自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

訪問控制列表(ACL)配置詳解:精確控制網(wǎng)絡(luò)流量

作者:神的孩子都在歌唱
網(wǎng)絡(luò) 運(yùn)維
ACL 是一組規(guī)則,按順序檢查每一個進(jìn)入或離開路由器的數(shù)據(jù)包。每條規(guī)則可基于 源地址、目的地址、協(xié)議類型、端口 等多種維度進(jìn)行判斷。

訪問控制列表(ACL)就像路由器上的“守門人”,決定哪些數(shù)據(jù)可以通過,哪些必須攔截。它是一種用規(guī)則精確控制網(wǎng)絡(luò)流量的方式,在企業(yè)網(wǎng)絡(luò)、安全策略、邊界防護(hù)中廣泛使用。

一、ACL 的作用與類型

ACL 是一組規(guī)則,按順序檢查每一個進(jìn)入或離開路由器的數(shù)據(jù)包。每條規(guī)則可基于 源地址、目的地址、協(xié)議類型、端口 等多種維度進(jìn)行判斷。

常見類型包括:

標(biāo)準(zhǔn) ACL:僅匹配源 IP 地址,控制較粗,編號范圍為 2000~2999。

擴(kuò)展 ACL:匹配源地址 + 目的地址 + 協(xié)議類型 + 端口號,控制更精細(xì),編號范圍為 3000~3999。

二、ACL 的匹配原則

  • 路由器自上而下逐條匹配 ACL 規(guī)則;
  • 一旦匹配成功就停止繼續(xù)查找;
  • 如果沒有任何規(guī)則匹配,默認(rèn)行為是丟棄(等價于隱含一條 deny all);
  • ACL 必須綁定到接口的方向(in/out),否則配置不生效。

三、上手實(shí)驗(yàn)

網(wǎng)絡(luò)拓?fù)鋱D如下:

1. 配置基礎(chǔ) IP 地址

# 進(jìn)入接口 GE0/0/1,配置 IP 地址
[Huawei]int GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.10.1 24

# 進(jìn)入接口 GE0/0/0,配置 IP 地址
[Huawei]int GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24

# 保存配置
<Huawei>save

配置完成后,外網(wǎng) PC3 可正常 ping 通內(nèi)網(wǎng) PC1。

2. 通過 ACL 阻止特定 IP

目標(biāo):阻止 192.168.10.10 訪問內(nèi)部網(wǎng)絡(luò),其它 IP 放行

# 創(chuàng)建標(biāo)準(zhǔn) ACL,編號 2000
[Huawei] acl 2000

# 拒絕源地址為 192.168.10.10 的主機(jī)
[Huawei-acl-basic-2000] rule deny source 192.168.10.10 0

# 放行所有其他主機(jī)
[Huawei-acl-basic-2000] rule permit source any

# 將 ACL 應(yīng)用到 GE0/0/0 接口的出方向(出網(wǎng))
[Huawei] interface GigabitEthernet0/0/0
# `traffic-filter outbound`:指定 ACL 應(yīng)用方向?yàn)槌龇较颉?[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

測試結(jié)果:

  • PC3(192.168.10.10)無法訪問內(nèi)網(wǎng);
  • 但 PC4 仍然可以正常訪問。

3. 查看 ACL 應(yīng)用與規(guī)則

# 查看接口上已應(yīng)用的 ACL 策略
[Huawei-GigabitEthernet0/0/0]display traffic-filter applied-record

# 查看 ACL 2000 的規(guī)則內(nèi)容
[Huawei]display acl 2000

4. 擴(kuò)展 ACL 示例(按端口控制)

目標(biāo):只允許 192.168.1.100 訪問 Web 服務(wù)(TCP 80 端口),其余全部禁止

# 創(chuàng)建擴(kuò)展 ACL,編號 3000
[Huawei] acl 3000

# 允許源地址為 192.168.1.100 的主機(jī)訪問任何目的地址的 TCP 80 端口(Web 服務(wù))
[Huawei-acl-adv-3000] rule permit tcp source 192.168.1.100 0 destination any 0 destination-port eq 80

# 顯式拒絕所有其他 IP 通信
[Huawei-acl-adv-3000] rule deny ip

# 應(yīng)用到 GE0/0/1 接口的出方向
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000

說明:

  • rule permit tcp:允許特定主機(jī)的 Web 請求;
  • destination-port eq 80:精確指定 Web 端口;
  • rule deny ip:阻斷其它所有通信行為。

5. 命名 ACL 示例

# 創(chuàng)建命名 ACL,名稱為 BLOCK-FTP
[Huawei] acl name BLOCK-FTP

# 拒絕 192.168.2.0/24 網(wǎng)段訪問
[Huawei-acl-basic-BLOCK-FTP] rule deny source 192.168.2.0 0.0.0.255

# 允許其余 IP
[Huawei-acl-basic-BLOCK-FTP] rule permit source any

# 應(yīng)用到接口 G0/0/2 的入方向
[Huawei] interface G0/0/2
[Huawei-GigabitEthernet0/0/2] traffic-filter name BLOCK-FTP inbound

命名 ACL 更易于后期維護(hù)與識別,推薦在復(fù)雜場景中使用。

四、總結(jié)

訪問控制列表(ACL)是網(wǎng)絡(luò)中極其重要的安全防線。它能幫助我們:

  • 精確限制訪問來源與服務(wù);
  • 防止非法入侵;
  • 精細(xì)管理數(shù)據(jù)流量。

配置 ACL 時請牢記三要素:匹配規(guī)則順序、綁定方向、測試驗(yàn)證。掌握好這些,網(wǎng)絡(luò)安全防線就穩(wěn)固多了!

責(zé)任編輯:趙寧寧 來源: 神的孩子都在歌唱
ACL訪問控制列表網(wǎng)絡(luò)
相關(guān)推薦

2023-12-06 21:50:40

2019-07-31 08:11:46

ACL訪問控制列表網(wǎng)絡(luò)通信

2012-09-18 09:43:14

Squid代理服務(wù)器安全網(wǎng)關(guān)

2009-05-13 10:26:02

CCNAACLIP訪問控制

2013-03-01 10:48:28

2016-10-07 22:54:03

流量監(jiān)控ossim

2022-07-13 09:01:48

ACL網(wǎng)絡(luò)流量

2010-09-01 16:43:26

Squid ACLSquid訪問列表Squid

2010-02-03 23:04:31

流量控制P2P華夏創(chuàng)新

2009-02-12 11:59:11

2009-06-09 10:30:48

思科控制列表配置實(shí)例

2014-05-26 09:50:19

訪問控制列表ACL文件保護(hù)

2020-09-15 10:16:19

網(wǎng)絡(luò)工具訪問控制列表ACL

2010-08-06 09:39:53

Linux流量控制

2012-11-22 14:59:50

2011-03-14 17:50:27

訪問控制列表

2010-08-04 10:09:05

Oracle Dire

2010-06-17 17:07:33

Linux網(wǎng)絡(luò)流量

2010-06-13 14:47:15

2009-12-22 09:04:35

ACL時間控制列表
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號