访问控制列表

news2024/11/17 11:35:16

目录

ACL

ACL原理

ACL包过滤方式

ACL通用命令

查看ACL表命令

删除整张表命令

接口配置ACL

ACL分类

标准ACL 

标准ACL的动作与条件

通配符掩码

扩展ACL

扩展ACL的动作与条件

命名ACL

前言

书写方式

ACL

含义:访问控制列表,其是一种包过滤技术,主要实现了对访问资源的控制。

注意:

  • ACL基于IP包头中的IP地址、四层TCP/IP头部的端口号(这里路由器破例可以参与四层工作)
  • ACL在路由器上的接口处配置,也可以在防火墙上配置(在防火墙上配置的一般称为策略)

ACL原理

  • ACL表必须应用到接口的进或出方向才能生效
  • 一个接口的一个方向(进口/出口)仅能应用一张ACL表
  • 进出方向的配置取决于流量控制的总方向
  • ACL表是严格按照自上而下检查每一条策略,所以要注意书写顺序
  • 每一条ACL条目由条件和动作组成,当某流量没有满足某条件,则继续检查下一条
  • 所有ACL策略的末端默认有一条隐藏的拒绝所有策略,这个策略我们不用写。

ACL包过滤方式

当一个包来了之后,该包的特征若和条件特征完全吻合,那么就不会往后继续检查进而执行后面动作(放行或阻止),若有一丁点不吻合,则该条策略不起作用,进而检查下一条策略。

总结:层层过滤,层层放行。

ACL通用命令

查看ACL表命令

进入特权模式

show ip access-list [表号]

注意:这里面可以看到表条目的编号,该编号在命名ACL里面会有用。

删除整张表命令

进入全局模式

no access-list 表号

接口配置ACL

进入接口配置模式

在接口配置ACL:ip access-group 表号 in/out

将ACL从接口取出:no ip access-group 表号 in/out

注意:最后的in/out指明了该表应用在接口的进口还是出口方向上

ACL分类

前言

  • 我们想要在路由器上过滤时,首先我们要在路由器上创建一张ACL表
  • 当在路由器上创建一个标准ACL时,必须要首先指定标准ACL表的名字(表号)
  • ACL表主要有标准ACL和扩展ACL
  • 标准ACL的表号范围为1-99;扩展ACL表号范围为100-199
  • 在一个路由器上表号不能相同,在多个路由器上表号可以相同

进入全局配置模式

ACL语法:access-list 表号 动作与条件

注意:

  • 上面着个语法适用于所有种类ACL
  • 不同ACL编写语法的不同也就是后面的动作与条件书写方式的不同
  • 若路由器没有ACL表则执行以上命令会创建一张表并为表增加该条目,若有了该表,则执行以上命令就会为该表添加一个表条目

标准ACL 

前言:标准ACL只能基于源IP对包进行过滤,其表号范围为1-99.

标准ACL的动作与条件

语法:动作 源IP/源网段范围

动作

  • 允许:permit
  • 否决:deny

源IP/源网段范围

  • host IP地址:仅对某一个主机的源IP进行匹配(类似于——IP地址 0.0.0.0)
  • 源IP/源网段 通配符掩码:匹配某一网段的范围或IP地址的数据包
  • any:所有的范围的源IP进行匹配(类似于——IP地址 255.255.255.255)

通配符掩码

通配符掩码作用:用来匹配网段或IP地址,与0对应的需要严格匹配,与1对应的忽略,其主要用于控制该网段或IP地址包的过滤。

具体案例

源IP为10.1网段的包都进行阻止:access-list 1 deny 10.1.3.1 0.0.255.255

源IP为10.1.3.1IP地址的包都进行放行

  • 普通写法:access-list 1 permit 10.1.3.1 0.0.0.0
  • 简化写法:access-list 1 permit host 10.1.3.1

所有数据包都进行阻止

  • 普通写法:access-list 1 deny 10.1.3.1 255.255.255.255
  • 简化写法:access-list 1 deny any

扩展ACL

前言:扩展ACL可以基于源IP、目标IP、目标端口号、协议等来对包进行过滤,其表号范围为100-199

扩展ACL的动作与条件

语法:动作 协议 源IP/源网段范围 目标IP/目标网段范围 [逻辑符号 目标端口号]

动作

  • 允许:permit
  • 否决:deny

IP/网段范围

  • host IP地址:仅对某一个主机的IP进行匹配(类似于——IP地址 0.0.0.0)
  • IP/网段 通配符掩码:匹配某一网段的范围或IP地址的数据包
  • any:所有的范围的IP进行匹配(类似于——IP地址 255.255.255.255)

注意:

  • 协议类型:tcp/udp/icmp/ip(若后面加端口号,则前面协议仅有2个选择——tcp/udp)
  • 逻辑符号:(eq:等于、gt:大于:lt:小于)主要用来匹配范围端口
  • 目标端口号可以不写,但其他的条件必须写
  • 若只满足其中的一点条件,那么不叫满足这个条件,只有来的数据包所有特征和这里面的条目完全吻合,才被称为满足条件,才会执行相应的动作

具体案例

10.1.1.1访问20.1.1.3中80端口的tcp数据都放行

access-list 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80

放行所有ip数据包

access-list 100 permit ip any any

命名ACL

前言

  • 一般情况下,标准或扩展ACL一旦编写好,那么就无法修改某一条,也无法删除某一条,甚至无法修改顺序,只能一直在最后添加新的条目。
  • 在标准或扩展ACL中若想修改、插入、删除,只能删除整张表
  • 之前我们通过表号对ACL进行命名,但是当我们在一台设备上起的表非常多的时候,我们不能很快的通过表号判断该表的作用,这就用到了命名ACL

命名ACL作用:可以对标准/扩展ACL进行自定义命名,也可以通过命名ACL对标准/扩展ACL进行条目的增删改操作。

优点:

  • ACL自定义命名更容易辨认,也便于记忆
  • 可以任意修改某一条,或删除某一条,也可以往中间插入某一条

书写方式

进入全局配置模式

创建/进入一张ACL表:ip access-list 表类型 ACL表名称

进入了扩展ACL配置模式

在扩展ACL配置模式下书写动作与条件

删除ACL条目:no ACL条目编号

插入ACL条目:ACL条目编号 动作与条件

表类型

  • standred:标准ACL
  • extended:扩展ACL

ACL条目编号

前言:下面的10、20、30就是ACL条目编号(在其中可以插入个位级的条目编号)

注意:

  • 在创建ACL表时,表名称可以随意书写。
  • 在特定的表类型的情况下仅能书写特定的动作与条件
  • 命名ACL可以修改已经创建好ACL表的标准或扩展ACL,只需要通过表号作为表名称进入该表即可
  • 命名ACL不属于ACL分类中的一种

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1180998.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

element 弹窗浏览器后退-遮照层还存在问题 以及跟vue keep-alive冲突

问题:element 弹窗浏览器后退-遮照层还存在问题 查询官网可以设置 modal-append-to-body“false” 可以全局设置 ElementUI.Dialog.props.modalAppendToBody.default false 后续 基本到这能解决问题,不过本项目比较特殊,使用了 keep-alive…

你真的了解static吗?

目录 一.static1.概念2.存在形式3.访问形式注意4.static成员变量的初始化4.1就地初始化4.2使用代码块初始化 5.关于main 二.代码块概念1.普通代码块2.构造代码块3.静态代码块注意事项①加载形式②加载顺序 一.static 1.概念 在Java中,被static修饰的成员&#xff0…

Visual Studio 2017附加依赖项

在读韩国人尹圣雨的《TCP/IP网络编程》,在书中教我如何在Visual Studio 2008中设置附加依赖项,但是我使用的是Visual Studio 2017,所以我写下这篇文章学习如何在Visual Studio 2017附加依赖项。 在项目这里选择属性。 选择输入这一项,然后点…

如何通过货架电子标签PTL灯光指引拣选优化仓库管理

物流仓储行业的不断发展和智能化技术的应用,仓库管理的效率和精度要求也日益提高。在这样的背景下,PTL亮灯拣选系统作为一种智能化设备,采用分布式管理结构,为仓库管理带来了新的可能性。 PTL亮灯拣选系统采用智能计算机作为主控设…

低代码工具的常见用例与受众市场

目录 一、低代码工具的常见用例是什么? 1.业务流程管理(BPM) 2.自定义应用程序开发 3.数据管理和分析 4.移动应用程序开发 二、低代码受众和市场 1.制造商 2.个人开发者/自由职业者 3.代理商 4.小型企业和初创企业 5.中型企业 6.营销团队 7.软…

Voice Control for ChatGPT简单高效的与ChatGPT进行交流学习。

快捷又不失灵活性 日常生活中,我们与亲人朋友沟通交流一般都是喜欢语音的形式来完成的,毕竟相对于文字来说语音就不会显的那么的苍白无力,同时最大的好处就是能解放我们的双手吧,能更快实现两者间的对话,沟通便更高效…

基于Java Web的在线教学质量评价系统的设计与实现

末尾获取源码 开发语言:Java Java开发工具:JDK1.8 后端框架:SSM 前端:Vue 数据库:MySQL5.7和Navicat管理工具结合 服务器:Tomcat8.5 开发软件:IDEA / Eclipse 是否Maven项目:是 目录…

【数据结构】树与二叉树(五):二叉树的顺序存储(初始化,插入结点,获取父节点、左右子节点等)

文章目录 5.1 树的基本概念5.1.1 树的定义5.1.2 森林的定义5.1.3 树的术语5.1.4 树的表示 5.2 二叉树5.2.1 二叉树1. 定义2. 特点3. 性质引理5.1:二叉树中层数为i的结点至多有 2 i 2^i 2i个,其中 i ≥ 0 i \geq 0 i≥0。引理5.2:高度为k的二叉…

免费好用的网页采集工具软件推荐

在众多各具特色的采集器软件中,真正好用的采集器软件有哪些? 自己一个个去查找和尝试无疑会耗费大量的时间和精力。 因此,在深入体验大多数采集器后,给大家推荐几款优秀且好用的免费网页采集器软件。 本文将对这几款采集器进行…

【机器学习】梯度下降预测波士顿房价

文章目录 前言一、数据集介绍二、预测房价代码1.引入库2.数据3.梯度下降 总结 前言 梯度下降算法学习。 一、数据集介绍 波士顿房价数据集:波士顿房价数据集,用于线性回归预测 二、预测房价代码 1.引入库 from sklearn.linear_model import Linear…

如何处理 java.lang.NoClassDefFoundError

1. 问题背景 系统异常提示java.lang.NoClassDefFoundError: ch/qos/logback/classic/spi/ThrowableProxy 2.问题分析 了解NoClassDefFoundError含义 在开始解决这个问题之前,我们需要先了解一下java.lang.NoClassDefFoundError错误的含义。这个错误通常表示在运行…

借助 DevChat AI 之力,成就我之全栈梦想

何为 DevChat ? DevChat 是集好多种 AI 大模型的智能编程工具,可以大大增加我们上班摸鱼的时间。 整合了如 ChatGPT、Codex等热门 AI 模型支持自然语言编程、代码生成与编写、代码补全等功能因其集成热门 AI 智能,相当于站在了巨人的肩膀上&#xff0c…

琛蓝健康明星产品ClamBP™蛤蜊肽,调节血压的针对性方案

琛蓝健康明星产品ClamBP™蛤蜊肽,调节血压的针对性方案 高血压是现今社会最紧迫的公共卫生挑战之一,影响着全球约20%的成人人口。据《中国心血管健康与疾病报告2019》显示,中国高血压患者达2.45亿。长期高血压可引起心脏病、中风、肾功能减退…

Kibana Dashboard饼图展示keyword子字符串去重统计

日志内容 log.info("请求开始 uri: {} header RequestId:{}", request.getRequestURI(), reqId, request.getHeader("request_id"));操作步骤 进入Dashboard菜单 点击Create Dashboard按钮 点击Create Panel按钮 选择Aggregation based 然后选择Pie饼图 …

C#在.NET Windows窗体应用中使用LINQtoSQL

目录 一、新建Windows窗体应用并添加LINQtoSQL类 二、错误信息CS0234 三、添加扩展包让Windows窗体应用支持LINQtoSQL类 默认安装的背景下,新建的Windows窗体应用是不支持LINQtoSQL类的。现象是资源管理器里的依赖项中默认的安装不能自动生成支持system.data.lin…

触摸屏通过modbus转profinet网关连接PLC与变频器485modbus通讯案例

通过兴达易控modbus转profinet网关(XD-MDPN100)的桥接,数据可以以高速、可靠的方式从触摸屏传递到PLC,同时能够实现PLC对变频器的监控和控制。这四台变频器通过485modbus协议与PLC通讯,使得系统能够实现对变频器的高效…

AI系统源码ChatGPT网站源码+ai绘画系统/支持GPT4.0/支持Midjourney局部编辑重绘

一、AI创作系统 SparkAi创作系统是基于OpenAI很火的ChatGPT进行开发的Ai智能问答系统和Midjourney绘画系统,支持OpenAI-GPT全模型国内AI全模型。本期针对源码系统整体测试下来非常完美,可以说SparkAi是目前国内一款的ChatGPT对接OpenAI软件系统。那么如…

信号的阻塞与递达

目录 阻塞信号 信号和相关概念 sigset_t 信号集 信号的保存与阻塞 第一个问题 第二个问题 第三个问题 信号的递达 信号递达 内核态与用户态 为什么可以从用户态到内核态 我们怎么知道现在是内核态还是用户态? 信号的处理 sigaction 可重入函数 vola…

Stable Diffusion源码调试(一)

Stable Diffusion源码调试(一) 个人模型主页:https://liblib.ai/userpage/369b11c9952245e28ea8d107ed9c2746/model Stable Diffusion版本:https://github.com/AUTOMATIC1111/stable-diffusion-webui/releases/tag/v1.4.1 调试t…

使用 CountDownLatch 实现多线程协作

目录 前言 在多线程编程中,经常需要实现一种机制来协调多个线程的执行,以确保某些操作在所有线程完成后再进行。CountDownLatch 就是 Java 并发包中提供的一种同步工具,它能够让一个或多个线程等待其他线程完成操作。 了解 CountDownLatch …