不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識(shí) > 路由器 > 路由器設(shè)置 > 華為路由器 > 華為防火墻acl與思科訪問(wèn)控制列表有什么區(qū)別

華為防火墻acl與思科訪問(wèn)控制列表有什么區(qū)別

時(shí)間: 本達(dá)868 分享

華為防火墻acl與思科訪問(wèn)控制列表有什么區(qū)別

  路由器為了過(guò)濾數(shù)據(jù)包,需要配置一系列的規(guī)則,以決定什么樣的數(shù)據(jù)包能夠通過(guò),這些規(guī)則就是通過(guò)訪問(wèn)控制列表ACL(Access Control List)定義的。訪問(wèn)控制列表是由permit | deny語(yǔ)句組成的一系列有順序的規(guī)則,這些規(guī)則根據(jù)數(shù)據(jù)包的源地址、目的地址、端口號(hào)等來(lái)描述。下面是學(xué)習(xí)啦小編給大家整理的一些有關(guān)華為防火墻acl與思科訪問(wèn)控制列表的區(qū)別,希望對(duì)大家有幫助!

  華為防火墻acl與思科訪問(wèn)控制列表的區(qū)別

  1、在華為路由器里訪問(wèn)控制列表的用途,可以分為三類(lèi):

  1)基本的訪問(wèn)控制列表(basic acl)

  基本訪問(wèn)控制列表只能使用源地址信息,做為定義訪問(wèn)控制列表的規(guī)則的元素。通過(guò)上面小節(jié)介紹的acl的命令,可以創(chuàng)建一個(gè)基本的訪問(wèn)控制列表,同時(shí)進(jìn)入基本訪問(wèn)控制列表視圖,在基本訪問(wèn)控制列表視圖下,可以創(chuàng)建基本訪問(wèn)控制列表的規(guī)則。

  rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } ] [ time-range time-name ]

  2)高級(jí)的訪問(wèn)控制列表(advanced acl)

  高級(jí)訪問(wèn)控制列表可以使用數(shù)據(jù)包的源地址信息、目的地址信息、IP承載的協(xié)議類(lèi)型、針對(duì)協(xié)議的特性,例如TCP的源端口、目的端口,ICMP協(xié)議的類(lèi)型、code等內(nèi)容定義規(guī)則??梢岳酶呒?jí)訪問(wèn)控制列表定義比基本訪問(wèn)控制列表更準(zhǔn)確、更豐富、更靈活的規(guī)則。

  rule [ rule-id ] { permit | deny } protocol [ source {sour-addr sour-wildcard | any }] [ destination { dest-addr dest-wildcard | any }] [ source-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ precedence precedence ] [ tos tos ] [ time-range time-name ]

  3)基于接口的訪問(wèn)控制列表(interface-based acl)

  基于接口的訪問(wèn)控制列表,是一種特殊的訪問(wèn)控制列表,可以根據(jù)接收?qǐng)?bào)文的接口指定規(guī)則。

  rule [ rule-id ] { permit | deny } { interface interface-type interface-number | any } [ time-range time-name ]

  2、在思科路由器里訪問(wèn)控制列表常見(jiàn)的有兩類(lèi)

  1)標(biāo)準(zhǔn)的訪問(wèn)控制列表

  跟華為的基本訪問(wèn)控制列表一樣,只檢查數(shù)據(jù)包的源地址。

  access-list ACL號(hào) permit|deny host ip地址

  2)擴(kuò)展的訪問(wèn)控制列表

  跟華為的高級(jí)訪問(wèn)控制列表類(lèi)似,既檢查數(shù)據(jù)包的源地址,也檢查數(shù)據(jù)包的目的地址,同時(shí)還可以檢查數(shù)據(jù)包的特定協(xié)議類(lèi)型、端口號(hào)等。

  access-list ACL號(hào) [permit|deny] [協(xié)議] [定義過(guò)濾源主機(jī)范圍] [定義過(guò)濾源端口] [定義過(guò)濾目的主機(jī)訪問(wèn)] [定義過(guò)濾目的端口]

  3)除了上述兩種訪問(wèn)控制列表之外,思科路由器中還有:基于名稱(chēng)的訪問(wèn)控制列表、反向訪問(wèn)控制列表、基于時(shí)間的訪問(wèn)控制列表等,但在日常維護(hù)中比較少使用。

  二、思科與華為訪問(wèn)控制列表編號(hào)范圍的區(qū)別

  訪問(wèn)控制列表的使用用途是依靠數(shù)字的范圍來(lái)指定的。

  1、在華為路由器里,2000~2999范圍的訪問(wèn)控制列表是基本的訪問(wèn)控制列表,3000~3999范圍的訪問(wèn)控制列表是高級(jí)的訪問(wèn)控制列表,1000~1999是基于接口的訪問(wèn)控制列表。

  2、在思科路由器里,標(biāo)準(zhǔn)的訪問(wèn)控制列表使用 1~99 以及1300~1999之間的數(shù)字作為表號(hào),擴(kuò)展的訪問(wèn)控制列表使用 100~199以及2000~2699之間的數(shù)字作為表號(hào)。

  三、思科與華為訪問(wèn)控制列表匹配順序的區(qū)別

  1、華為路由器訪問(wèn)控制列表匹配規(guī)則

  一個(gè)訪問(wèn)控制列表可以由多條“permit | deny”語(yǔ)句組成,每一條語(yǔ)句描述的規(guī)則是不相同,這些規(guī)則可能存在重復(fù)或矛盾的地方,在將一個(gè)數(shù)據(jù)包和訪問(wèn)控制列表的規(guī)則進(jìn)行匹配的時(shí)候,到底采用哪些規(guī)則呢?就需要確定規(guī)則的匹配順序。

  有兩種匹配順序:

  1)配置順序

  配置順序,是指按照用戶配置ACL的規(guī)則的先后進(jìn)行匹配。

  2)自動(dòng)排序

  自動(dòng)排序使用“深度優(yōu)先”的原則。“深度優(yōu)先”規(guī)則是把指定數(shù)據(jù)包范圍最小的語(yǔ)句排在最前面。這一點(diǎn)可以通過(guò)比較地址的通配符來(lái)實(shí)現(xiàn),通配符越小,則指定的主機(jī)的范圍就越小。比如129.102.1.1 0.0.0.0指定了一臺(tái)主機(jī):129.102.1.1,而129.102.1.1 0.0.255.255則指定了一個(gè)網(wǎng)段:129.102.1.1~129.102.255.255,顯然前者在訪問(wèn)控制規(guī)則中排在前面。具體標(biāo)準(zhǔn)為:對(duì)于基本訪問(wèn)控制規(guī)則的語(yǔ)句,直接比較源地址通配符,通配符相同的則按配置順序;對(duì)于基于接口的訪問(wèn)控制規(guī)則,配置了“any”的規(guī)則排在后面,其它按配置順序;對(duì)于高級(jí)訪問(wèn)控制規(guī)則,首先比較源地址通配符,相同的再比較目的地址通配符,仍相同的則比較端口號(hào)的范圍,范圍小的排在前面,如果端口號(hào)范圍也相同則按配置順序。

  使用那一種匹配順序,在創(chuàng)建ACL的時(shí)候就可以指定。

  acl [ number ] acl-number [ match-order { config | auto } ]

  2、思科路由器訪問(wèn)控制列表匹配規(guī)則

  思科路由器一般情況下采用順序匹配方式,只要一條滿足就不會(huì)繼續(xù)查找,另外在思科的訪問(wèn)控制列別中,最后一條是隱含拒絕的,即前面所有條目都不匹配的話,則默認(rèn)拒絕。任何條件下只給用戶能滿足他們需求的最小權(quán)限。

看了“華為防火墻acl與思科訪問(wèn)控制列表有什么區(qū)別”的人還看了

1.華為acl訪問(wèn)控制列表實(shí)例

2.思科5520怎么配置ACL

3.cisco ios防火墻特性集

4.cisco防火墻作用有哪些

5.思科靜態(tài)nat與標(biāo)準(zhǔn)acl怎么混合使用

6.cisco防火墻配置命令應(yīng)用在哪

7.怎么使用序列號(hào)簡(jiǎn)化思科IOS的ACL修改操作

8.Cisco路由如何設(shè)置命令阻止訪問(wèn)特定網(wǎng)站

9.關(guān)于cisco路由器用戶等級(jí)權(quán)限問(wèn)題

10.如何配置思科IOS防火墻

1471188