1. Toy模板网首页
  2. > Toy博客

华为ensp中高级acl (控制列表) 原理和配置命令 (详解)

5月前 作者:神秘泣男子 分类:Toy博客 阅读(27) 违法举报

这篇具有很好参考价值的文章主要介绍了华为ensp中高级acl (控制列表) 原理和配置命令 (详解)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

ensp高级acl配置示例,华为Ensp,华为,网络,信息与通信

作者主页:点击!

ENSP专栏:点击!

创作时间:2024年4月6日23点18分

ensp高级acl配置示例,华为Ensp,华为,网络,信息与通信

高级acl(Access Control List)是一种访问控制列表,可以根据数据包的源IP地址、目标IP地址、源端口、目标端口、协议、ICMP类型等多种因素进行过滤。高级acl比基本acl更加灵活,可以提供更细粒度的控制。

ACL匹配规则

ensp高级acl配置示例,华为Ensp,华为,网络,信息与通信

好的,我来介绍一下途中ACL的匹配规则。

1. ACL匹配机制

ACL匹配机制遵循“一旦命中即停止匹配”的原则。也就是说,当一条规则匹配了报文时,后续的规则将不再进行匹配。

2. ACL规则匹配顺序

ACL规则匹配顺序有两种:配置顺序和自动排序。

  • 配置顺序:即系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。如果配置规则时指定了规则编号,则规则编号越小,规则插入位置越靠前,该规则越先被匹配。如果配置规则时未指定规则编号,则由系统自动为其分配一个编号。

  • 自动排序:即系统根据规则的优先级进行匹配,优先级越高越容易被匹配。规则的优先级可以通过以下因素来确定:

    • 规则的类型:permit规则的优先级高于deny规则。
    • 规则的具体条件:越具体的条件优先级越高。例如,指定了源IP地址和目的IP地址的规则优先级高于只指定了源IP地址的规则。

3. ACL匹配流程

根据上述的匹配机制和匹配顺序,ACL的匹配流程如下图所示:

4. ACL匹配结果

ACL匹配结果有两种:允许和拒绝。

  • 允许:表示报文可以通过ACL。
  • 拒绝:表示报文不能通过ACL。

5. 途中ACL的匹配规则

在途中ACL中,通常会使用配置顺序来进行规则匹配。这是因为在途中ACL中,通常需要根据报文的源IP地址和目的IP地址来进行控制,而这两个条件是比较具体的,因此可以很好地利用配置顺序来进行匹配。

在华为ENSP设备上,您可以配置不同类型的ACL,例如:

  • 标准ACL(基本acl):仅根据源IP地址过滤流量。
  • 扩展ACL(高级acl):根据源IP地址、目的IP地址、协议和端口号过滤流量。

请记住,ACL 规则是按顺序处理的,重要的是要有一个最终规则来拒绝与任何先前规则都不匹配的所有其他流量。另外,请记住,具体命令语法和可用选项可能会因设备型号和软件版本而异。

实验拓扑如下

ensp高级acl配置示例,华为Ensp,华为,网络,信息与通信

首先先实现全网互通

实验前配置

AR1的基本配置

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
//基本的IP配置
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 6.6.6.6 255.255.255.0
[Huawei-GigabitEthernet0/0/1]q

//默认路由配置
[Huawei]ip route-static 0.0.0.0 0 6.6.6.7

这个命令是华为设备上的静态路由配置命令,
它的作用是将所有目的地址为0.0.0.0/0(即所有未知目的地)的流量都
指向下一跳地址为6.6.6.7的路由器或者下一跳设备。

ensp高级acl配置示例,华为Ensp,华为,网络,信息与通信

AR2的基本配置

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 6.6.6.7 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.2.1 255.255.255.0
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 192.168.3.1 255.255.255.0
[Huawei-GigabitEthernet0/0/2]q
[Huawei]ip route-static 0.0.0.0 0 6.6.6.6
[Huawei]

[Huawei]ip route-static 0.0.0.0 0 6.6.6.6

这个命令是华为设备上的静态路由配置命令。它的作用是将所有目的地址为0.0.0.0/0(即所有未知目的地址)的流量都指向下一跳地址为6.6.6.6的路由器或者下一跳设备。

具体解释如下:

  • ip route-static 是配置静态路由的命令。
  • 0.0.0.0 0 表示匹配所有目的地址,子网掩码为0,表示匹配所有地址。
  • 6.6.6.6 是下一跳的IP地址,即指定将流量发送到该地址上。

如图所示

ensp高级acl配置示例,华为Ensp,华为,网络,信息与通信

全网互通测试

使用PC1来访问PC3和PC4 测试发现均可以ping通

ensp高级acl配置示例,华为Ensp,华为,网络,信息与通信

PC2来访问PC3和PC4均可以ping通

ensp高级acl配置示例,华为Ensp,华为,网络,信息与通信

ACL策略实施

实验要求:

PC1(192.168.1.2)无法访问 PC3(192.168.2.2)但是可以访问PC4(192.168.3.2)

PC2(192.168.1.3)可以访问 PC3和PC4 192.168.2.2 192.168.3.2

在AR1上做acl策略

[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.2 0 destination 192.168.2.2

这条规则拒绝了源地址为 ,目标地址为 的所有 ICMP 流量。192.168.1.2 192.168.2.2

设置完成acl之后应用到接口上

[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

这意味着从接口GigabitEthernet0/0/1发出的所有流量都会被ACL 3000所定义的规则过滤。在你提供的ACL配置中,ACL 3000中有两个规则,分别拒绝了源地址为192.168.1.2的ICMP流量和源地址为192.168.1.2,目标地址为192.168.2.2的ICMP流量。因此,这些流量将被阻止离开该接口。

测试策略是否成功

ensp高级acl配置示例,华为Ensp,华为,网络,信息与通信

ensp高级acl配置示例,华为Ensp,华为,网络,信息与通信

经过测试发现成功符合实验要求 

其实可以访问的acl流量不需要设置

因为不设置拒绝访问 当然可以访问的 (根据现实需求去设置acl策略去访问 去允许通过流量和 拒绝流量)

ensp高级acl配置示例,华为Ensp,华为,网络,信息与通信

ensp高级acl配置示例,华为Ensp,华为,网络,信息与通信

实验成功高级acl基本就是这样的配置流程和作用!

扩展知识

1. 基于ICMP

[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 
destination 192 .168.3.0 0.0.0.255 命名规则
[Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]traffic-filter 
outbound acl 3000 应用接口

2. 基于TCP/ UDP

[Huawei]acl 3000

[Huawei-acl-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.2.2 
0 destination-port eq telnet

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

3. 基于IP

[Huawei]acl 3000

[Huawei-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192
.168.3.0 0.0.0.255        命名规则

[Huawei]int g0/0/1

[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3000 应用接口

4.配置时间范围

1.配置时间访问

[Huawei] time-range work_hours 08:00 to 17:00 working-day

这个命令定义了一个名为 的时间范围,从每天的08:00到17:00为工作时间,在工作日有效。

2.配置ACL:

[Huawei] acl number 3000
[Huawei-acl-adv-3000] rule permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 time-range work_hours
[Huawei-acl-adv-3000] rule deny ip

这个ACL 3000允许了源地址为192.168.1.0/24,目标地址为192.168.2.0/24的所有TCP流量,在指定的时间范围内(即工作时间)。除了允许的流量外,其他所有IP流量都会被拒绝。

3.应用ACL:

[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000

这个命令将ACL 3000应用到接口GigabitEthernet0/0/1的出方向,以便过滤流出该接口的流量。

这样一来,在工作时间内,允许从192.168.1.0/24网段到192.168.2.0/24网段的所有TCP流量通过,而在其他时间则拒绝所有IP流量。文章来源地址https://www.toymoban.com/news/detail-847054.html

到了这里,关于华为ensp中高级acl (控制列表) 原理和配置命令 (详解)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • Golang 中高级工程师学习笔记

    闭包(Closure)是一种函数值,它可以引用在其外部定义的变量。闭包允许这些变量保持在函数内部,而不是被每次调用时重新创建。闭包的作用主要体现在以下几个方面 封装: 闭包允许函数访问其外部作用域中的变量,形成了一种封装。这意味着可以在闭包内部定义私有的

    2024年01月21日
    浏览(34)
  • Django ORM 中高级单表查询 API(2)

    Django ORM 中高级单表查询 API(2)

    Django ORM 中的单表查询 API(1) https://blog.csdn.net/Python_1981/article/details/135653173         在上一篇博文中,我们探讨了 Django ORM 中单表查询 API 的基础知识,重点是 all()、filter()、get()、first() 和 last()。在本博文中,我们将深入探讨 Django ORM 中更高级的查询方法及其用法,包括

    2024年01月22日
    浏览(54)

  • 优橙内推陕西专场——5G网络优化(中高级)工程师

    可加入就业QQ群: 801549240 联系老师内推 简历投递邮箱: hr@ictyc.com 内推公司1: 北京宜信众为科技有限公司 内推公司2  :浙江明讯网络技术有限公司 内推公司3 :南京欣网通信科技股份有限公司 PART01 北京宜信众为科技有限公司 宜信众为是国内领先的移动网络专业服务供应

    2024年02月16日
    浏览(30)

  • 优橙内推黑龙江专场——5G网络优化(中高级)工程师

    可加入就业QQ群: 801549240 联系老师内推 简历投递邮箱: hr@ictyc.com 内推公司1: 中富通集团股份有限公司 内推公司2: 北京电旗通讯技术股份有限公司 内推公司3: 元道通信股份有限公司 中富通集团股份有限公司 中富通股份有限公司是一家专业的第三方通信网络管理服务提

    2024年02月13日
    浏览(29)
  • 20个经典面试问题Python面向对象实战--飞机大战(1),Python中高级面试必知必会

    20个经典面试问题Python面向对象实战--飞机大战(1),Python中高级面试必知必会

    each.reset() for each in mid_enemies: if each.active: each.move() if each.hit: screen.blit(each.image_hit, each.rect) each.hit = False else: screen.blit(each.image1, each.rect) pygame.draw.line(screen, BLACK, (each.rect.left, each.rect.top - 5), (each.rect.right, each.rect.top - 5), energy_remain = each.energy / enemy.MidEnemy.energy if energy_remain 0.2: en

    2024年04月15日
    浏览(34)
  • 云安全_什么是云,云计算的本质,没想到一个Handler还有中高级几种问法

    云安全_什么是云,云计算的本质,没想到一个Handler还有中高级几种问法

    是将计算机终端系统进行虚拟化,以达到桌面使用的安全性和灵活性。可以通过任何设备,在任何地点,任何时间通过网络访问属于我们个人的桌面系统。 存储虚拟化 是对存储硬件资源进行抽象化表现。 网络虚拟化 网络虚拟化就是在一个物理网络上模拟出多个逻辑网络来。

    2024年04月13日
    浏览(34)
  • 利用华为eNSP实现ACL访问控制

    利用华为eNSP实现ACL访问控制

    1、根据实验指导书构架网络拓扑:   2、配置各个设备的ip,子网掩码,默认网关 表 1 网络设备编址 设备 接口 IP地址 子网掩码 默认网关 PC-1 E 0/0/1 10.0.1.1 255.255.255.0 10.0.1.254 PC-2 E 0/0/1 10.0.1.2 255.255.255.0 10.0.1.254 PC-3 GE 0/0/1 10.0.3.1 255.255.255.0 10.0.3.254 PC-4 GE 0/0/1 10.0.3.2 255.255.255.

    2024年02月04日
    浏览(40)
  • 华为eNSP:ACL的配置-访问控制技术

    华为eNSP:ACL的配置-访问控制技术

    一、拓扑图 二、路由器的配置 1、先配置全网通 AP1: AP2: 2、配置ACL AP1: 三、测试ACL配置 1、将PC的IP配好(例PC1其它省略)  2、未配置ACL前全网通(例PC1 ping Internet,其它省略)  3、配置好ACL后,再次ping通测试 生产部已不可访问财务服务器,但还是可以访问Internet  总裁办公

    2024年02月09日
    浏览(26)
  • 访问控制列表之基本ACL、高级ACL 、 高级ACL之ICMP、高级ACL之telnet

    访问控制列表之基本ACL、高级ACL 、 高级ACL之ICMP、高级ACL之telnet

    在学习ACL(访问控制列表)之前首先要理解一下三个问题: 一、ACL的作用,以及不同类型的ACL的区别是什么? ACL的作用是:匹配感兴趣的数据包。 ACL分为基本ACL和 高级ACL, 基本ACL,只能匹配数据包的源IP地址,匹配数据不精准; 高级ACL,可以同时匹配数据包的源IP、目标

    2024年02月05日
    浏览(34)
  • 华为ensp中基本acl 原理及配置命令(详解)

    华为ensp中基本acl 原理及配置命令(详解)

    作者主页: 点击! ENSP专栏:点击! 创作时间: 2024年4月5日10点45分 基本ACL的简介 华为ensp中的基本acl是指华为设备中用于控制网络访问的访问控制列表的其中一种类型。基本acl可以根据数据包的源IP地址进行过滤,配置简单,但功能有限。 ACL的匹配规则 ACL匹配规则 步骤:

    2024年04月14日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包