第八章:ACL技术

一,ACL功能

访问控制列表------数据流的抓取和匹配

访问控制:ACL+ packet-filter(数据包抓取)

路由控制:ACL+ Route-policy(路由策略)

流量控制:ACL+ QOS(服务质量)

二,ACL组成

组成:由若干条允许或者拒绝的规则组成

rule 1 deny source 192.168.1.0 0.0.0.255 (反掩码/通配符)

规则 ID 的来源:ID范围 <0-4294967294>

手工配置:

自动生成:编号从5开始,是5的倍数,比如 :0,5,10,15,20

255.255.255.192

0.0.0.63

三,ACL分类

1,基本ACL: INTEGER<2000-2999> Basic access-list(add to current using rules)

只关心数据的源地址,容易出现误伤
2,高级ACL :INTEGER<3000-3999> Advanced access-list(add to current using rules)
精确匹配,数据五元组(源IP地址,目标IP地址,协议,目标端口,源端口)

3,二层ACL :INTEGER<4000-4999> Specify a L2 acl group

源MAC地址,目标MAC地址,ARP协议,RARP协议,
4,基于 ipv6 的ACL ACL IPv6
5,命名ACL: name Specify a named ACL
6, number Specify a numbered ACL (没讲)

四,匹配机制

1,数据包到达接口后,会被检查是否设置ACL规则如果设置了,就ACL规则执行,如果没有设置就正常转发

2,按照ACL的编号从上至下逐一匹配,直到有与之匹配的规则出现则结束

3,所有规则都不匹配则执行默认动作,默认允许则允许,默认拒绝则丢弃

练习1:

rule permit source 192.168.1.1 0.0.0.0

rule deny source 192.1618.1.0 0.0.0.255

练习2:

rule deny source 192.1618.1.0 0.0.0.255

rule permit source 192.168.1.1 0.0.0.0

练习3:拒绝所有人去访问192.168.10.1

rule deny ip source any destination 192.168.10.1

练习4:拒绝192.168.1.1 去访问任何人

rule deny ip source 192.168.1.1 destination any

练习5:允许192.168.1.0 去访问任何人

rule permit ip source 192.168.1.0 destinatin any

五,ACL实验

相关推荐
Helen_cai20 分钟前
OpenHarmony http 网络请求封装与全局拦截实战(API Version23 + 适配版)
网络·网络协议·http·华为·harmonyos
nuoxin11427 分钟前
HR4988替代A4988-富利威
网络·人工智能·嵌入式硬件·fpga开发·dsp开发
EnCi Zheng1 小时前
N3A-一个端口只能给一个程序使用吗?[特殊字符]
网络·nginx·docker
技术硬汉2 小时前
Ai帮我找问题-路由器拨号问题-SIM卡不识别
网络·智能路由器
帅次2 小时前
Android 高级工程师面试:网络与数据层 近1年高频追问 18 题
android·网络·okhttp·面试·retrofit·gilde
网络小白不怕黑2 小时前
11.虚拟机模拟路由器实验
linux·运维·服务器·网络
ylscode11 小时前
OpenSSH 10.4 正式发布:后量子加密落地,多项高危漏洞得到修复
网络·安全·网络安全
DianSan_ERP11 小时前
电商架构演进:如何在高并发场景下实现多平台API的标准化履约?
运维·前端·网络·安全·架构·自动化
阿成学长_Cain12 小时前
Linux ipcs 命令超全详解:查看共享内存 / 消息队列 / 信号量,IPC 运维必备
linux·运维·服务器·网络·数据库
青瓦梦滋12 小时前
协议定制/序列化-反序列化(Linux视角)
linux·服务器·网络·c++