2. 程式人生 > 實用技巧 >HUAWEI -- ACL

HUAWEI -- ACL

阿新 發佈:2020-08-08

HUAWEI -- ACL

訪問控制列表

標準:2000-2999 //針對源IP

擴充套件:3000-3999 //針對源IP,目的IP,在埠 目的埠

每個ACL中的各行,在配置時預設以5隔開,使用rule關鍵字(即使是沒有也要養成這個習慣 ,方便後續進行調整)

cisco最大的區別在於,最後一行是Permit any,所以在設計HUAWEIACL時一定要記住這一點,如果沒有限制到,就出去了。

舉例說明其實際的用法

IP地址已經標註好,Client1,2 gw:192.168.1.1 ,

SERVER ip 100.1.1.10,開啟ftp,http服務

兩臺路由器上配置預設便其底層不互通。

基本配置就不說了,

需求1 禁止主機192.168.1.10主機的所有訪問到達100.1.1.10

需求2禁止主機192.168.1.20 主機的icmp請求和http請求,只允許它的ftp請求

先來看第一個

禁止主機192.168.1.10 ,還是所有的,好麼使用標準的ACL就可以了
[R1]acl 2000
[R1-acl-basic-2000]rule 5 deny source ?
  IP_ADDR<X.X.X.X>  Address of source
  any               Any source
R1-acl-basic-2000]rule 5 deny source 192.168.1.10 ?
  IP_ADDR
 
<X.X.X.X>  Wildcard of source  //網段
  0                 Wildcard bits : 0.0.0.0 ( a host )  //0代表主機
[R1-acl-basic-2000]rule 5 deny source 192.168.1.10 0
別忘了這裡的per any ,其實client 2 是被per any 放行的。
[R1-acl-basic-2000]inter g0/0/0    //進入到介面,進行掛接
[R1-GigabitEthernet0/0/0]traffic-filter ?
  inbound   Apply ACL to the inbound direction of the 
 
interface   //進方向
  outbound  Apply ACL to the outbound direction of the interface  //出方向
[R1-GigabitEthernet0/0/0]traffic-filter in
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 ?   
  <cr>  Please press ENTER to execute command

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 //在資料進方向掛接ACL

[R1-GigabitEthernet0/0/0]

測試

可以看到不管是ping ftp,還是http,都不行,

那麼此時client2呢?會是什麼效果呢?

此時可以看出,Client並沒有任何的影響。

也就說明了第一個需求已經完成

現在再來看第二個需求

禁止ICMPHTTP,允許請求FTP服務

那這樣的話有了具體的服務,就要使用擴充套件的ACL

 rule 5 deny icmp source 192.168.1.20 0 destination 100.1.1.10 0
 rule 10 deny tcp source 192.168.1.20 0 destination 100.1.1.10 0 destination-port eq www

這樣一來,

再掛接上就可以了

[R1-GigabitEthernet0/0/0]traffic-filter in acl 3000

測試

只有FTP最後是可以的,

但是,注意啊~但是來了,

你有沒有想過一個問題

如果我的條件二滿足了,我這樣設定,那麼會不會和條件1衝突呢?

測試一下吧

測試的結果肯定會讓你明白些什麼,是的,沒錯,

這個ACL在介面掛接,只允許掛一個。記住是一個。

那完蛋了,

使用ACL3000後,沒有做client1的任何設定,那就是被最後的放行所有了。

怎麼辦呢

沒關係,

進到ACL3000中,將192.168.1.10這臺主機拒絕掉就可以了。

[R1-acl-adv-3000]rule 15 deny ip source 192.168.1.10 0 destination any

直接在擴充套件ACL中 針對於client1ip進行策略部署。

OK

這是一個小點,千萬要記住

另外,其它還有很多的功能,

這種東西,只能自己一點一點的進行配置,才會更加的熟練理解

----------------------------------------

CCIE成長之路 ---梅利

相關推薦

HUAWEI -- ACL

HUAWEI -- ACL 訪問控制列表 標準:2000-2999 //針對源IP 擴充套件:3000-3999 //針對源IP,目的IP,在埠 目的埠

配置RocketMQ ACL許可權

==環境== 系統:Linux Centos7.2 RocketMQ版本:4.6.1 ==叢集形態== ==修改前配置檔案== broker-a.properties

Redis 6.0 訪問控制列表ACL說明

背景 在Redis6.0之前的版本中,登陸Redis Server只需要輸入密碼(前提配置了密碼 requirepass )即可,不需要輸入使用者名稱,而且密碼也是明文配置到配置檔案中,安全性不高。並且應用連線也使用該密碼,導致應用有

配置zookeeper的 ACL許可權

一、簡介 以下是從官網摘抄的,官網地址:https://zookeeper.apache.org/doc/r3.4.13/zookeeperProgrammers.html#sc_ZooKeeperAccessControl

Redis 6.0 新特性 ACL 介紹

Redis 6.0 新特性 ACL 介紹 Intro 在 Redis 6.0 中引入了 ACL(Access Control List) 的支援,在此前的版本中 Redis 中是沒有使用者的概念的,其實沒有辦法很好的控制許可權,redis 6.0 開始支援使用者,可以給每個使

HUAWEI-vlan\trunk\hybrid

HUAWEI-vlan\\trunk\\hybrid 相同的原理就不再多說,只介紹配置命令以及和cisco不同之處,由於HUAWEI部份純自學,供自己複習使用,如果你有幸看到錯誤,請及時評論,謝謝

HUAWEI eth-trunk

Huawei eth-trunk 鏈路捆綁 配置思路很重要,這一點和cisco是有著很大差別的, 千萬注意

HUAWEI-單臂路由&三層交換機

使用單臂路由技術實現vlan間通訊 思路 交換機部份就不用多說了,上聯介面肯定是要承載多個VLAN的,所以必須是trunk才ok

HUAWEI STP-RSTP-MSTP

STP-RSTP-MST 對於生成樹的原理就不用過多的介紹了,如果有不明白的,可以回看CISCO部份的STP,除了cost值不同以後,好像沒啥不同的

HUAWEI&VRRP+NQA+TRACK

VRRP虛擬閘道器協議, 具體的協議原理,可以到cisco部份去看, 這裡主講配置原理及命令

HUAWEI-portsecurity

Port security 埠安全 主要用於接入層裝置,面向終端介面(access) 邏輯和思科的一樣,都屬於同樣的東西,

consul單機模式ACL設定

最近專案提測被掃描出consul的安全問題,需要通過consul的acl設定來避免,組內用的單機版的cansul,參照了網上的一些部落格和官方文件一直沒有設定成功,設定完以後springboot服務一直起不來。幾乎快要放棄的時候發現

Linux中ACL檔案訪問控制列表

一、ACL檔案訪問控制列表 前言 1️⃣:ACL—檔案訪問控制列表; 2️⃣:ACL可以針對單個使用者,單個檔案或目錄來進行r、w、x的許可權設定,特別適用於需要特殊許可權的使用情況。

OSPF 、 傳輸層 、 ACL

1.1 問題 本案例要求參考PPT上的示例,分別練習以下條件測試操作: 字串匹配 比較整數值的大小

IOS - ACL (訪問控制列表)

ACL 介紹 ACL 是一款 IOS 軟體工具,而不是某種協議。從名字上來看,ACL 的主要功能是控制對網路資源的訪問。事實上這是 ACL 最早的用途。現在 ACL 除了能夠限制訪問外,更多時候,我們用它來標識流量(識別某種流量

HUAWEI-NAT

HUAWEI-NAT 1 一對一地址轉換 2 easyIP(共享上網方式) 3 地址池多公網地址 4 釋出伺服器

HUAWEI-RIP

HUAWEI rip 通過一個例項來看下在HUAWEI平臺下的RIP如何配置, 以及如何幹預選路的。

HUAWEI - ospf

HUAWEI - ospf 基本配置(單區域) 最基本的OSPF配置 [R1]ospf 1 rou 1.1.1.1//開啟OSPF程序1 ,並且指定ROUTERID為1.1.1.1,習慣性手動指定

HUAWEI--filter-policy

HUAWEI--filter-policy 路由過濾, 相當於cisco中的distribute-list 其原理都是一樣的,和ACL或者是prefix-list相組合,其控制權在ACL/prefix-list

HUAWEI策略路由PBR

HUAWEI策略路由PBR Traffic-policy 所謂策略路由,不用多說,是優先於路由的,當資料進入到裝置後,先查策略,再查路由