ACL常用的匹配项

已于 2022-09-05 18:17:58 修改
阅读量4.9k 收藏 14
点赞数 3
CC 4.0 BY-SA版权
文章标签: p2p 网络协议 网络
于 2022-05-29 07:18:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32044265/article/details/125026463
交换机的访问控制列表(ACL)匹配项包括生效时间段、IP承载的协议类型、源/目的IP地址及其通配符掩码、源/目的MAC地址及其通配符掩码、VLAN编号及其掩码、TCP/UDP端口号、TCP标志信息和IP分片信息。通过这些匹配项,可以精细化控制网络流量,实现不同时间段和不同条件下的策略设置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

交换机支持的ACL匹配项种类非常丰富,其中以下的几个匹配项比较常用

生效时间段

ACL的生效时间段可以规定ACL规则在何时生效,从而实现在不同的时间段设置不同的策略。

在ACL规则中引用的生效时间段存在两种模式:

  1. 周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。

  2. 绝对时间段:从某年某月某日的某一时间开始,到某年某月某日的某一时间结束,表示规则在这段时间范围内生效。

同一名称(time-name)配置多条时间段时,通过以下规则选出最终生效的时间范围:

  1. 多个周期时间段之间是或的关系,多个绝对时间段之间也是或的关系。

  2. 周期时间段和绝对时间段之间是与的关系。

  3. 如果周期时间段和绝对时间段之间冲突,配置的时间段不生效。

例如,在ACL 2001中引用了时间段“test”,“test”包含了三个生效时间段:

time-range test 8:00 to 18:00 working-day

time-range test 14:00 to 18:00 off-day

time-range test from 00:00 2014/01/01 to 23:59 2014/12/31

acl number 2001

rule 5 permit time-range test

时间段“test”最终描述的时间范围为:2014年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。

如果第三个时间配置为2014年1月1日19:00起到2014年12月31日21:00,则时间段“test”无效。

 IP承载的协议类型

格式:protocol-number | icmp | tcp | udp | gre | igmp | ip | ipinip | ospf

高级ACL支持基于协议类型过滤报文,常用的协议类型如下表所示。

协议类型

协议编号

ICMP

1

TCP

6

UDP

17

GRE

47

IGMP

2

IPinIP

4

OSPF
最低0.47元/天 解锁文章

200万优质内容无限畅学
TCP/IP安全 之 ACL访问控制列表
qianfeng_dashuju的博客
09-17 1090
一、ACL概述 1.1 Access Control List (访问控制列表) 重要级别:高! 1.2 ACL的作用 ACL是一种包过滤技术! 1.3 ACL应用场景 路由器上、防火墙上 路由器上就叫ACL! 防火墙上一般称为策略!策略就是升级版的ACL,策略可以基于IP、端口、协议、应用层数据进行各种过滤 二、ACL怎么过滤? ACL是基于数据包中的IP地址、端口号来对数据包进行过滤! 三、ACL的分类 3.1 标准ACL 标准---Standard 表号:1-99
ACL原理与配置
口袋里的梦想
09-19 511
【代码】ACL原理与配置。
ACL访问控制列表
不够优秀才会那么依赖其他人,不够成熟才会信任所有耀眼的外衣,不够强大才会浪费时光去迎合他们的玩闹!
01-06 1540
目录标题概述ACL工作原理ACL 两种作用ACL 的种类ACL应用规则ACL命令及相关配置 概述 读取第三层、第四层(传输层和网络层)包头信息 根据预先定义好的规则对包进行过滤 访问控制列表利用这4个元素定义和规则 ACL工作原理 当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理 出:已经过路由器的处理,正离开路由器接口的数据包 入:已到达路由器接口的数据包,将被路由器处理 列表方向与数据方向有关 ACL 两种作用 用来对数据包做访问控制(丢弃或者放行)
计算机网络基础知识
cheng的博客
05-12 1773
一、网络基础知识 1、OSI 开放式互联参考模型 当前市面上分别存在:四层、五层、七层协议,而国际标准化组织 ISO 制定的 OSI 七层协议模型,是业界提出来的概念性框架: 先自上而下,后自下而上处理数据头部 从应用层开始,都会对传输的数据头部进行处理,加上本层的一些信息,最终,由物理层通过以太网、电缆等介质,将数据解析成比特流,在网络中传输。 数据传输到目标地址后,并自底而上的将先前对应的头部解析分离出来,这个就是网络数据处理的流程。 2、TCP/IP OSI 是一个定义良好的协议规范机制,并有许多
ACL的配置与应用
最新发布
Fanmeang的博客
06-02 1053
通过前面章节的学习我们已经知道,针对不同的业务模块,匹配ACL规则的不同情形,结果则可能完全不同,故我们在配置ACL规则时需要遵循一定的规则,具体如下。 如果配置的ACL规则存在包含关系,应注意严格条件的规则编号需要排序靠前,宽松条件的规则编号需要排序靠后,避免报文因先命中宽松条件的规则而停止往下据徐匹配,从而使其无法命中严格条件的规则。(大家也可以理解为要把命中范围比较大的规则放在靠后的位置,需要精准匹配的规则放在靠前的位置) 根据各业务模块ACL默认动作的不同,ACL的配置原则也不同。例如,在默认动
iptables工具__过滤包—命令(-A、-I、-D、-R、-L等)、参数(-p、-s、-d、--sport--dport-i、-o等)、动作-j (ACCEPT、DROP、REJECT、RED
tanyjin的博客
04-25 1667
iptables 指令 语法:          iptables [-t table] command [match] [-j target/jump]          -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,           当未指定规则表时,则一律视为是 filter。 各个规则表的功能如下:  
重拾路由交换之acl配置说明(一)
朝屯暮蒙vi的博客
06-26 853
思科: 出:已经过路由器的处理,正离开路由器的数据包。 入:已到达路由器接口的数据包。将被路由器处理。 出入两个方向,应用在端口上面。acl做顺序匹配匹配即停止,不匹配则使用默认规则的方式来过滤数据包。 一、标准访问控制列表 标准访问控制列表:根据数据包的源IP地址来允许或拒绝数据包,标准访问控制列表的访问控制列表号是1-99。 (一)语法及说明 创建标准ACL的语法如下: Router(config)#access-list access-list-number {permit|d.
访问控制列表-ACL匹配规则
weixin_30412013的博客
10-22 7405
1、ACL匹配机制 首先,小编为大家介绍ACL匹配机制。上一期提到,ACL匹配报文时遵循“一旦命中即停止匹配”的原则。其实,这句话就是对ACL匹配机制的一个高度的概括。当然,ACL匹配过程中,还存在很多细节。比如,ACL不存在系统会怎么处理?ACL存在但规则不存在系统会怎么处理?为了对整个ACL匹配过程展开详细的介绍,小编画了一张ACL匹配流程图,相信对大家理解ACL匹配机制能有所帮助。 ...
ACL访问控制列表,基于流量抓取
10-19
ACL的规则由编号、动作和匹配组成。规则编号是唯一标识一条规则的数字,范围是0到4294967296。动作包括"permit"(允许)和"deny"(拒绝),决定了匹配规则的数据包的命运。匹配则包括了网络通信的关键元素,如源...
ACL.rar_ACL
09-21
- **最长匹配原则**:当多个规则可以匹配一个数据包时,选择匹配最具体的规则执行。 - **拒绝默认**:如果没有匹配的规则,那么默认的动作通常是拒绝数据包。 - **只匹配一次**:一旦数据包匹配到一条规则,就不会...
网络安全——【收藏】网络设备安全加固规范
Jay
12-19 1360
如非要采用HTTP服务,要求对HTTP服务进行严格的控制,如果必须选择使用HTTP进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证,修改HTTP的默认端口。路由器以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置路由器,只允许特定主机访问。出现问题时,对设备的维护工作仍可正常进行,建议保留必要的维护用户。
华为路由器 高级ACL配置
一直被模仿,从未被超越
03-26 3953
(2)Client2 无法访问 Server1服务器 HTTP 80端口。(1)Client1 无法访问 PC3。3、路由器设置 高级ACL。1、交换机 SW1 设置。2、路由器 R1 设置。
高级ACL配置
weixin_64821398的博客
07-03 204
AR1配置<Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]sysname R1 [R1]int g0/0/2 [R1-GigabitEthernet0/0/2]ip ad 192.168.1.254 24 [R1-GigabitEthernet0/0/2]int g0/0/0 [R1-GigabitEthernet0/0/0]ip ad 192.168.12.1 24 [R1-GigabitEthernet0/0
ACL访问控制之网络工程师软考中级
FJSAY
07-26 365
ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。
十分钟带你了解你不知道的ACL访问控制技术
03-26 2833
##前言 访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。它类似于一种数据包过滤器。 ####1.为什么需要ACL技术? 当某个局域网中需要使某些主机无法访问指定的资源,时就需要这么一个技术实现流量的过滤,如下图所示,某公司为保障财务部数据安全,机制研发部门访问财务部服务器,但总裁办公室不受影响: ####2.ACL介绍 ACL是由一系列perm
华为交换机常见的ACL操作
Tony_long7483的博客
10-26 1万+
常见的ACL操作 1.删除生效时间段:需要先删除关联生效时间段的ACL规则或者整个ACL [HUAWEI] acl 2001 [HUAWEI-acl-basic-2001] undo rule 5 //先删除rule [HUAWEI] undo time-range time1 //在删除时间段 [HUAWEI] undo acl 2001 //先删除ACL [HUAWEI] undo time-range time1 //在删除时间段 2. 配置基于时间的ACL规则 [HUAWEI] time-r
ACL实验
dark_rabbit的博客
07-25 306
outbound Apply ACL to the outbound direction of the interface //出栈。inbound Apply ACL to the inbound direction of the interface //进站。三、pc2不能登录AR1,不能ping通AR2。[R1]aaa//存储帐户密码。
学习日记Day27:ACL原理与配置
qq_40909772的博客
08-13 5394
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
ACL技术配置
热门推荐
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
10-31 1万+
ACL华为命令 1.基本ACL配置 [Huawei]acl number 2000 ###创建acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加) [Huawei] interface GigabitEthernet 0/0/1 [ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254
华为防火墙能匹配acl
04-01
### 华为防火墙 ACL 匹配的支持情况及配置方法 华为防火墙确实支持访问控制列表(Access Control List, ACL),并可以通过其灵活的配置机制实现对流量的有效管理。以下是关于华为防火墙 ACL 的具体说明及其配置方式。 #### 一、ACL 类型和支持范围 华为防火墙中的 ACL 可分为标准 ACL 和扩展 ACL,分别用于基于 IP 地址过滤和基于更多复杂条件(如端口、协议等)的过滤[^1]。 - **标准 ACL**:仅能根据源 IP 地址进行匹配- **扩展 ACL**:可以根据源 IP 地址、目的 IP 地址、协议类型、端口号等多种字段组合进行精确匹配。 此外,华为防火墙还提供了高级功能,例如时间范围设置,使得 ACL 能够在特定时间段生效[^4]。 --- #### 二、ACL 配置命令详解 以下是一个典型的 ACL 配置流程: 1. 创建 ACL 并定义规则: 使用 `acl` 命令创建 ACL,并指定 ACL 编号以及匹配顺序。例如: ```bash acl number 2000 match-order config rule permit source 192.168.1.0 0.0.0.255 ``` 上述命令表示创建了一个编号为 2000 的基本 ACL,允许来自子网 `192.168.1.0/24` 的流量通过。 2. 将 ACL 应用到接口或安全策略中: 完成 ACL 规则编写后,需将其绑定到具体的接口上以生效。例如,在入方向应用该 ACL: ```bash interface GigabitEthernet 0/0/1 traffic-filter inbound acl 2000 ``` 3. 设置匹配顺序(可选): 如果需要调整 ACL 中各条规则的匹配逻辑,可通过 `match-order` 参数设定。默认情况下采用按规则 ID 排序的方式(即较小的 ID 优先匹配)。如果希望启用深度优先匹配,则可以显式声明 `auto` 模式: ```bash acl number 2000 match-order auto ``` --- #### 三、状态检测与 NAT 结合 除了基础的 ACL 功能外,华为防火墙还能结合状态检测技术进一步增强安全性。对于涉及 NAT 的场景,例如外部用户访问内部服务器的情况,防火墙会自动完成地址转换的同时依据 ACL 进行访问权限校验[^2]。 典型的工作流如下: 1. 外部用户的请求到达防火墙时,目标地址被映射至内部私有地址; 2. 请求进入防火墙的状态跟踪模块,验证连接合法性; 3. 若 ACL 明确允许此流量,则放行;反之丢弃。 --- #### 四、性能优化建议 尽管华为防火墙具备强大的 ACL 功能,但在大规模部署环境下仍需要注意效率问题。相比某些传统工具(如 Linux iptables),华为设备内置硬件加速能力,能够显著提升 ACL 查找速度[^5]。然而为了最大化性能表现,推荐采取以下措施: - 合理规划 ACL 条目数量,避免过多冗余规则; - 利用时间范围特性减少全天候运行不必要的限制- 对频繁使用的规则赋予较低 ID 或者开启 `auto` 模式的深度优先算法。 --- ### 总结 综上所述,华为防火墙不仅全面支持 ACL 功能,而且提供丰富的配置选满足不同业务需求。无论是简单的 IP 层面过滤还是复杂的多维度约束都可以轻松实现。同时借助于高效的硬件架构设计,即使面对高并发负载也能保持稳定运作。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值