华为交换机ACL如何使用及原则_路由器acl的近源原则-程序员宅基地

技术标签: HCIP  acl  

ACL(访问控制列表)的应用原则:
  标准ACL,尽量用在靠近目的点
  扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
  方向:在应用时,一定要注意方向

ACL分类

基本ACL   #范围为2000~2999   可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则
高级ACL   #范围为3000~3999   既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则
二层ACL   #范围为4000~4999   可根据报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、以太帧协议类型等</span>
自定义ACL  #范围为5000~5999   可根据偏移位置和偏移量从报文中提取出一段内容进行匹配</span>

场景一:(机房交换机不允许非管理网络ssh登录)

#创建基于命名的基本acl
  acl name ssh-kongzhi 2001
  rule 5 permit source 192.168.1.0 0.0.0.255
  rule 10 deny

#在vty接口应用acl 2001
  user-interface vty 0 4
  acl 2001 inbound
  authentication-mode aaa
  protocol inbound all

场景二:(如下图,主机一不能ping通http服务器,但是可以访问)

    #创建高级acl
acl number 3001
rule 5 permit tcp source 192.168.21.11 0 destination 192.168.21.100 0 destination-port eq www
rule 10 deny icmp source 192.168.21.11 0 destination 192.168.21.100 0

#在接口的上应用acl
  interface GigabitEthernet0/0/2
   traffic-filter inbound acl 300

场景三:(自反acl的应用,类是于防火墙)

    #目标(1):在icmp协议上,实现外部网络中,只有smokeping主机能ping通内网,其余外部主机不能ping内网地址,并且要求内网可以ping外网
    #目标(2):不让外部网络通过tcp协议连接内部,但是内部可以用tcp连接外部(实际意义不大,但是很形象,凡是设计tcp的应用协议都受控)
#分析(1):先允许smokeping的主机ping内网,ping包分(去包:echo,回包:echo-raly),在公网出口的入方向拒绝所有ping的去包类型echo,作用与所有主机</span>
#分析(2):tcp协议,需要建立三次握手,只有第一次中不带ack标志,其余都带有ack,(这表示发起tcp连接的一方第一个包不带ack,根据这个在公网出口入方向进行设置)</span>

#创建acl

  acl name kongzhi 3001
  rule 5 permit icmp source 6.6.6.6 0
  rule 10 deny icmp icmp-type echo
  rule 15 permit tcp tcp-flag ack
  rule 20 deny tcp

#应用到公网出口上

  interface GigabitEthernet0/0/1
  ip address 4.4.4.4 255.255.255.0
  traffic-filter inbound acl name kongzhi

场景四:(基于时间的acl应用)

目标:教师每天6点到23点,可以上网;学生周一到周五8点半到22点可以上网,周六周日两天任何时刻都上网
分析:要实现基于时间的,就需要进行划分流量,然后阻断,所以,时间可以看成
    教师每天早上0点到6点半,以及晚上23点到23点59不能上网
    学生周一到周五的早上0点到8点半,以及晚上22点到23点59不能上网

#第一:配置时间段(由于不支持"23:0 to 6:30",所以写成下面这种形式)
  time-range jiaoshi-deny 00:00 to 6:30 daily
  time-range jiaoshi-deny 23:00 to 23:59 daily
  time-range xuesheng-deny 00:00 to 8:30 working-day
  time-range xuesheng-deny 22:00 to 0:0 working-day

#第二:创建配置高级acl
  acl number 3001
  rule deny ip source 192.168.21.0 0.0.0.255 time-range jiaoshi-deny
  acl number 3002
  rule deny ip source 192.168.22.0 0.0.0.255 time-range xuesheng-deny

#第三:配置流分类(对匹配ACL 3001和3002的报文进行分类)
  traffic classifier d_jiaoshi
  if-match acl 3001
  traffic classifier d_xuesheng
  if-match acl 3002

#第四:配置流行为(动作为拒绝报文通过)
  traffic behavior d_jiaoshi
  deny
  traffic behavior d_xuesheng
  deny

#第五:配置流策略(将流分类d_jiaoshi与流行为d_jiaoshi关联,组成流策略,这里为了方便直接将后面应用到一个接口上,将上面两个对应关系进行了合计)
  traffic policy all_deny
  classifier d_jiaoshi behavior d_jiaoshi
  classifier d_xuesheng behavior d_xuesheng

#第六:在接口上应用流策略
  interface gigabitethernet 0/0/2
  ip address 114.114.114.1 255.255.255.0
  traffic-policy all_deny outbound

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35686185/article/details/104838590

智能推荐

每天一点面试题(8) ------------diff算法详解_安卓面试题 diff算法有哪些-程序员宅基地

文章浏览阅读3.1k次,点赞3次,收藏15次。diff算法的作用计算出Virtual DOM中真正变化的部分,并只针对该部分进行原生DOM操作,而非重新渲染整个页面。传统diff算法通过循环递归对节点进行依次对比,算法复杂度达到 O(n^3) ,n是树的节点数,这个有多可怕呢?——如果要展示1000个节点,得执行上亿次比较。。即便是CPU快能执行30亿条命令,也很难在一秒内计算出差异。React的diff算法(1)什么是调和?将..._安卓面试题 diff算法有哪些

vagrant up default: Warning: Connection timeout. Retrying_cmd中vagrant up超时-程序员宅基地

文章浏览阅读2.6k次。在ubutun14 系统中安装vagrant执行vagrant up时会出现:==> default: Booting VM... ==> default: Waiting for machine to boot. This may take a few minutes... default: SSH address: 127.0.0.1:2222 de_cmd中vagrant up超时

Python实现图(Graph)及其算法(BFS)_python 图算法-程序员宅基地

文章浏览阅读1w次,点赞8次,收藏40次。注:参考书籍《Python数据结构与算法》1.图的抽象数据类型定义Graph()新建一个空图;addVertex(vert)向图中添加一个顶点(vert)实例;addEdge(fromVert,toVert)向图中添加一条有向边,用于连接顶点fromVert,toVertaddEdge(fromVert,toVert,weight)向图中添加一条带权重(weight)的有向边getVertex(vertKey)在图中找到名为vertKey的顶点getVertices()以列表形_python 图算法

销售管理系统 JavaGUI Swing框架实现版-程序员宅基地

文章浏览阅读1.1w次,点赞5次,收藏80次。销售管理系统 JavaGUI Swing框架实现版_销售管理系统

SICP 2.59 集合的合并union_set_set thinker-程序员宅基地

文章浏览阅读372次。现在有两个集合set1 和 set2, 需要将这两个集合合并成一个集合。 思路很简单: 顺序查找set1中的元素set2是否包含,是,则找下一个,否,加入到set2。 最后返回set2scheme 实现:(define (union_set set1 set2) (if (null? set1) set2 (union_set (cdr set1) (a_set thinker

Android 利用属性动画结合贝塞尔曲线方程编写好看的动画._android 贝塞尔曲线融合动画-程序员宅基地

文章浏览阅读5k次。研究一下贝塞尔曲线./** * 贝塞尔方程 */ private class BeizerEvaluator implements TypeEvaluator { private PointF point1; private PointF point2; private PointF pointF;_android 贝塞尔曲线融合动画

随便推点

AXI总线详解-不同类型的DMA_dma cdma-程序员宅基地

文章浏览阅读1k次。不同类型的DMAGPIOPL general purpose AXIGP AXI utlilizing PS DMACHigh performance w/DMAACP w/DMA几种DMA的总结​ZYNQ中不同应用类型的DMA  几个常用的 AXI 接口 IP 的功能(上面已经提到):  AXI-DMA:实现从 PS 内存到 PL 高速传输高速通道 AXI-HP<---->AXI-Stream 的转换  AXI-FIFO-MM2S:实现从 PS 内存到._dma cdma

Java生成二维码分享海报_java生成小程序二维码海报-程序员宅基地

文章浏览阅读938次。声明:本文转载自http://www.chinacion.cn/article/7931.html,转载目的在于传递更多信息,仅供学习交流之用。如有侵权行为,请联系我,我会及时删除。这一篇文章我们就用 Java 来生成一下仿金山词霸的海报。As long as you can still grab a breath, you fight. 只要一息尚存,就不得不战。有那么一段时..._java生成小程序二维码海报

人工神经元网络基本构成,人工神经网络主要有_人工神经元的结构以及各部分功能-程序员宅基地

文章浏览阅读870次。人工神经网络(ArtificialNeuralNetwork,即ANN)是从信息处理角度对人脑神经元网络进行抽象,是20世纪80年代以来人工智能领域兴起的研究热点,其本质是一种运算模型,由大量的节点(或称神经元)之间相互联接构成,在模式识别、智能机器人、自动控制、生物、医学、经济等领域已成功地解决了许多现代计算机难以解决的实际问题,表现出了良好的智能特性。_人工神经元的结构以及各部分功能

HTML5+CSS3实现的小风车-转动的童年_h5 css写风车转动-程序员宅基地

文章浏览阅读2.3k次。#windmill{ width:160px; height:160px; position:relative; -moz-transition:-moz-transform 2s ease-in-out; -webkit-transition:-webkit-transform 2s ease-in-out; -moz-transform:rotate(0deg); -webki_h5 css写风车转动

如何判断windows动态链接库是32还是64位_win32动态链接库有64位版本吗-程序员宅基地

文章浏览阅读3.9k次。如何判断windows动态链接库是32还是64位从 http://www.cnblogs.com/conorpai/p/6393120.html 转载而来如果安装过Visual Studio的话,直接打开一个VS提供的控制台窗口,比如VS2012 x64 Native Tools Command Prompt.用下面的命令查看程序的头部信息:“dumpbin /_win32动态链接库有64位版本吗

华为android贡献度,从EMUI的6次里程碑事件,看华为对安卓生态的贡献-程序员宅基地

文章浏览阅读2k次。原标题:从EMUI的6次里程碑事件,看华为对安卓生态的贡献从华为进入手机领域开始至今,EMUI的发展共经历了5次较大的里程碑事件。由于安卓的开源属性,因此,每一次关键问题的解决和核心难题的攻克都是对安卓生态发展的一次贡献。 EMUI5.0:天生一,一生快用安卓的机友都深有体会,安卓系统最大的顽疾就是用几个月,系统就会变得异常卡顿。针对该问题,华为手机在EMUI5.0的时候,推出了“天生一,一生快”..._华为对安卓的贡献

推荐文章

热门文章

相关标签