场景

1 二层ACL技术及配置

1.1 二层ACL概念

使用报文的以太网帧头来定义规则, 根据源mac地址、目的mac地址、二层协议类型等.

在结构上和高级ACL大差不差.

1.2 MAC通配符

区别与在三层工作的ACL, 用来匹配mac地址的二层ACL的通配符在匹配规则上有变化:

  1. 由于mac地址为十六进制, 通配符在使用时需要转换成二进制;
  2. "1"表示匹配, "0"表示随机分配(与三层ACL相反);
  3. 缺省时通配符为"ffff-ffff-ffff"

1.3 二层ACL配置命令

1.创建二层ACL

[Huawei] acl [namber] acl-number [match-order config]

使用编号(4000~4999)创建一个数字型的二层ACL, 并进入二层ACL视图.

[Huawei] acl name acl-name {link | acl-number} {match-order config}

使用名称创建一个命名型的二层ACL, 并进入二层ACL视图.

2.配置基本ACL的规则

[Huawei-acl-L2-4000] rule [rule-id] {deny|permit} {l2-protocol type-value[type-mask] | destination-mac dest-mac-address [dest-mac-mask] | source-mac source-mac-address [source-mac-mask] | vlan-id vlan-id [vlan-id-mask] | 8021p 802.1p-value | time-range time-name}

在基本acl视图下, 通过此命令来配置基本ACL的规则.

放几个例子:

1.4 二层常见协议类型

0x0800--IPv4

0x0806--ARP

0x86DD--IPv6

0x8100--802.1q(VLAN)

0x8847/8848--MPLS

2 高级ACL的扩展使用方法及使用场景

2.1 回顾一下基本ACL和高级ACL

基本ACL

高级ACL

2.2 ACL的匹配顺序及匹配结果

在华为设备上ACL的默认匹配模式为config模式, 即系统按照ACL规则的编号从小到大的顺序进行报文匹配, 规则编号越小越容易被匹配.

我们也可以通过手动修改ACL的匹配模式为auto模式, 在这种配置模式下, 匹配规则时系统会自动按照深度优先对规则进行排序, 假如深度优先的顺序相同, 则匹配规则时按rule-id从小到大排序.

上图匹配ACL规则顺序为: 2 3 4 1

注: 对深度优先的理解: 对于ACL规则来说, 其匹配的范围越小, 通配符越小, 匹配对象越精确, 那么就越优先匹配.

2.3 高级ACL根据时间过滤配置

1.根据时间配置规则

[Huawei] time-range time-name {start-time to end-time {days} & <1-7> | from time1 date1 [to time2 date2]}

time-range命令用来配置一个时间段(周期/永久/永久性周期)

2.使用实例

配置时间段test1, 从2010年1月1日00:00起到2010年12月31日23:59生效

[Huawei] time-range test1 from 0:0 2010/1/1 to 23:59 2010/12/31

配置时间段test2, 在周一到周五每天8:00到18:00生效

[Huawei] time-range test2 8:00 to 18:00 working-day

在ACL里调用时间集

[Huawei-acl-basic-2000] rule 1 deny source 10.1.1.0 0.0.0.255 time-range test1

3.查看时间集

[Huawei] display time-range

2.4 高级ACL扩展应用场景

  1. 在要求网络无法被轻易ping探测的情况下, 可以通过高级ACL直接过滤所有ICMP报文;

  2. 针对企业用户, 企业内部网络在工作日期间, 员工访问网络会受限, 配合time-range, 实现工作日期间访问受限;

  3. 针对学校客户, 通过高级ACL针对学生IP结合time-range限制网络访问;

  4. 在家庭网络中, 可以通过二层ACL, 将非法用户进行黑名单处理.

  5. ...

HCIA-ICT实战基础07-访问控制列表ACL进阶的更多相关文章

  1. 第10章 网络安全(5)_访问控制列表ACL

    6. 访问控制列表ACL 6.1 标准访问控制列表 (1)标准ACL ①标准ACL是基于IP数据包的源IP地址作为转发或是拒绝的条件.即,所有的条件都是基于源IP地址的. ②基本不允许或拒绝整个协议组 ...

  2. 由于 web 服务器上此资源的访问控制列表(acl)配置或加密设置,您无权查看此目录或页面。

    场景:IIS中遇到无法预览的有关问题(HTTP 异常 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置 IIS中遇到无法预览的问题(HTTP ...

  3. 用访问控制列表(ACL)实现包过滤

      用访问控制列表(ACL)实现包过滤 一.ACL概述 1.ACL(Access Control List,访问控制列表)是用来实现数据包识别功能的 2.ACL可以应用于诸多方面 a>.b包过滤 ...

  4. 基本的访问控制列表ACL配置

    摘要: 访问控制列表ACL (Access Control L ist)是由permit或 deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址.目的地址.源端口.目的端口等信息  来 ...

  5. HCNA Routing&Switching之访问控制列表ACL

    前文我们了解了DHCP服务相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15147870.html:今天我们来聊一聊访问控制列表ACL: ACL(ac ...

  6. 网络访问控制列表ACL(读懂这篇就基本够了,后面有配置案例)

    一.访问控制列表是什么? 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问 ...

  7. CCNA网络工程师学习进程(8)访问控制列表ACL

    前面几节我们介绍了路由器的路由配置,接下来几节我们将介绍路由器的高级配置应用,包括ACL.NAT.DHCP.PPP.VPN和远程连接等的配置.     (1)ACL概述:   ACL(Access C ...

  8. 访问控制列表 ACL

    访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包.其目的是为了对某种访问进行控制. 作用 ACL可以限制网络流量.提高网络性能. ...

  9. windows访问控制列表 --ACL(Access Control List)

    1.定义 ACL是一个windows中的表示用户(组)权限的列表. Access Control List(ACL) Access Control Entry(ACE) ... 2.分类 ACL分为两 ...

  10. Linux 系统访问控制列表ACL

    常见的文件系统的一般权限(rwx).特殊权限(SUID,SGID,STICK).隐藏权限(chattr)其实有个共性——权限是针对某一类用户设置的.而如果希望对某个指定的用户进行单独的权限控制,那么就 ...

随机推荐

  1. Tooltip 文字提示,居中显示

    Tooltip 文字提示有时候在table中无法居中显示,这个可以设置一下 <a-tooltip placement="top" overlayClassName=" ...

  2. Gitbook部署

    title: Gitbook部署 # 标题 date: 2020-06-14 08:00:00 借助Gitbook,写自己的第一本电子书 Gitbook部署 一.电脑环境 Git 环境,我的电脑上已经 ...

  3. SSM框架实现附带信息的文件上传&下载

    SSM框架实现附带信息的文件上传&下载 目录 目录 SSM框架实现附带信息的文件上传&下载 目录 技术概述 技术详述 技术使用中遇到的问题和解决过程 总结 参考链接 技术概述 ​ 在进 ...

  4. Python3开启自带http服务

    1.基本方式Python中自带了简单的服务器程序,能较容易地打开服务.在python3中将原来的SimpleHTTPServer命令改为了http.server,使用方法如下: 1. cd www目录 ...

  5. centos7清理docker垃圾文件

    相信很多朋友都有这个docker容器导致主机磁盘空间满了的问题,应用容器在宿主机上长期运行,应用实例启停容器,会产生大量的停止的容器,无容器使用的数据卷.网络配置,无容器依赖的镜像,这些垃圾日积月累, ...

  6. 斐讯K2_V22.6.507.43降级+刷机整个过程

    K2刷机整个过程 (包括降级) 开始之前请先下载好相对应的工具包,其中包括: 官方固件:"K2_V22.6.506.28.bin"."K2_V22.6.507.43.bi ...

  7. file的各种转换

    1.将bloburl转换为file格式 let data = { name: "新年致辞.png", status: "success", uid: 16643 ...

  8. linux运维之道学习笔记

    linux常用命令 1.find命令 find / "*.log" 查找/目录下.log结尾的档案 find / -mtime -3 查找/目录下三天内被修改的档案 find / ...

  9. js简单的图片上传

    <input id="file" type="file" name="name" @change="aaa"> ...

  10. Odoo编程,说明,功能,文章收藏贴

    CN Blog: https://www.cnblogs.com/Firstwing/p/14088500.html #http://blog.sina.com.cn/s/blog_bc7dee2d0 ...