ACL(访问控制列表),是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。
访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
通常用于对设备进行一些保护,比如限定具体的IP访问或者端口保护。
一般情况下,2000-2999 基本的访问控制列表,只能匹配源IP地址。3000-3999 高级的访问控制列表,可以匹配源IP、目的IP、源端口、目的端口。
需要注意的是:1、一个接口的同一个方向,只能调用一个ACL;2、一个ACL的规则是从上向下依次执行的,如果被某个规则匹配后就不再继续向下匹配。
今天在H3C S3100上对一些网络设备进行了保护。
1、只能指定的IP进行访问,比如路由器、交换机、服务器或者关键设备。
创建ACL
acl number 2000
rule 5 permit source x.y.z.m1 0
rule 10 permit source x.y.z.m2 0
rule 15 permit source x.y.z.m3 0
rule 20 deny
应用于telnet
telnet server enable
telnet server acl 2000
2、保护网络打印机,只能指定的IP可以打印。
定义ACL
acl basic 2019
description ProtectNetworkPrint:x.y.z.k
rule 5 permit source x.y.z.m1 0
rule 10 permit source x.y.z.m2 0
rule 15 deny
应用于端口
interface Ethernet1/0/15
description NetworkPrint:x.y.z.k
port access vlan 19
packet-filter 2019 outbound
这个应用特别的多,很多单位不允许共享打印机的使用,解决办法有一些。比如可以买多端口的切换器,打印的时候需要手工去按一下,还是麻烦,并且在有的计算机上不行。也可以双网卡来做,也是麻烦,并且有的单位出于安全考虑是不允许双网卡的。
最快捷的方式就是使用ACL进行网络打印机的保护了,也就是进行上面的操作。
3、限制具体行为
例如:拒绝x1.y1.z1.m1对设备x2.y2.z2.m2进行telnet访问。
rule 5 deny tcp source x1.y1.z1.m1 0 destination x2.y2.z2.m2 0 destination-port eq telnet
例如:限制x1.y1.z1.m1上外网文章来源:https://www.toymoban.com/news/detail-487984.html
rule 5 permit tcp source x1.y1.z1.m1 0 destination-port eq www
ACL还有很多应用,比如进行端口或者VLAN的流量控制等。文章来源地址https://www.toymoban.com/news/detail-487984.html
到了这里,关于ACL(访问控制列表)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!