当前位置: 首页 > news >正文

ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。

目录

ACL的组成:

创建ACL访问控制列表的两种的方式:

1、数字命名:

2、字符串命名方式:

ACL创建步骤:

1、先创建ACL列表:

进入acl列表:

2、配置ACL的一条条规则:

3、进入需要应用这个访问控制列表的接口:

修改规则默认步长:(默认步长为5)

子网掩码:

反掩码:

通配符掩码:

ACL的分类与标识:

ACL匹配机制:


ACL的组成:

ACL由若干条permit或deny语句组成,每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。

permit  ---->  允许列表

deny    ---->  拒绝列表

创建ACL访问控制列表的两种的方式:

1、数字命名:

acl number +数字(0~4294967294)

2、字符串命名方式:

acl name +字母

ACL创建步骤:

1、先创建ACL列表:

acl number 2000      //创建访问控制列表的编号为2000 

进入acl列表:

acl +acl列表名字

进入acl列表2000
acl 2000

2、配置ACL的一条条规则:

(用户自定义规则)---(规则编号的范围:0~4294967294)

Rule 5 permit source 1.1.1.0 0.0.0.255   
 //rele 5 规则的编号为5(可以不写,每个规则编号默认隔开5号【默认编号间隔步长为5,步长是为了后续在旧规则之间,插入新的规则】),编号越小越优先处理

Rule 10 deny source 2.2.2.0 0.0.0.255    // permit、deny允许通过或拒绝该流量通过

Rule 15 permit source 3.3.3.0 0.0.0.255  // 匹配项(此处为源IP地址)

3、进入需要应用这个访问控制列表的接口:

Traffic-filter inbound acl 2000   //流量过滤使用编号为acl 2000的访问控制列表

注:

1、每个ACl列表末尾隐含的规则----每个ACL列表默认规则,我们看不到的规则

Rule 4294967294 permit any  
 //编号为4294967294的规则,默认允许所有数据通过(也就是没被前面规则拒绝的流量都会被允许通过【华为设备默认通过】【思科设备默认全部拒绝】)

2、越精确的ACl规则越先写,规则号数越前,因为数据匹配到该规则后,就不会继续往下匹配。

修改规则默认步长:(默认步长为5)

#需进入访问控制列表设置

Step 10   //修改acl规则默认步长为10,已存在的规则也会重新以步长为10的间隔排序好。

子网掩码:

配置地址时,配置子网掩码

反掩码:

ospf配置用到反掩码,255.255.255.255 -(减去)子网掩码。0代表匹配,1代表忽略,反掩码0和1是连续的。

通配符掩码:

ACL用到通配符掩码,0代表匹配,1代表忽略,0和1可以不连续。

注:要精确放行某个IP地址就需要全0的通配符掩码。

例:

#全0的通配符掩码用于匹配一个具体的地址。

192.168.1.1 0.0.0.0

#放行某一个网段的话,就用那个位数的通配符掩码

 

ACL的分类与标识:

创建acl访问控制列表时,使用的数字编号在2000到2999这个范围,则创建的是基本acl。

基本acl只会管理看源IP地址,不会管目标IP地址

acl number 2000    //创建一个基本acl访问控制列表

简写:acl 2000
退出访问控制列表后,想要回到访问控制列表继续配置规则时,进入方式也是:acl 200
进入acl访问控制列表:
acl +ACL列表名

创建acl访问控制列表时,使用数字编号在3000到3999这个范围,则创建的基本acl。以此类推。

高级acl会看源IP地址,也会看目标IP地址,可以更精确的确定规则

acl number 3000    //创建一个高级acl,列表名为3000

ACL匹配机制:

1、数据会在接收和发送时检测接口是否存在ACL访问控制列表。不存在控制列表在则直接通行。

2、若有访问控制列表,则查看是否存在访问规则。不存在规则则直接通行。

3、若存在规则,则分析第一条规则。若命中规则,则查看第6条。

4、若未命中规则,则查看是否有下一条规则。若没有下一条规则,则ACL匹配结果为不匹配,华为设备对ACL匹配结果为不匹配的数据默认为允许通行、思科设备则不允许通行。

5、访问下一条规则,若命中规则,ACL动作是permit还是deny。

6、若命中规则为permit,则ACL匹配结果为允许。若命中规则为deny,则ACL匹配结果为拒绝。

相关文章:

  • 面试官:我看你简历上写了MySQL,对MySQL InnoDB引擎的索引了解吗?
  • 微信小程序SEO指南
  • steam搬砖项目一直很稳定,部分反馈
  • Python调试指南
  • ICE常见编译和运行(异常)错误
  • 【职场成长】一篇文章,讲清复盘!
  • java面向对象解释
  • 基于SpringBoot+Vue的公益互助系统的设计与实现
  • 不怕问题多,就怕不复盘,超详细复盘步骤呈上,建议收藏
  • 神经网络模式识别方法,神经网络模式识别代码
  • DOM--事件响应链(冒泡目标捕获)
  • 测试人生 | 做了低薪运营6年,妹纸靠什么转行拿下 20W 年薪?
  • 获取Optimism 代币OP的五种方式
  • bugku misc disordered_zip
  • JVM面试常考的4个问题详解
  • [数据结构]链表的实现在PHP中
  • ES学习笔记(12)--Symbol
  • iOS高仿微信项目、阴影圆角渐变色效果、卡片动画、波浪动画、路由框架等源码...
  • Java超时控制的实现
  • TypeScript迭代器
  • 第2章 网络文档
  • 紧急通知:《观止-微软》请在经管柜购买!
  • 名企6年Java程序员的工作总结,写给在迷茫中的你!
  • 前端自动化解决方案
  • 让你成为前端,后端或全栈开发程序员的进阶指南,一门学到老的技术
  • 腾讯大梁:DevOps最后一棒,有效构建海量运营的持续反馈能力
  • 远离DoS攻击 Windows Server 2016发布DNS政策
  • 阿里云ACE认证学习知识点梳理
  • ​【C语言】长篇详解,字符系列篇3-----strstr,strtok,strerror字符串函数的使用【图文详解​】
  • ​低代码平台的核心价值与优势
  • #QT(TCP网络编程-服务端)
  • (06)Hive——正则表达式
  • (2)STL算法之元素计数
  • (3)选择元素——(17)练习(Exercises)
  • (day 12)JavaScript学习笔记(数组3)
  • (DenseNet)Densely Connected Convolutional Networks--Gao Huang
  • (八)Spring源码解析:Spring MVC
  • (八)五种元启发算法(DBO、LO、SWO、COA、LSO、KOA、GRO)求解无人机路径规划MATLAB
  • (四)c52学习之旅-流水LED灯
  • (万字长文)Spring的核心知识尽揽其中
  • (一)基于IDEA的JAVA基础1
  • (一)为什么要选择C++
  • (转) Face-Resources
  • (转)jdk与jre的区别
  • (转)VC++中ondraw在什么时候调用的
  • (转)总结使用Unity 3D优化游戏运行性能的经验
  • .gitignore文件_Git:.gitignore
  • .net core webapi Startup 注入ConfigurePrimaryHttpMessageHandler
  • .NET/C# 编译期间能确定的相同字符串,在运行期间是相同的实例
  • [ IOS ] iOS-控制器View的创建和生命周期
  • [ Linux Audio 篇 ] 音频开发入门基础知识
  • [04]Web前端进阶—JS伪数组
  • [22]. 括号生成
  • [AIGC] Kong:一个强大的 API 网关和服务平台
  • [BJDCTF2020]The mystery of ip