路由器基础(十一):ACL 配置

        访问控制列表 (Access Control List,ACL) 是目前使用最多的访问控制实现技术。访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPXAppleTalk 等。访问控制列表可以分为基本访问控制列表和高级访问控制列表。ACL的默认执行顺序是自上而下,在配置时要遵循最小特权原则、最靠近受控对象原则及默认丢弃原则。

 一、华为设备ACL 分类

分类

编号范围

支持的过滤选项

基本

ACL

2000~

2999

匹配条件较少,只能通过源IP地址和时间段来进行流量

匹配,在一些只需要进行简单匹配的功能中可以使用

高级

ACL

3000~

3999

匹配条件较为全面,通过源IP地址、目的IP地址、ToS、

时间段、协议类型、优先级、ICMP报文类型和ICMP报  文码等多个维度对流量进行匹配,在大部分功能中都可 使用高级ACL进行精确流量匹配

基于

MAC

地址的

ACL

4000~

4999

由于数据链路层使用MAC地址来进行寻址,所以在控制 数据链路层帧时需要通过MAC地址来对流量进行分类。

基于MAC地址的ACL就可以通过源MAC地址、目的MAC 地址、CoS、协议码等维度来进行流量匹配

用户自 定义

5000-

5999

用户自定义ACL

 二、ACL规则匹配方式

(1)配置顺序。

        配置顺序根据ACL规则的ID进行排序,ID小的规则排在前面,优先进行匹配。当找到第一条匹配条件的规则时,查找结束。系统按照该规则对应的动作处理。

(2)自动顺序。

        自动顺序也叫深度优先匹配。此时ACL规则的ID   由系统自动分配,规则中指定数据包范围小的排在前面,优先进行 匹配。当找到第一条匹配条件的规则时,查找结束。系统按照该规则对应的动作处理。

1)对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺序。

2)对于高级访问控制规则,首先比较协议范围,再比较源地址通 配符,都相同时比较目的地址通配符,仍相同时则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。

 三、ACL 配置步骤

 (1)执行命令system-view,  进入系统视图。

(2)执行命令acl [number]acl-number [match-order{config|auto }],创建基本ACL 并进入相应视图。

        1)acl-number 的取值决定了ACL 的类型,ACL 的取值范围基本在2000~2999之间。

        2)match-order 指定了ACL 各个规则之间的匹配顺序:选择参数config,ACL 的匹配顺序按照规则ID来排序,ID小的规则排在前面,优先匹配;选择参数auto,    将使用深度优先的匹配顺序。默认值是config,  按照规则ID来排序。

(3)执行命令,创建基本ACL 规则。

rule[rule-id]{deny|permit}[logging|source{source-ip-address{0|sourcewildcard}|address-setaddress-set-name|any}time-rangetime-name]*[descriptiondescription]

 配置注意:

        如配置时没有指定编号rule-id, 表示增加一条新的规则,此时系  统会根据步长,自动为规则分配一个大于现有规则最大编号且是  步长整数倍的最小编号。如配置时指定了编号rule-id,如果相应  的规则已经存在,表示对已有规则进行编辑,规则中没有编辑的  部分不受影响;如果相应的规则不存在,表示增加一条新的规则,并且按照指定的编号将其插入到相应的位置。

        配置好ACL, 还需要将ACL 应用到相应的接口才会生效。应用ACL时,为了尽可能提高效率和降低对网络的影响,通常基本ACL 量部署在靠近目标主机的区域接口上,而高级ACL 尽量部署在靠近源主机所在区域的接口上。

 四、典型例题

        如下图所示,某公司的总部和分公司网络拓扑,分公司和总部数据中心通   过ISP1的网络和ISP2 的网络互连。并且连接5G出口作为应急链路,分公司和总部数据中心交互的业务有语音、视频、FTP HTTP四种。要求通过配置策略路由实现分公司访问业务分流。配置网   络质量分析(NQA) 与静态路由联动实现链路冗余。其中,语音和  视频以ISP1为主链路、ISP2 为备份;FTP  HTTP ISP2为主链路,ISP1为备份。

 

【问题1】(4分)

        通过在R1上配置策略路由、以实现分公司访问总部的流量可根据业务类 型分组到L1L2两条链路并形成主备关系,首先完成ACL 相关配置。

配置R1 上的ACL 来定义流:
首先定义视频业务流ACL2000:

[R1]ac12000

[R1-acl-basic-2000]rule   1  permit  destination  (1)0.0.255.255

[R1-acl-basic-2000]quit

定义Web业务流ACL 3000;

[R1]acl  3000

[R1-acl-adv-3000]rule 1 permit tcp destination any destination-port (2)0.0.255.255

[R1-acl-basic-3000]quit

答案:(1)2.2.0.0  (2)eq 80

【问题2】(8分)

完成R1策略路由剩余相关配置

1:创建流分类,匹配相关ACL 定义的流

[R1]traffic  classifier  video

[R1-classifier-video]if-matchacl 2000

[R1-classifier-video]quit

[Rl]traffic  classifier  web

[R1-classifier-web]if-match  acl  3000

[R1-classifier-web]quit

2:创建流行为并配置重定向

[Rl]traffic behavior bl

[R1-behavior-bl]redirect ip-nexthop (3)

[R1-behavior-bl]quit

[R1]traffic behavior b2

[R1-behavior-b2]redirect ip-nexthop(4)

[R1-behavior-b2]quit

答案: (3)30.13.0.3  (4)40.14.0.4  (5)b2   (6)inbound

3:创建流策略,并在接口上应用

[R1]traffic policy pl

[R1-trafficpolicy-pl]classifier video behavior b1

[R1-trafficpolicy-pl]classifier web behavior (5)

[Rl-trafficpolicy-pl]quit

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]traffic-policy 1(6)

[R1-GigabitEthernet0/0/0]quit

答案:(5)b2(6)inbound 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/117005.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Redis之哨兵模式

文章目录 前言一、主从复制1.概述2.作用3.模拟实践搭建场景模拟实践 二、哨兵模式1.概述2.配置使用3.优缺点4.sentinel.conf完整配置 总结 前言 从主从复制到哨兵模式。 一、主从复制 1.概述 主从复制,是指将一台 Redis 服务器的数据,复制到其他的 Red…

UE5——源码阅读——1

UE启动 hInInstance :项目实例 hPrevInstance:项目上一个实例 pCmdLine:参数 nCmdShow:窗口显示 TRACE_BOOKMARK(TEXT(“WinMain.Enter”));:UE用来追踪记录的函数,用于标记应用程序在执行过程中一些特定的…

Git 使用

Git 使用 目录 Git 使用一、命令行操作0. 配置用户名邮箱1. 初始化一个新的 Git 仓库2. 从远程仓库克隆一个仓库3. 添加文件到暂存区4. 提交更改到本地仓库5. 拉取/推送代码6. 分区操作​7. 其他查看操作8.基本操作流程 二、idea/pycharm操作1、 集成git2、 idea添加项目3、 fe…

网络工程师进阶课:华为HCIP认证课程介绍

微思网络HCIP VIP试听课程:DHCP协议原理与配置https://www.bilibili.com/video/BV1cy4y1J7yg/?spm_id_from333.999.0.0 【赠送】IT技术视频教程,白拿不谢!思科、华为、红帽、数据库、云计算等等 https://xmws-it.blog.csdn.net/article/det…

2.2整式的加减(第1课时)——合并同类项教学及作业设计

【学习目标】 1.理解同类项的概念,并能正确辨别同类项. 2.理解合并同类项的依据是乘法分配律,掌握合并同类项的方法. 知识点归纳: ★合并同类项后,所得的项的系数是___________…

docker部署elk

目录 前言 一、创建程序工作路径 二、创建私有网络 三、部署elasticsearch 1.先搜速后下载 2.创建一个基础的容器(此步骤是为了拷贝容器里的文件) 3.拷贝文件到宿主机 3.1进入容器 3.2拷贝并授权 3.3删除基础容器 4.创建容器 5.访问9200测试 …

【java学习—十三】处理流之三:标准输入输出流(3)

文章目录 1. 相关概念2. 举例与练习2.1. 举例2.2. 练习 1. 相关概念 System.in 和 System.out 分别代表了系统标准的输入和输出设备,默认输入设备是键盘,输出设备是显示器。     System.in 的类型是 InputStream     System.out 的类型是 PrintS…

C++进阶篇4---set和map

一、关联式容器 在初阶篇中,我们已经接触过STL中的部分容器,比如:vector、list、deque等,这些容器统称为序列式容器,因为其底层为线性序列的数据结构,里面存储的是元素本身。 那什么是关联式容器&#xff1…

【算法挨揍日记】day19——62. 不同路径、63. 不同路径 II

62. 不同路径 62. 不同路径 题目描述: 一个机器人位于一个 m x n 网格的左上角 (起始点在下图中标记为 “Start” )。 机器人每次只能向下或者向右移动一步。机器人试图达到网格的右下角(在下图中标记为 “Finish” &#x…

14.1 Linux 并发与竞争

一、并发与竞争 并发:多个执行单元同时、并行执行。 竞争:并发的执行单元同时访问共享资源(硬件资源和软件上的全局变量等)易导致竞态。 二、原子操作 1. 原子操作简介 原子操作:不能再进一步分割的操作,一般用于变量或位操作。 …

AI:53-基于机器学习的字母识别

🚀 本文选自专栏:AI领域专栏 从基础到实践,深入了解算法、案例和最新趋势。无论你是初学者还是经验丰富的数据科学家,通过案例和项目实践,掌握核心概念和实用技能。每篇案例都包含代码实例,详细讲解供大家学习。 📌📌📌本专栏包含以下学习方向: 机器学习、深度学…

latex自定义缩写

Latex 写文章可能常用到一些缩写,如: .e.g.i.e.cf.etc.w.r.t.i.i.d.et al. 其中有些要斜体,如果每次都要用 \textit{...}、{\it ...} 弄斜,有点麻烦。CVPR 模板中有定义一些命令,可以更方便地输入这些缩写。这里记录…

linux中if条件判断,case...esac,function学习

第一、 if [ 判断式 ] ; then fi 注意:中括号和判断式之间的空格,否则会报错,上案例 第二个图的12行,中括号和条件判断如果没有空格,则会提示缺号‘】’,如第二个图最上面的提示。所以使用中括号的格式…

AI:59-基于深度学习的行人重识别

🚀 本文选自专栏:AI领域专栏 从基础到实践,深入了解算法、案例和最新趋势。无论你是初学者还是经验丰富的数据科学家,通过案例和项目实践,掌握核心概念和实用技能。每篇案例都包含代码实例,详细讲解供大家学习。 📌📌📌在这个漫长的过程,中途遇到了不少问题,但是…

系列十二、过滤器 vs 拦截器

一、过滤器 vs 拦截器 1.1、区别 (1)触发时机不一样,过滤器是在请求进入容器后Servlet之前进行预处理的,请求结束返回也是,是在Servlet处理完后,返回给前端之前; (2)过滤…

TCP三次握手和四次挥手

文章目录 TCP三次握手TCP四次挥手 TCP三次握手 三次握手主要是保证连接是双工的,可靠主要是保证重传机制的 客户端发送建立连接的请求,SYN置1,携带一个序号seq服务端接收客户端建立连接的请求后发送一个响应,SYN置1,A…

[BUUCTF NewStar 2023] week5 Crypto/pwn

最后一周几个有难度的题 Crypto last_signin 也是个板子题,不过有些人存的板子没到,所以感觉有难度,毕竟这板子也不是咱自己能写出来的。 给了部分p, p是1024位给了922-101位差两头。 from Crypto.Util.number import * flag b?e 655…

闯关打卡小程序的效果如何

闯关打卡是一种以任务关卡为基础的打卡模式,管理员可配置活动任务关卡,成员加入任务后需依次解锁,打卡完成任务,像闯关游戏一样完成所有任务。 通过打卡活动聚集一群有共同目标、兴趣的人,通过打卡的方式促进共同目标…

python 命令行界面的用户交互

背景 说一千,道一万,程序是为用户服务的,所以在程序运行过程,与用户交互以获取用户的信息输入和决策确认,是无法避免的编程需要考虑和解决的需求。 一个简单的demo 如下的程序中,程序需要生成一个新的 i…

Linux学习第32天:Linux INPUT 子系统实验(一):接纳

Linux版本号4.1.15 芯片I.MX6ULL 大叔学Linux 品人间百味 思文短情长 题目中用了“接纳”俩字。其实学习就是一个接纳的过程。接纳新的知识,从而转化为自己知识宝库的一部分。那今天学习的input子系统和今天的主题接纳有…