HCIA-ACL

news2025/3/15 5:38:10

一、基本概念

1、概念:ACL即访问控制列表,是一种基于包过滤的访问控制技术。由一条或多条规则组成的集合,通过定义动作来确保哪些数据包可以通过,哪些需要被阻止。
2、基本原理:ACL 通过规则对数据包分类,规则定义了源地址、目的地址、端口号等匹配条件。设备依据这些规则匹配报文,再根据应用 ACL 的业务模块的处理策略,决定允许或阻止报文通过。

3、作用:用于匹配指定流量或路由,可以针对控制层面进行匹配也可以针对转发层面进行匹配。

二、ACL分类

ACL 类型编号范围匹配依据应用场景
基本 ACL2000 - 2999根据报文的源 IP 地址进行过滤对特定网段或特定 IP 进行整体控制,如限制某个部门访问外部网络
高级 ACL3000 - 3999根据报文的源 IP /目的 IP 地址、协议(TCP、UDP、ICMP 等)、源目端口号等进行过滤适用于精细控制场景,如特定 IP 访问服务器特定端口或限制协议流量
二层 ACL4000 - 4999根据源 MAC 地址、目的 MAC 地址和以太帧协议类型等二层信息对报文进行过滤在交换网络中,控制不同 MAC 地址设备间的通信,防止非法 MAC 地址设备接入网络
用户自定义 ACL5000 - 5999允许用户根据需求定义特定匹配规则,可结合多种条件灵活配置基本、高级和二层 ACL 无法满足特殊访问控制需求时使用
用户 ACL6000 - 6999 基于 IP 地址、端口号、协议类型等网络和传输层信息过滤数据包,用户身份识别与认证,依据用户身份、角色、权限决定其对网络资源的访问权限。

基本、高级和二层 ACL 无法满足特殊访问控制需求时使用

三、ACL的组成

规则编号:标识规则的顺序,设备按照规则编号从小到大的顺序依次匹配规则。规则编号可以手动指定,也可以由系统自动分配,默认步长等于5。

动作:分为允许(permit)和拒绝(deny)两种,决定了匹配该规则的数据包是可以通过还是被阻止。

匹配条件:主要是源/目的 IP 地址、协议类型、端口号等。

四、ACL匹配机制

1、匹配规则

①顺序匹配:设备按规则编号从小到大的顺序,依次将数据包与 ACL 规则进行匹配。

②一旦匹配即停止:当数据包与某条规则相匹配时,设备会立刻依据该规则的动作(允许或拒绝)处理数据包,不再对后续规则进行匹配。

2、常用匹配项

①生效时间段:所有 ACL 都能依据生效时间段对报文进行过滤,实现不同时间段设置不同访问策略。

②协议:高级 ACL 可基于协议类型过滤报文,常见协议如 ICMP、TCP、UDP、GRE、IGMP 等。

源 / 目的 IP 地址及其通配符掩码:用于明确允许或拒绝访问的源和目的 IP 地址范围。

通配符:可以出现0或者1的间隔,长度为32bit,点分十进制标识;用于指示IP地址中,那些比特需要严格匹配,哪些比特不需要匹配。“0”表示匹配,’1‘表示随机分配

五、应用位置

1、接口:可以将 ACL 应用到设备的物理接口或逻辑接口的入方向(inbound)或出方向(outbound),对经过该接口的数据包进行过滤。

2、VLAN:在交换机上,可以将 ACL 应用到 VLAN,控制不同 VLAN 之间的通信。

3、路由协议:用于控制路由信息的接收和发布

六、注意事项

1、规则顺序:由于 ACL 是按照规则编号顺序匹配的,因此规则的顺序非常重要。不合理的规则顺序会导致某些规则无法生效。

2、默认规则:在 ACL 的最后通常有一条隐含的拒绝所有规则(deny any),如果前面的规则都不匹配,数据包将被拒绝。华为设备ACL匹配流量默认放行,匹配路由默认拒绝所有。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2315258.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

在IDEA中连接达梦数据库:详细配置指南

达梦数据库(DM Database)作为国产关系型数据库的代表,广泛应用于企业级系统开发。本文将详细介绍如何在IntelliJ IDEA中配置并连接达梦数据库,助力开发者高效完成数据库开发工作。 准备工作 1. 下载达梦JDBC驱动 访问达梦官方资…

基于yolov8+streamlit实现目标检测系统带漂亮登录界面

【项目介绍】 基于YOLOv8和Streamlit实现的目标检测系统,结合了YOLOv8先进的目标检测能力与Streamlit快速构建交互式Web应用的优势,为用户提供了一个功能强大且操作简便的目标检测平台。该系统不仅具备高精度的目标检测功能,还拥有一个漂亮且…

软件性能测试与功能测试联系和区别

随着软件开发技术的迅猛发展,软件性能测试和功能测试成为了确保软件质量的两个重要环节。那么只有一字之差的性能测试和功能测试分别是什么?又有哪些联系和区别呢? 一、软件性能测试是什么?   软件性能测试是为了评估软件系统在特定条件下的表现,包…

Axure设计之堆叠柱状图教程(中继器)

堆叠柱状图是一种常用的数据可视化工具,它通过在同一柱状图内堆叠不同类别的数据,以展示每个类别在总体中的贡献或占比。堆叠柱状图不仅可以帮助我们观察数据的总量,还能清晰地揭示各部分之间的关系和变化趋势。以下是一个使用Axure制作动态效…

本地部署Hive集群

规划 服务机器Hive本体部署在Node1元数据服务所需的关系型数据库(MYSQL)部署在Node1 安装MYSQL数据库 # 更新密钥 rpm --import https://repo.mysql.com/RPM-GPG-KEY-mysql-2022# 安装Mysql yum库 rpm -Uvh http://repo.mysql.com//mysql57-community-release-el7-7.noarch.…

零成本本地化搭建开源AI神器LocalAI支持CPU推理运行部署方案

文章目录 前言1. Docker部署2. 简单使用演示3. 安装cpolar内网穿透4. 配置公网地址5. 配置固定公网地址 前言 嘿,小伙伴们!今天给大家带来一个超酷的黑科技——LocalAI。没错,你没听错,就是那个能在你的个人电脑上运行大型语言模…

git使用命令总结

文章目录 Git 复制创建提交步骤Git 全局设置:创建 git 仓库:已有仓库? 遇到问题解决办法:问题一先git pull一下,具体流程为以下几步: 详细步骤 Git 复制 git clone -b RobotModelSetting/develop https://gitlab.123/PROJECT/123.git创建提…

内容中台的核心架构是什么?

模块化架构设计解析 内容中台的模块化架构通过分层解耦实现灵活扩展,其核心由基础资源层、能力服务层与业务应用层构成。基础层以统一数据治理体系为支撑,通过标准化接口实现结构化与非结构化数据的统一存储,例如Baklib采用分布式存储架构保…

bootloader相关部分

简单说明 程序烧录的方式主要有ICP,ISP,IAP 其中ICP就是常用的jlink等工具 ISP就是利用MCU自带的一些特殊引脚烧录,比如uart IAP就是利用用户写的bootloader代码烧录 bootloader主要分为三层,厂家出厂的bootrom ,用户自己写的bootloader,…

AI+视频监控电力巡检:EasyCVR视频中台方案如何赋能电力行业智能化转型

随着电力行业的快速发展,电力设施的安全性、稳定性和运维效率变得至关重要。传统视频监控系统在实时性、智能化及多系统协同等方面面临严峻挑战。EasyCVR视频中台解决方案作为一种先进的技术手段,在电力行业中得到了广泛应用,为电力设施的监控…

C++从入门到入土(七)——多态

目录 前言 多态的概念 多态的定义 虚函数的介绍 虚函数的重写/覆盖 析构函数的重写 override和final关键字 纯虚函数和抽象类 重写/重载/隐藏总结 多态的原理 小结 前言 C一共有三个特性,封装、继承和多态,在前面的文章中,我们分别…

新闻网页信息抽取

1. 网页信息抽取 问题定义:对新闻网页(输入为HTML)提取结构化信息,包括标题、发布时间、作者、正文、图片等。 动机:由于网页(大多数为HTML格式)通常带有很多标签、样式、脚本等信息&#xff0…

Docker 部署Spring boot + Vue(若依为例)

首先我们要在docker中安装好环境镜像 jdk. mysql. redis. nginx 镜像安装我们在上一篇文章中已说明,请大家自行查看。 下面我介绍部署步骤 部署后台jar 在你的工作目录下新建application 用来存放后台jar包 1.将打好的jar包上传 2.编写Dockerfile文件&#…

PDF文件里到底有什么?

PDF 文档结构由多个组件组成,这些组件决定了文本、图像和其他元素的存储和显示方式。PDF 是一种二进制文件格式,这意味着您无法在文本编辑器中直接编辑 PDF 文件。添加或删除一个字符都可能导致整个文件损坏! PDF 文件结构 理解 PDF 文档结…

FANUC机器人几种常用的通讯网络及接口

FANUC机器人几种常用的通讯网络及接口 Devicenet 网络通讯接口,接口为5针线 (规定用的机架为 81-84) PROFIBUS 网络通讯接口,针脚为2针(规定用的机架为 67) Intemet 网络通讯接口(常用的网线接口&#xf…

实用插件分享:@plugin-web-update-notification/vite 的使用指南

实用插件分享:plugin-web-update-notification/vite 的使用指南 在前端开发的过程中,及时告知用户网页有更新是提升用户体验的一个重要方面。plugin-web-update-notification/vite 就是一款能够轻松实现网页更新通知功能的插件,下面就来详细…

IEC61850标准下MMS 缓存报告控制块 ResvTms详细解析

IEC61850标准是电力系统自动化领域唯一的全球通用标准。IEC61850通过标准的实现,使得智能变电站的工程实施变得规范、统一和透明,这大大提高了变电站自动化系统的技术水平和安全稳定运行水平。 在 IEC61850 标准体系中,ResvTms(r…

人工智能与人的智能,思维模型分享【2】沉没成本

**沉没成本(Sunk Cost)** 是指已经发生且无法收回的成本(时间、金钱、精力等)。沉没成本思维模型的核心原则是:理性决策应基于未来可能的收益与成本,而非被已经无法改变的历史投入所影响。陷入沉没成本陷阱…

艾尔登复刻Ep1——客户端制作、场景切换、网络控制

需要添加的插件内容 Netcode for GameObjects:是一个为 Unity 游戏开发提供高级网络功能的 SDK。它的主要作用是允许开发者在其 GameObject 和 MonoBehaviour 工作流中集成网络功能,并且可以与多种底层传输层协议兼容。 具体内容请看:https:…

基于YOLO11深度学习的遥感视角地面房屋建筑检测分割与分析系统【python源码+Pyqt5界面+数据集+训练代码】深度学习实战、目标分割、人工智能

《------往期经典推荐------》 一、AI应用软件开发实战专栏【链接】 项目名称项目名称1.【人脸识别与管理系统开发】2.【车牌识别与自动收费管理系统开发】3.【手势识别系统开发】4.【人脸面部活体检测系统开发】5.【图片风格快速迁移软件开发】6.【人脸表表情识别系统】7.【…