华为路由器ACL操作SSH接口

ACL的定义

访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

ACL作用

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

应用设备---路由器

访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。

ACL的工作原理

基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

ACL的功能

功能:网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。

ACL的方向

ACL是一组规则的集合,它应用在路由器的某个接口,对路由器接口而言,ACL有两个方向。

出:已经过路由器的处理,正离开路由器的数据包。

入:已到达路由器接口的数据包,将被路由器处理,

分类 编号范围 参数

基本ACL 2000~2999 源IP地址等

高级ACL 3000~3999 源IP地址,目的IP地址,源端口,目的端口,协议类型等

二层ACL 4000~4999 源MAC地址,目的MAC地址,以太帧协议类型等

用户ACL 6000~6031 源IP地址,目的IP地址,源端口,目的端口,协议类型等

示例操作

[R1]acl ?
  INTEGER<2000-2999>  Basic access-list(add to current using rules)
  INTEGER<3000-3999>  Advanced access-list(add to current using rules)
  INTEGER<4000-4999>  Specify a L2 acl group
  ipv6                ACL IPv6 
  name                Specify a named ACL
  number              Specify a numbered ACL
[R1]acl 2000
[R1-acl-basic-2000]?
acl-basic interface view commands:
  arp-ping     ARP-ping
  backup       Backup  information
  clear        Clear
  description  Specify ACL description
  dialer       Dialer
  display      Display information
  mtrace       Trace route to multicast source
  ping         <Group> ping command group
  quit         Exit from current mode and enter prior mode
  reset        <Group> reset command group
  return       Enter the privileged mode
  rule         Specify an ACL rule
  step         Specify step of ACL sub rule ID
  test-aaa     Accounts test
  tracert      <Group> tracert command group
  undo         Negate a command or set its defaults
[R1-acl-basic-2000]ru	
[R1-acl-basic-2000]rule ?
  INTEGER<0-4294967294>  ID of ACL rule
  deny                   Specify matched packet deny
  permit                 Specify matched packet permit
  
#不允许源地址为192.168.1.0整段通过
[R1-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255   

#把上面这条应用到接口GigabitEthernet0/0/0
[R1-acl-basic-2000]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter  inbound acl 2000  

通配符掩码:0 ---表示匹配,1 ---表示忽略,ACL 用于匹配流量默认隐含一条permit any, 用于匹配路由默认隐含一条deny any。

相关推荐
柒烨带你飞5 分钟前
路由器转发数据报的封装过程
网络·智能路由器
东方隐侠安全团队-千里1 小时前
网安瞭望台第17期:Rockstar 2FA 故障催生 FlowerStorm 钓鱼即服务扩张现象剖析
网络·chrome·web安全
神一样的老师2 小时前
面向高精度网络的时间同步安全管理架构
网络·安全·架构
与海boy2 小时前
CentOS7网络配置,解决不能联网、ping不通外网、主机的问题
linux·网络·网卡
我叫czc3 小时前
【python高级】342-TCP服务器开发流程
服务器·网络·tcp/ip
a_weng083 小时前
CS 144 check6: buiding an IP router
网络·网络协议·计算机网络
終不似少年遊*3 小时前
华为云计算HCIE笔记04
网络·华为云·云计算·学习笔记·hcie·认证·数据中心
红米饭配南瓜汤3 小时前
WebRTC服务质量(09)- Pacer机制(01) 流程概述
网络·音视频·webrtc
上学的小垃圾3 小时前
MPLS基础以及静态LSP的配置
运维·网络·算法
讨喜Dobi3 小时前
OSPF的基本配置
网络