访问控制列表(AccessControlLists,ACL)是一种由一条或多条指令的集合,指令里面 可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据 接收,哪些数据需要拒绝接收。它类似于一种数据包过滤器。从而可以实现对网络访问行为 的控制、限制网络流量、提高网络性能、防止网络攻击等等。 如图:可以通过配置ACL来实现限制主机A、主机B访问互联网,限制主机C、主机D访问 服务器。 ACL结构 ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是 无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策 略部署中被调用、在路由策略中被调用和用来通过流量过滤。 ACL组成如上图所示: (1)访问控制列表编号:在配置ACL时,每个ACL都会分配一个编号,不同编 号代表不同的ACL; (2)规则:一个ACL通常由一条或多条"permit/deny"语句组成,一条语句 就是一条规则; (3)规则编号:每条规则都有一个相应的编号,用来标识ACL规则,可以由用 户指定; (4)动作:permit代表允许,deny代表拒绝,用来给规则设定相应动作; (5)匹配项:可以是源MAC地址、目的MAC,目的地址、协议类型等。 如:rule10permitsource1.1.1.00.0.0.255 代表:规则10允许源地址为1.1.1.0/24网段地址的报文通过。 ACL分类 基本ACL(2000-2999):用报文的源IP地址、分片时间和生效时间段来定义规 则。 高级ACL(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字 段。 二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二 层协议类型等二层信息制定规则。 用户自定义ACL(5000-5999):使用报文头、偏移位置、字符串掩码、用户自定义字 符串来定义规则。 用户ACL(6000-6999):可用IP报文的源/目标IP地址、IP协议类型、ICMP类型、端 口来定义规则; ACL实验配置 实验拓扑: 一、使用基本ACL进行数据过滤 实验目的: 部署基本ACL实现数据过滤 实现PC1无法访问PC3 拓扑如图所示: (1)在AR1上配置如下: sys [Huawei]sysnameAR1 [AR1]intg0/0/0 [AR1-GigabitEthernet0/0/0]ipadd192.168.1.25424//配置端口IP [AR1-GigabitEthernet0/0/0]intg0/0/1 [AR1-GigabitEthernet0/0/1]ipadd192.168.3.124 [AR1]rip//使用动态路由协议RIP [AR1-rip-1]version2//RIP版本为RIPv2 [AR1-rip-1]network192.168.1.0//宣告192.168.1.0网段 [AR1-rip-1]network192.168.3.0//宣告192.168.3.0网段 (2)在AR2上配置如下: sys [Huawei]uninen [Huawei]sysnameAR2 [AR2]intg0/0/1 [AR2-GigabitEthernet0/0/1]ipadd192.168.3.224 [AR2-GigabitEthernet0/0/1]intg0/0/2 [AR2-GigabitEthernet0/0/2]ipadd192.168.4.224 [AR2-GigabitEthernet0/0/1]intg0/0/0 [AR2-GigabitEthernet0/0/0]ipadd192.168.2.25424 [AR2]rip [AR2-rip-1]version2 [AR2-rip-1]net192.168.2.0 [AR2-rip-1]net192.168.3.0 [AR2-rip-1]net192.168.4.0 (3)在AR3上配置如下: [Huawei]intg0/0/0 [Huawei-GigabitEthernet0/0/0]ipadd192.168.4.324 [Huawei-GigabitEthernet0/0/0]intg0/0/1 [Huawei-GigabitEthernet0/0/1]ipadd192.168.5.25424 [Huawei]rip [Huawei-rip-1]version2 [Huawei-rip-1]net192.168.4.0 [Huawei-rip-1]net192.168.5.0 (4)在各PC上配置相关IP地址和网关 (5)测试PC1与PC3的连通性 (6)在AR3上配置ACL [Huawei]acl2000//创建基本ACL,编号为2001 [Huawei-acl-basic-2000]ruledenysource192.168.1.10 //规则(默认为5)拒绝192.168.1.1IP地址访问 [Huawei-acl-basic-2000]intg0/0/1 [Huawei-GigabitEthernet0/0/1]traffic-filteroutboundacl2000 //在端口g0/0/1上应用ACL2000,设置在outbound方向 (7)配置ACL后,测试PC1与PC3的连通性 在此我整理了一份资料,算是给能看到这里的朋友一个福利,包括常见网络故障排查方法文档,常见路由器交换机配置视频以及网工资料包。 需要获取这份网工资料包的小伙伴可以直接关注后台私信【学习】即可获取哦!
2022年是地球最热的年份之一星期日一月15,20230134AM据华盛顿邮报报道,地球与工业化前的水平相比,现在已经升温了至少1。1摄氏度(2华氏度),在过去十年中,几乎每年都名列前茅。周四,美国国家海洋和大电诉宝用户投诉亚马逊中国存质量问题且不予售后近日,国内知名网络消费纠纷调解平台电诉宝(315。100EC。CN)接到用户投诉亚马逊中国称其销售临期产品,商品存质量问题,且不予售后。(详见网经社专题偷龙转凤?亚马逊被指涉嫌以次为什么说NASA重返月球道阻且长?1972年12月14日,这是最后一次阿波罗任务在月球上的最后一天,挑战者号着陆器的内外都蒙上了一层薄薄的灰色月球尘土。地质学家杰克施密特(GeologistJackSchmitt)南方舆情入选2022年广东省专精特新中小企业近日,广东省工业和信息化厅发布了关于2022年专精特新中小企业和2019年到期复核通过企业名单的公示。经自主申报审核推荐合规性审查专家评审认定公示等程序,南方舆情经营主体广东南方报广东省文旅厅发布春节假期提示做好个人防护,警惕低价游陷阱2023年春节假期即将来临,为保障广大游客节日安心开心放心出行,广东省文化和旅游厅温馨提示提升防范意识,做好个人防护,警惕低价游陷阱,安全文明出游。合理安排出游。通过权威渠道提前了让他多活几年,功绩堪比秦皇汉武,可惜天妒英才魏晋南北朝时期,混战不断,各个政权交替,民不聊生。然而,却有这么一位皇帝鲜为人知,他诛权臣,灭佛重儒,以开太平。这就是北周武帝宇文邕。在统一北方后,北周武帝只需完成最后一步,他在历盘点十大手机品牌LOGO进化史时代在发展,人们的审美也在不断发展变化。LOGO代表着一个公司的形象,代表着公司的品牌,今天给大家盘点一下十大手机品牌的Logo进化史,看看哪些还在你的记忆中。Apple苹果的lo虽然全球都在降薪,我们来看看硅谷的工资2022职场年终盘点自1月1日起,已在全美各地陆续推行的薪资透明法(WageTransparencyLaw)终于在加州正式实行了!法案规定15人以上的公司必须披露薪资。一个新网站c腾讯贪腐问题浮上台面百余人越红线被辞退图为腾讯公司总部1月16日,中国科技巨头腾讯正式对外发布了集团反舞弊通报,已经解雇一百多名违反公司政策的员工,其中一些人被移交给警方,后来被判犯有贿赂和挪用公款罪。腾讯通报显示,2内卷愈演愈烈!东南亚卖家陷入困局,如何走好出海之路?(图片来源图虫创意)一路狂奔的东南亚跨境电商市场,突然被扼住了命运的咽喉。时间来到2022年10月,互联网巨头谷歌投资公司淡马锡控股以及咨询公司贝恩联合发布的2022年东南亚数字经JVM类加载过程Java虚拟机把描述类的数据从Class文件加载到内存,并对数据进行校验转换解析和初始化,最终形成可以被虚拟机直接使用的Java类型,这个过程被称作虚拟机的类加载机制。与那些在编译