华为路由器ACL操作SSH接口

ACL的定义

访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

ACL作用

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

应用设备---路由器

访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。

ACL的工作原理

基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

ACL的功能

功能:网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。

ACL的方向

ACL是一组规则的集合,它应用在路由器的某个接口,对路由器接口而言,ACL有两个方向。

出:已经过路由器的处理,正离开路由器的数据包。

入:已到达路由器接口的数据包,将被路由器处理,

分类 编号范围 参数

基本ACL 2000~2999 源IP地址等

高级ACL 3000~3999 源IP地址,目的IP地址,源端口,目的端口,协议类型等

二层ACL 4000~4999 源MAC地址,目的MAC地址,以太帧协议类型等

用户ACL 6000~6031 源IP地址,目的IP地址,源端口,目的端口,协议类型等

示例操作

复制代码
[R1]acl ?
  INTEGER<2000-2999>  Basic access-list(add to current using rules)
  INTEGER<3000-3999>  Advanced access-list(add to current using rules)
  INTEGER<4000-4999>  Specify a L2 acl group
  ipv6                ACL IPv6 
  name                Specify a named ACL
  number              Specify a numbered ACL
[R1]acl 2000
[R1-acl-basic-2000]?
acl-basic interface view commands:
  arp-ping     ARP-ping
  backup       Backup  information
  clear        Clear
  description  Specify ACL description
  dialer       Dialer
  display      Display information
  mtrace       Trace route to multicast source
  ping         <Group> ping command group
  quit         Exit from current mode and enter prior mode
  reset        <Group> reset command group
  return       Enter the privileged mode
  rule         Specify an ACL rule
  step         Specify step of ACL sub rule ID
  test-aaa     Accounts test
  tracert      <Group> tracert command group
  undo         Negate a command or set its defaults
[R1-acl-basic-2000]ru	
[R1-acl-basic-2000]rule ?
  INTEGER<0-4294967294>  ID of ACL rule
  deny                   Specify matched packet deny
  permit                 Specify matched packet permit
  
#不允许源地址为192.168.1.0整段通过
[R1-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255   

#把上面这条应用到接口GigabitEthernet0/0/0
[R1-acl-basic-2000]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter  inbound acl 2000  

通配符掩码:0 ---表示匹配,1 ---表示忽略,ACL 用于匹配流量默认隐含一条permit any, 用于匹配路由默认隐含一条deny any。

相关推荐
Me4神秘12 小时前
电信、移动、联通、广电跨运营商网速慢原因
网络
数通Dinner13 小时前
RSTP 拓扑收敛机制
网络·网络协议·tcp/ip·算法·信息与通信
二二孚日14 小时前
自用华为ICT云赛道Big Data第五章知识点-Flume海量日志聚合
大数据·华为
前端世界14 小时前
HarmonyOS开发实战:鸿蒙分布式生态构建与多设备协同发布全流程详解
分布式·华为·harmonyos
liulilittle15 小时前
SNIProxy 轻量级匿名CDN代理架构与实现
开发语言·网络·c++·网关·架构·cdn·通信
tan77º15 小时前
【Linux网络编程】Socket - UDP
linux·服务器·网络·c++·udp
二二孚日16 小时前
自用华为ICT云赛道Big Data第四章知识点-Flink流批一体分布式实时处理引擎
大数据·华为
小白爱电脑16 小时前
光纤的最小弯曲半径是多少?
网络
花落已飘17 小时前
多线程 vs 异步
linux·网络·系统架构
qq_1715388520 小时前
TCP/IP协议精解:IP协议——互联网世界的邮政编码系统
网络·网络协议·tcp/ip