华为ensp中基本acl 原理及配置命令(详解)

作者主页:点击!

ENSP专栏:点击!

创作时间:2024年4月5日10点45分

基本ACL的简介

华为ensp中的基本acl是指华为设备中用于控制网络访问的访问控制列表的其中一种类型。基本acl可以根据数据包的源IP地址进行过滤,配置简单,但功能有限。

ACL的匹配规则

ACL匹配规则

步骤:

  1. 检查是否存在ACL

    • 如果不存在,则匹配结果为“不匹配”。
    • 如果存在,则继续下一步。
  2. 检查是否存在规则

    • 如果不存在,则匹配结果为“不匹配”。
    • 如果存在,则继续下一步。
  3. 分析第一条规则

    • 判断报文是否命中该规则。
    • 如果命中:
      • 判断规则动作是“允许”还是“拒绝”。
        • 如果是“允许”,则匹配结果为“允许”。
        • 如果是“拒绝”,则匹配结果为“拒绝”。
    • 如果未命中:
      • 判断是否存在其他规则。
        • 如果存在,则继续分析下一条规则。
        • 如果不存在,则匹配结果为“不匹配”。
  4. 重复步骤3,直到分析完所有规则

  5. 根据分析结果,确定最终匹配结果

规则匹配顺序:

  • 配置顺序:按照规则编号从小到大的顺序进行匹配。
  • 优先级顺序:按照规则优先级从高到低的顺序进行匹配。

默认情况下,ACL使用配置顺序进行匹配。

注意事项:

  • ACL匹配遵循“一旦命中即停止匹配”的原则。
  • 如果报文未命中任何规则,则最终匹配结果为“不匹配”。

基本acl的配置步骤

 创建acl

acl number

其中,number为acl的编号,范围为2000~2999。

 进入acl视图

acl number

配置acl规则

rule rule-number [permit | deny] source source-address [mask mask-addre

其中:

  • rule-number为规则的编号。
  • permit表示允许数据包通过。
  • deny表示拒绝数据包通过。
  • source-address为源IP地址。
  • mask为源IP地址掩码。
  • mask-address为反掩码,用于精确匹配。

基本acl的应用示例:

AR1的基本配置

基本的IP配置还有默认路由 先实现全网互通

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 192.168.1.1 255.255.255.0
[Huawei-GigabitEthernet0/0/2]
int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 6.6.6.6 255.255.255.0


[Huawei]ip route-static 0.0.0.0 0 6.6.6.7

AR2的基本配置

基本的配置实现全网互通

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 6.6.6.7 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.3.1 255.255.255.0
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 192.168.4.1 255.255.255.0

[Huawei]ip route-static 0.0.0.0 0 6.6.6.6
[Huawei]

实验前测试

PC4来访问PC3

PC4来访问PC6

实验要求

接下来我们在AR1上做acl策略来限制流量

拒绝192.158.1.2 来访问 192.168.3.2

但是可以访问同一网段的 192.168.3.3

AR1的acl策略

[Huawei]acl 2000
[Huawei-acl-basic-2000]dis this
	
//拒绝来自源 IP 地址为 192.168.3.2 的所有数据包。
[Huawei-acl-basic-2000]rule 5 deny source 192.168.3.2 0


//允许来自源 IP 地址为 192.168.4.0/24 的所有数据包通过。
[Huawei-acl-basic-2000]rule 10 permit source 192.168.4.0 0.0.0.255



rule 10:这表示你正在配置 ACL 2000 中的第十条规则。
permit:这表示你将允许符合这条规则条件的数据包通过。
source 192.168.4.0 0.0.0.255:这指定了匹配此规则的数据包的源 IP 地址。在这种情况下,源 IP 地址范围是 192.168.4.0/24,后面的 0.0.0.255 是通配符,表示允许该网段下的所有 IP 地址。


拒绝访问详解

[Huawei-acl-basic-2000]rule 5 deny source 192.168.3.2 0
rule 5:这表示你正在配置 ACL 2000 中的第五条规则。
deny:这表示你将拒绝符合这条规则条件的数据包通过。
source 192.168.3.2 0:这指定了匹配此规则的数据包的源 IP 地址。在这种情况下,源 IP 地址是 192.168.3.2,后面的 0 是通配符,表示仅匹配该具体 IP 地址。

允许访问详解

[Huawei-acl-basic-2000]rule 10 permit source 192.168.4.0 0.0.0.255

rule 10:这表示你正在配置 ACL 2000 中的第十条规则。
permit:这表示你将允许符合这条规则条件的数据包通过。
source 192.168.4.0 0.0.0.255:这指定了匹配此规则的数据包的源 IP 地址。在这种情况下,源 IP 地址范围是 192.168.4.0/24,后面的 0.0.0.255 是通配符,表示允许该网段下的所有 IP 地址。

应用acl策略

[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000
[Huawei-GigabitEthernet0/0/1]

这个命令的含义是:将 ACL 2000 应用到 GigabitEthernet0/0/1 接口的入方向,这意味着 ACL 2000 中的规则将用于过滤进入该接口的数据包,根据 ACL 规则的匹配情况来决定是否允许或拒绝这些数据包通过接口。

实验后测试

PC4(192.168.1.2) 访问 PC3(192.168.3.2) 

经过测试发现无法访问(符合实验要求

PC4(192.168.1.2) 访问 PC6(192.168.3.3) 

经过测试发现可以访问(符合实验要求

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/518860.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

备战蓝桥杯---多路归并与归并排序刷题

话不多说&#xff0c;直接看题 1. 我们考虑一行一行合并&#xff0c;一共m次&#xff0c;我们合并两个并取前n小&#xff0c;那么我们怎么取&#xff1f; 我们采用分组的思想&#xff1a; 我们选第一列的min,然后把后面那个再纳入考虑&#xff0c;用优先队列实现即可。 下面…

今年考研是太卷了还是太水了,为什么分数线都高的离谱?

25考研的备考形势&#xff0c;势必跟以前不一样了&#xff01; 有些人问&#xff0c;分数线那么高&#xff0c;是不是题目太水了&#xff1f; 问的人肯定不是24考生。 24的题&#xff0c;也就政治正常一点。 其它的&#xff0c;英语难上热搜&#xff0c;数学难度空前&#x…

04---webpack编写可维护的构建配置

01 构建配置抽离成npm包&#xff1b; 意义&#xff1a;通用性&#xff1a; 业务开发者无需关注构建配置 统一团队构建脚本可维护性&#xff1a;构建配置合理的拆分 质量&#xff1a;冒烟测试 单元测试 持续集成构建配置管理的可选方案&#xff1a;1 通过多个配置文件管理不同…

一、OpenCV(C#版本)环境搭建

一、Visual Studio 创建新项目 二、选择Windows窗体应用&#xff08;.NET Framework&#xff09; 直接搜索模板&#xff1a;Windows窗体应用(.NET Framework) 记得是C#哈&#xff0c;别整成VB(Visual Basic)了 PS&#xff1a;若搜索搜不到&#xff0c;直接点击安装多个工具和…

【OJ】动规练习七之【模板】01背包

个人主页 &#xff1a; zxctscl 如有转载请先通知 DP41 【模板】01背包 1. DP41 【模板】01背包2. 分析3. 代码4. 优化5. 优化后代码 1. DP41 【模板】01背包 2. 分析 一、题目解析&#xff1a; 来看一下例1&#xff0c;3代表有三个物品&#xff0c;5代表能够容纳的体积。第一…

VGA 多分辨率

REVIEW VGA 时序与实现-CSDN博客 对于不同分辨率&#xff0c;每次使用都去查表比较麻烦&#xff1b; 学习条件编译的使用&#xff0c;减轻后续调用的麻烦。 1. 条件编译格式 条件编译是当设计中满足某个条件时&#xff0c;将该条件下的一段代码编译进设计中。 因此&#xff0…

C++ 类和对象(初篇)

类的引入 C语言中&#xff0c;结构体中只能定义变量&#xff0c;在C中&#xff0c;结构体内不仅可以定义变量&#xff0c;也可以定义函数。 而为了区分C和C我们将结构体重新命名成class去定义 类的定义 标准格式&#xff1a; class className {// 类体&#xff1a;由成员函…

AI绘图:Stable Diffusion ComfyUI局部重绘与智能扩图全面教程

前言 在数字艺术创作中&#xff0c;局部重绘和智能扩图是两个非常重要的功能。局部重绘允许我们在保留原有图像的基础上&#xff0c;对特定区域进行修改或创新。而智能扩图则能够帮助我们在图像的边缘添加新的元素&#xff0c;从而扩展图像的内容。本文将详细介绍如何在Stable…

深度学习pytorch好用网站分享

深度学习在线实验室Featurizehttps://featurize.cn/而且这个网站里面还有一些学习教程 免费好用 如何使用 PyTorch 进行图像分类https://featurize.cn/notebooks/5a36fa40-490e-4664-bf98-aa5ad7b2fc2f

jforgame-doctor快速入门

背景 游戏热更新,是指在不重启服务器/客户端app的情况下,对游戏内容进行修改或者对代码bug进行修复。 对于一个上线产品项目来说,热更新为维持项目的稳定健康提供了坚强的保障。小到策划数据的修改,代码bug的修改,大到动态扩展游戏业务功能。试想一下,没有热更新机制,…

基于SSM的邮票鉴赏系统(有报告)。Javaee项目。ssm项目。

演示视频&#xff1a; 基于SSM的邮票鉴赏系统&#xff08;有报告&#xff09;。Javaee项目。ssm项目。 项目介绍&#xff1a; 采用M&#xff08;model&#xff09;V&#xff08;view&#xff09;C&#xff08;controller&#xff09;三层体系结构&#xff0c;通过Spring Spri…

电脑硬盘分区表的两种格式:MBR 和 GPT

电脑硬盘分区表的两种格式&#xff1a;MBR 和 GPT 段子手168 2024-4-5 电脑硬盘分区表有两种格式&#xff1a;MBR 和 GPT&#xff1a; 一、MBR 分区表 1.MBR 是主引导记录 (Master Boot Record) 的英文缩写 在传统&#xff08;Legacy&#xff09;硬盘分区模式中&#xff0c…

1970-2021年全国区县级碳排放数据8

1970-2021年全国区县级碳排放数据 1、时间&#xff1a;1970-2021年 2、指标&#xff1a;2877个区县 3、来源&#xff1a;EDGAR 4、指标&#xff1a;二氧化碳排放量 5、样本量&#xff1a;14W 6、指标解释&#xff1a; 二氧化碳排放是一个生态环境专业术语&#xff0c;主…

项目经理必须知道的三大财务报表相关知识

清晖有个不错的讲项目经理应该知道的三大财务报表相关知识&#xff0c;地址&#xff1a;项目经理必备的财务知识_哔哩哔哩_bilibili

深度学习的数学基础--Homework2

学习资料&#xff1a;https://www.bilibili.com/video/BV1mg4y187qv/?spm_id_from333.788.recommend_more_video.1&vd_sourced6b1de7f052664abab680fc242ef9bc1 神经网络的特点&#xff1a;它不是一个解析模型&#xff0c;它的储存在一堆参数里面&#xff08;确定一个超平…

File(一),IO流,递归详解

File类 介绍 java.io.File类是Java语言提供了用来描述文件和目录(文件夹)的 构造 方法 注意&#xff1a; 构造方法中通常用的是第一个方法文件和目录可以通过File封装成对象File封装的对象仅仅是一个路径名&#xff0c;它是可以存在的&#xff0c;也可以不存在 绝对路径…

详解protected访问限定符

1.同一个包中的同一类 package demo1;public class Test1 {protected int a 10;protected void b() {System.out.println("这是protected修饰的成员方法");}public static void main(String[] args) {Test1 test new Test1();System.out.println(test.a);test.b()…

Vue学习笔记-S1

1 什么是Vue Vue是一款用于构建用户界面的渐进式JavaScripte框架&#xff0c;可基于数据渲染用户页面. 1.1 Vue的知识架构 Vue核心包&#xff1a;声明式渲染、组件系统Vue构建&#xff1a;客户端路由、状态管理、构建工具局部使用Vue&#xff1a;快速入门、常用指令、生命周…

4.5日学习打卡----学习Apache HttpClient 5

4.5日学习打卡 目录&#xff1a; 4.5日学习打卡Apache Commons HttpClient简介 Apache HttpClient 5简介依赖HttpClient 5 GET 请求HttpClient 5 Fluent GETHttpClient5 GET 请求参数HttpClient 5 POST 请求HttpClient 5 Fluent POSTHttpClient5 POST JSON 参数HttpClient 5 设…

什么是地理信息系统(GIS),它能为我们做什么?

当您准备从事GIS相关职业或准备建设一个GIS相关的系统时&#xff0c;您需要对GIS有一个大概的整体了解。这篇文章很适合您从宏观了解GIS当前的整体情况及发状况&#xff01;希望这篇文章对您有所帮助&#xff01; 什么是地理信息系统&#xff1f; GIS 代表地理信息系统。…