HCIA-ICT实战基础07-访问控制列表ACL进阶
HCIA-ICT实战基础-访问控制列表ACL进阶
目录
二层ACL技术及配置
高级ACL的扩展使用方法及使用场景
1 二层ACL技术及配置
1.1 二层ACL概念
使用报文的以太网帧头来定义规则, 根据源mac地址、目的mac地址、二层协议类型等.
在结构上和高级ACL大差不差.
1.2 MAC通配符
区别与在三层工作的ACL, 用来匹配mac地址的二层ACL的通配符在匹配规则上有变化:
- 由于mac地址为十六进制, 通配符在使用时需要转换成二进制;
- "1"表示匹配, "0"表示随机分配(与三层ACL相反);
- 缺省时通配符为"ffff-ffff-ffff"
1.3 二层ACL配置命令
1.创建二层ACL
[Huawei] acl [namber] acl-number [match-order config]
使用编号(4000~4999)创建一个数字型的二层ACL, 并进入二层ACL视图.
[Huawei] acl name acl-name {link | acl-number} {match-order config}
使用名称创建一个命名型的二层ACL, 并进入二层ACL视图.
2.配置基本ACL的规则
[Huawei-acl-L2-4000] rule [rule-id] {deny|permit} {l2-protocol type-value[type-mask] | destination-mac dest-mac-address [dest-mac-mask] | source-mac source-mac-address [source-mac-mask] | vlan-id vlan-id [vlan-id-mask] | 8021p 802.1p-value | time-range time-name}
在基本acl视图下, 通过此命令来配置基本ACL的规则.
放几个例子:
1.4 二层常见协议类型
0x0800--IPv4
0x0806--ARP
0x86DD--IPv6
0x8100--802.1q(VLAN)
0x8847/8848--MPLS
2 高级ACL的扩展使用方法及使用场景
2.1 回顾一下基本ACL和高级ACL
基本ACL
高级ACL
2.2 ACL的匹配顺序及匹配结果
在华为设备上ACL的默认匹配模式为config模式, 即系统按照ACL规则的编号从小到大的顺序进行报文匹配, 规则编号越小越容易被匹配.
我们也可以通过手动修改ACL的匹配模式为auto模式, 在这种配置模式下, 匹配规则时系统会自动按照深度优先对规则进行排序, 假如深度优先的顺序相同, 则匹配规则时按rule-id从小到大排序.
上图匹配ACL规则顺序为: 2 3 4 1
注: 对深度优先的理解: 对于ACL规则来说, 其匹配的范围越小, 通配符越小, 匹配对象越精确, 那么就越优先匹配.
2.3 高级ACL根据时间过滤配置
1.根据时间配置规则
[Huawei] time-range time-name {start-time to end-time {days} & <1-7> | from time1 date1 [to time2 date2]}
time-range命令用来配置一个时间段(周期/永久/永久性周期)
2.使用实例
配置时间段test1, 从2010年1月1日00:00起到2010年12月31日23:59生效
[Huawei] time-range test1 from 0:0 2010/1/1 to 23:59 2010/12/31
配置时间段test2, 在周一到周五每天8:00到18:00生效
[Huawei] time-range test2 8:00 to 18:00 working-day
在ACL里调用时间集
[Huawei-acl-basic-2000] rule 1 deny source 10.1.1.0 0.0.0.255 time-range test1
3.查看时间集
[Huawei] display time-range
2.4 高级ACL扩展应用场景
在要求网络无法被轻易ping探测的情况下, 可以通过高级ACL直接过滤所有ICMP报文;
针对企业用户, 企业内部网络在工作日期间, 员工访问网络会受限, 配合time-range, 实现工作日期间访问受限;
针对学校客户, 通过高级ACL针对学生IP结合time-range限制网络访问;
在家庭网络中, 可以通过二层ACL, 将非法用户进行黑名单处理.
...
最新文章
- JSP内置对象及常用方法
- python 模块之间的变量共享
- Intellij IDEA svn的使用记录
- 旋转camera到特定对象
- cannot find the word template:WordToRqm.dot的解决方法
- 一个初学者对CLSA.NET框架的使用心得
- POJ 3280 Cheapest Palindrome 简单DP
- C# INotifyPropertyChanged使用方法
- ubuntu16.04 编译运行 LSD-SLAM
- 【shell脚本实例】shell脚本统计单词频率、出现次数最多的n个单词
- C#实现航班查询及预订
- 使用BigDecimal报的错
- 聊聊Spring Cloud版本的那些事儿
- ant___令牌过滤器
- jQuery基础(Ajax,load(),getJSON(),getScript(),post(),ajax(),同步/异步请求数据)
- git 源码学习(init-db) 提交版本号 083c516331
- python学习笔记(14)--爬虫下载漫画图片修改版
- LeetCode - Employees Earning More Than Their Managers
- Proxy(代理)
- plsql developer 64位 注册码
热门文章
- JSP过滤器、Session监听器、Servlet控制器的关系和执行顺序
- 基于北斗gps设计的NTP网络时间服务器
- react native 音频播放 react-native-sound
- 12组-Alpha冲刺-总结
- PyQt5模块说明
- K8s validating data: the server could not find the requested resource ... with --validate=false
- IO学习笔记6
- CamstarVP表格删除行报错
- selenium grid4.0+分布式的部署配置(hub/node方式)
- QString的一些使用技巧