不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識 > 路由器 > 路由器設(shè)置 > 華為路由器 > 華為acl訪問控制列表實例

華為acl訪問控制列表實例

時間: 本達(dá)868 分享

華為acl訪問控制列表實例

  ACL是路由器和交換機接口的指令列表,用來控制端口進出的數(shù)據(jù)包,告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕,保證網(wǎng)絡(luò)資源不被非法使用和訪問。下面是學(xué)習(xí)啦小編給大家整理的一些有關(guān)華為acl訪問控制列表配置,希望對大家有幫助!

  華為acl訪問控制列表配置

  訪問控制列表:

  ACL:

  (accesscontrollist)

  適用所有的路由協(xié)議:IP,IPX,AppleTalk

  控制列表分為兩種類型

  1.標(biāo)準(zhǔn)訪問控制列表:檢查被路由數(shù)據(jù)包的源地址、1~99代表號

  2.擴展訪問控制列表:對數(shù)據(jù)包的源地址與目標(biāo)地址進行檢查。

  訪問控制列表最常見的用途是作為數(shù)據(jù)包的過濾器。

  其他用途;可指定某種類型的數(shù)據(jù)包的優(yōu)先級,以對某些數(shù)據(jù)包優(yōu)先處理

  識別觸發(fā)按需撥號路由(DDR)的相關(guān)通信量

  路由映射的基本組成部分

  ACL能夠用來:

  提供網(wǎng)絡(luò)訪問的基本安全手段

  訪問控制列表可用于Qos(QualityofService,服務(wù)質(zhì)量)對數(shù)據(jù)流量進行控制。

  可指定某種類型的數(shù)據(jù)包的優(yōu)先級,以對某些數(shù)據(jù)包優(yōu)先處理起到了限制網(wǎng)絡(luò)流量,減少網(wǎng)絡(luò)擁塞

  的作用

  提供對通信流量的控制手段

  訪問控制列表對本身產(chǎn)生的的數(shù)據(jù)包不起作用,如一些路由更新消息

  路由器對訪問控制列表的處理過程:

  (1)如果接口上沒有ACL,就對這個數(shù)據(jù)包繼續(xù)進行常規(guī)處理

  (2)如果對接口應(yīng)用了訪問控制列表,與該接口相關(guān)的一系列訪問控制列表語句組合將會檢測它:

  *若第一條不匹配,則依次往下進行判斷,直到有一條語句匹配,則不再繼續(xù)判斷。

  路由器將決定該數(shù)據(jù)包允許通過或拒絕通過

  *若最后沒有任一語句匹配,則路由器根據(jù)默認(rèn)處理方式丟棄該數(shù)據(jù)包。

  *基于ACL的測試條件,數(shù)據(jù)包要么被允許,要么被拒絕。

  (3)訪問控制列表的出與入,

  使用命令ipaccess-group,可以把訪問控制列表應(yīng)用到某一個接口上。

  in或out指明訪問控制列表是對近來的,還是對出去的數(shù)據(jù)包進行控制

  【在接口的一個方向上,只能應(yīng)用1個access-list】

  路由器對進入的數(shù)據(jù)包先檢查入訪問控制列表,對允許傳輸?shù)臄?shù)據(jù)包才查詢路由表

  而對于外出的數(shù)據(jù)包先檢查路由表,確定目標(biāo)接口后才檢查看出訪問控制列表

  ======================================================================

  應(yīng)該盡量把放問控制列表應(yīng)用到入站接口,因為它比應(yīng)用到出站接口的效率更高:

  將要丟棄的數(shù)據(jù)包在路由器驚醒了路由表查詢處理之前就拒絕它

  (4)訪問控制列表中的deny和permit

  全局access-list命令的通用形式:

  Router(config)#access-listaccess-list-number{permit|deny}{testconditions}

  這里的語句通過訪問列表表號來識別訪問控制列表。此號還指明了訪問列表的類別。

  1.創(chuàng)建訪問控制列表

  access-list1deny172.16.4.130.0.0.0(標(biāo)準(zhǔn)的訪問控制列表)

  access-list1permit172.16.0.00.0.255.255(允許網(wǎng)絡(luò)172.16.0.0)的所有流量通過

  access-list1permit0.0.0.0255.255.255.255(允許任何流量通過,如過沒有只允許172.16.0.0

  的流量通過)

  2.應(yīng)用到接口E0的出口方向上:

  interfacefastehernet0/0

  ipaccess-group1out(把ACL綁定到接口)

  刪除一個訪問控制列表,首先在接口模式下輸入命令:

  noipaccess-group

  然后在全局模式下輸入命令

  noaccess-list

  并帶上它的全部參數(shù)

  ?〖訪問控制列表的通配符〗

  0.0.0.0255.255.255.255=====any

  Router(config)#access-list1permit172.30.16.290.0.0.0

  ======Router(config)#access-list1permithost172.30.16.29

  +++++++++++++++++++++++++++++==

  訪問控制列表的種類

  +++++++++++++++++++++++++++

  標(biāo)準(zhǔn)IP訪問列表只對源IP地址進行過濾。

  擴展訪問控制列表不僅過濾源IP地址,還可以對目的IP地址、源端口、目的端口進行過濾

  盡量把擴展ACL應(yīng)用在距離要拒絕通信流量的來源最近的地方,以減少不必要的通信流量。

  最好把標(biāo)準(zhǔn)的ACL應(yīng)用在離目的地最近的地方

  標(biāo)準(zhǔn)的ACL根據(jù)數(shù)據(jù)包的源IP地址來允許或拒絕數(shù)據(jù)包。

  當(dāng)配置訪問控制列表時,順序很重要。

  標(biāo)準(zhǔn)訪問控制列表的應(yīng)用與配置

  擴展ACL中,命令access-list的完全語法格式如下:

  Router(config)#access-listaccess-list-number{permit|deny}protocol[sourcesource-

  wildcarddestinationdestination-wildcard]

  [operatoroperan][established][log]

  access-list-number訪問控制列表表號100~199

  permit|deny表示在滿足測試條件的情況下,該入口是允許還是拒絕后面指定地址的通信流量

  protocol用來指定協(xié)議類型,如IP\TCP\UDP\ICMP\GRE\IGRP

  sourcedestination源和目的,分別用來標(biāo)識源地址和目的地址

  source-wildcard、destination-wildcard---反碼

  operatoroperan---lt(小于)、gt(大于)、eq(等于)、neq(不等于)、和一個端口號

  esablished------如果數(shù)據(jù)包使用一個已建立連接。便可以允許Tcp信息量通過

  例如:

  拒絕所有從172.16.4.0到172.16.3.0的ftp通信流量通過E0

  1.創(chuàng)建ACL

  Router(config)#access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq21

  Router(config)#access-list101permitipanyany

  2.應(yīng)用到接口上

  Router(config)#interfacefastethernet0/0

  Router(config-if)#ipaccess-group101out

  拒絕來自指定子網(wǎng)的Telnet通信流量

  Router(config)#access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq23

  Router(config)#access-list101permitipanyany

  應(yīng)用到接口:

  Router(config)#interfacefastethernet0/0

  Router(config-if)#ipaccess-group101out

  命名訪問控制列表

  可以使用一個字母數(shù)字組合的字符代替前面所使用的數(shù)字來表示ACL,稱為命名ACL

  可以在下列情況下使用命名ACL

  需要通過一個字母數(shù)字串組成的名字來直觀的表示特定的ACL

  對于某一方面給定的協(xié)議,在同一路由器上,有超過99個的標(biāo)準(zhǔn)ACL或者有超過100個的擴展ACL需要配置

  命名ACL時,應(yīng)該注意

  IOS11.2以前的版本不支持命名ACL

  不能用同一個名字命名多個ACL.另外.不同類型的ACL命名不能使用相同的名字.

  命名IP訪問列表允許制定的訪問列表刪除單個條目.

  給ACL命名的命令語法如下:

  Router(config)#ipaccess-list{standard|extended}name

  命名訪問控制列表下,permit和deny命令的語法格式與前述的有所不同:

  Router(config{std|ext}-nacl)#{permit|deny}{source[source-wildcarcd]|any}{test

  conditions}[log]

  刪除時命令前面加no

  例如

  拒絕通過E0口從172.16.4.0到172.16.3.0的telnet通信流量而允許其他的通信流量

  (1)創(chuàng)建名為jie的命名訪問控制列表

  Router(config)#ipaccess-listextendedcisco

  (2)指定一個或多個Permit及deny條件

  Router(config-ext-nacl)#denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq23

  Router(config-ext-nacl)#permitipanyany

  (3)應(yīng)用到接口E0的出方向

  Router(config)#interfacefastethernet0/0

  Rouer(config-if)#ipaccess-groupjieout

  (4)查看ACL列表

  showipinterface

  (5)顯示所有Acl的內(nèi)容。

  showaccess-list

看了“華為acl訪問控制列表實例”的人還看了

1.ACL功能和分類詳細(xì)介紹

2.Linux如何利用訪問控制列表來限制用戶權(quán)限

3.為什么使用訪問控制列表

4.華為交換機配置命令有哪些

5.怎么使用序列號簡化思科IOS的ACL修改操作

6.思科5520怎么配置ACL

1469903