ACL的rule中的deny/permit在各个业务模块里的场景是怎样的

最新推荐文章于 2024-10-30 22:20:52 发布
置顶 最新推荐文章于 2024-10-30 22:20:52 发布
阅读量5.4k 收藏 8
点赞数 2
CC 4.0 BY-SA版权
文章标签: 网络 服务器 运维 华为 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszfs/article/details/127261202
本文详细介绍了ACL规则中的deny/permit在流策略、简化流策略、IPSec、防火墙、NAT等多个业务模块的具体应用场景及效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ACL的rule中的deny/permit在各个业务模块里的场景是怎样的

ACL的rule中的deny/permit在各个业务模块里的场景不同,具体如下:

  • 流策略

    1. 当ACL的rule配置为permit时,系统匹配该规则才执行流行为中的动作,流行为中的动作为deny则禁止匹配规则的流量通过,动作为permit则允许匹配规则的流量通过。

    2. 当ACL的rule配置为deny时,只要匹配该规则就执行丢弃报文动作,并且流行为中的具体动作不生效(流量统计和流镜像除外)。

    3. 当ACL里未配置rule时,则应用该ACL的流策略功能不生效。

  • 简化流策略

    1. 当ACL的rule配置为permit时,设备执行简化流策略功能中的动作,如允许匹配该规则的报文通过、对匹配ACL规则的报文进行限速等。

    2. 当ACL的rule配置为deny时,如果将ACL应用在简化流策略的报文过滤功能中,设备会拒绝匹配该规则的报文通过。

    3. 当ACL里未配置rule时,则应用该ACL的简化流策略功能不生效。

  • IPSec

    1. 仅当ACL的rule配置为permit时,设备会对匹配该规则的报文进行IPSec保护后再发送该报文。

    2. 当ACL的rule配置为deny时,设备不允许匹配ACL规则的报文通过。

    3. 当ACL未配置rule时,应用该ACL的IPSec功能不生效,即设备直接发送通过接口的报文。

  • 防火墙

    1. 当ACL的rule配置为permit时:
      • 如果该ACL应用在inbound方向,则允许从优先级低到优先级高的安全区域并且匹配该规则的报文通过。
      • 如果该ACL应用在outbound方向,则允许从优先级高到优先级低的安全区域并且匹配该规则的报文通过。

    2. 当ACL的rule配置为deny时:

      • 如果该ACL应用在inbound方向,则拒绝从优先级低到优先级高的安全区域且匹配该规则的报文通过。
      • 如果该ACL应用在outbound方向,则拒绝从优先级高到优先级低的安全区域且匹配该规则的报文通过。

    3. 当ACL里未配置rule时:

      • 如果该ACL应用在inbound方向,则该ACL不生效,设备会拒绝从优先级低到优先级高的安全区域的所有报文通过。
      • 如果该ACL应用在outbound方向,则该ACL不生效,设备会允许从优先级高到优先级低的安全区域的所有报文通过。

  • NAT

    1. 仅当ACL的rule配置为permit时,设备允许匹配该规则中指定的源IP地址使用地址池进行地址转换。

    2. 当ACL的rule配置为deny或ACL未配置rule时,应用该ACL的NAT功能不生效,即不允许使用地址池进行地址转换,设备根据目的地址查找路由表转发报文。

  • Telnet

    1. 当ACL的rule配置为permit时:
      • 如果该ACL应用在inbound方向,则允许匹配该rule规则的其他设备访问本设备。
      • 如果该ACL应用在outbound方向,则允许本设备访问匹配该rule规则的其他设备。

    2. 当ACL的rule配置为deny时:

      • 如果该ACL应用在inbound方向,则拒绝匹配该rule规则的其他设备访问本设备。
      • 如果该ACL应用在outbound方向,则拒绝本设备访问匹配该rule规则的其他设备。

    3. 当ACL配置了rule,但来自其他设备的报文没有匹配该rule规则时:

      • 如果该ACL应用在inbound方向,则拒绝其他设备访问本设备。
      • 如果该ACL应用在outbound方向,则拒绝本设备访问其他设备。

    4. 当ACL未配置rule时:

      • 如果该ACL应用在inbound方向,则允许任何其他设备访问本设备。
      • 如果该ACL应用在outbound方向,则允许本设备访问任何其他设备。

  • HTTP

    1. 当ACL的rule配置为permit时,则允许指定源IP地址的其他设备与本设备建立HTTP连接。
    2. 当ACL的rule配置为deny时,则拒绝其他设备与本设备建立HTTP连接。
    3. 当ACL配置了rule,但来自其他设备的报文没有匹配该rule规则时,则拒绝其他设备与本设备建立HTTP连接。
    4. 当ACL未配置rule时,则允许任何其他设备与本设备建立HTTP连接。

  • FTP

    1. 当ACL的rule配置为permit时,则允许指定源IP地址的其他设备与本设备建立FTP连接。

    2. 当ACL的rule配置为deny时,则拒绝任何其他设备与本设备建立FTP连接。

    3. 当ACL配置了rule,但来自其他设备的报文没有匹配该rule规则时,则拒绝其他设备与本设备建立FTP连接。

    4. 当ACL未配置rule时,则允许任何其他设备与本设备建立FTP连接。

  • TFTP

    1. 当ACL的rule配置为permit时,则允许本设备与指定源IP地址的设备建立TFTP连接。

    2. 当ACL的rule配置为deny时,则拒绝本设备与任何其他设备建立TFTP连接。

    3. 当ACL配置了rule,但来自其他设备的报文没有匹配该rule规则时,则拒绝其他设备与本设备建立TFTP连接。

    4. 当ACL未配置rule时,则允许本设备与任何其他设备建立TFTP连接。

  • SNMP

    1. 当ACL的rule配置为permit时,则允许指定源IP地址的网管访问本设备。

    2. 当ACL的rule配置为deny时,则拒绝其他网管访问本设备。

    3. 当ACL未配置rule时,则允许任何其他网管访问本设备。

  • NTP

    1. 当ACL的rule配置为permit时,则使用ntp-service access命令配置的访问控制权限才能生效。

    2. 当ACL的rule配置为deny,则使用ntp-service access命令配置的访问控制权限不生效。

    3. 当ACL未配置rule时,则使用ntp-service access命令配置的访问控制权限不生效。

路由控制.
qq_43704340的博客
10-23 1332
* 1.路由策略:通过控制路由的接收/发布/路由优选进而实现对流量可达性以及流量路径的控制 2.策略路由:直接对流量进行可达性以及流量路径的控制 Filter-Policy工具(过滤策略):过滤路由表的路由条目,不能过滤路由属性 Route-Policy工具(路由策略):修改路由属性 Traffic-Filter工具(流量过滤) traffic-policy(流量策略) 1.控制网络流量可达性: 方式: 1.路由策略:可通过修改路由条目(即对接收和发.
route-policy和ACL组合时permitdeny的作用
weixin_33759269的博客
09-27 4861
Route-policy 实验一、 拓扑拓扑中的路由器,左边运行着RIP,右边运行着OSPF。在R2上做重分布,将RIP路由引入OSPF,并进行控制二、 在R2上做重分布,并且做route-policyR2:ospf 110 router-id 2.2.2.2 import-route rip 1 route-policy liuqingroute-policy为perm...
ACL和Route-Map中permitdeny对路由过滤的动作
weixin_33978016的博客
04-09 2869
此实验讨论route-map中acl permit和any动作对路由过滤影响。拓扑如图:验证一.R2access-list 10 permit 192.168.4.0 0.0.0.255access-list 10 permit 192.168.6.0 0.0.0.255!route-map kk permit 10 match ip address 10!router ei...
ACL 限制访问
qq_51574973的博客
02-11 5502
ACL 筛选数据
HCIP-DatacomH12-821、831.zip
07-14
HCIP-DatacomH12-821、831.zip
关于华为ACL末尾的详解
qq_43008319的博客
06-03 5631
众所周知,华为ACL末尾是默认permit,思科的ACL末尾默认deny。 实际操作过来并不是这样的。因为错误的认知,还造成了业务中断。 例: 业务出口处需要对两个源IP进行引流至防火墙,通过出口配置PBR。回包直接指静态到防火墙。 ACL加了2条匹配源地址,末尾加了一条rule deny ip,最终结果是,引流的IP正常。其他所有业务不通。咨询华为工程师后,回复末尾加rule deny ip导致的。 最终通过模拟器测试得出以下结论。 华为ACL末尾机制: 末尾加rule permit ip 相当于p
ACL/Telnet/ 静态(动态)NAT
2401_84209888的博客
10-30 781
为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题,在边界路由器上维护一张源端口号和私网IP地址的映射关系表,因为端口号的取值范围是1-65535,故有65535个,所以NAPT同时支持通过的数据包的最大量即为65535个,这就形成了一对多的动态NAT,华为中称这种NAPT为EASY IP。静态NAT和动态NAT最大的区别在于---地址映射表的内容是可变化的,而不是写死的,所以动态NAT不在意一对一的关系,而是实现多对多的转化。在华为体系中末尾隐含允许所有,在思科体系中,末尾隐含拒绝所有。
acl 3000 # 创建高级ACL rule 5 permit vlan-id 128 destination vlan-id 110 # 允许VLAN 128访问VLAN 110 rule 10 permit vlan-id 2800 destination vlan-id 110 # 允许VLAN 2800访问VLAN 110 rule 100 deny ip destination vlan-id 110 # 显式拒绝其他VLAN访问VLAN 110
03-20
此外,用户可能误认为在ACL中直接使用vlan-id就可以控制不同VLAN之间的访问,但实际上需要正确配置路由和ACL的结合。如果ACL应用在路由接口上,可能需要基于IP地址进行过滤。 用户的需求可能是确保只有VLAN 128和...
ACL的原理与配置
ou_shen_xian的博客
10-17 1713
ACL原理与配置 ACL实现流量过滤 ACL是由一系列permit (允许)和demy(拒绝)语句组成的,有顺序的列表 ACL是一个匹配工具,能够对报文进行匹配和区分 ACL number 2000 ~2999 基本接口 ACL number 3000~3999 高级接口 rule 5 (默认步长5)permit source 1.1.1.0 0.0.0.255(Wildcard 通配符) rule 10 (默认步长5) deny source 2.2.2.0
D. acl number 2000 rule 5 deny source 100.0.12.0 0.0.0.255 # interface GigabitEthernet0/0/2 traffic-filter inbound acl 2000
最新发布
03-31
嗯,用户的问题是关于在华为设备上配置ACL规则,拒绝特定源IP地址段,并在指定接口上应用这个规则。首先,我需要回忆一下ACL的基本概念和配置步骤。ACL分为基本ACL和高级ACL,这用户提到的是ACL 2000,属于基本ACL...
Build a website to permit electronic voting and tabulation.rar
01-25
Build a website to permit electronic voting and tabulation
route-policy和ACL、ip-prefix组合时permitdeny的作用
04-24 3620
分析:1.1.0.0和1.1.1.0这两条路由,在route-policy的节点10上是permit,在ACL上也是permit,所以允许通过;分析:对于route-policy节点10,上边已经分析,1.1.0.0和1.1.1.0被允许通过,1.1.2.0这条路由在节点10被拒绝通过,但是会继续匹配下一个节点,在节点20被允许通过。,对于这种路由,在本节点被拒绝,会到下一个节点进行匹配,因为节点20是是空的,所以1.1.2.0会被允许通过,其他没有被ACL2001匹配的路由会被空节点20匹配通过。
pam_permit.so…pam_deny.so…pam_time.so…pam_echo.so…pam_limits.so
weixin_33810006的博客
12-04 759
OS version:Red Hat Enterprise Linux Server release 6.4Kernel version:2.6.32-358.el6.x86_64-------------------------------------------------------------------------准备工作:[root@Zhai ~]# groupa...
ACL技术配置
热门推荐
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
10-31 1万+
ACL华为命令 1.基本ACL配置 [Huawei]acl number 2000 ###创建acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加) [Huawei] interface GigabitEthernet 0/0/1 [ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254
安全访问控制列表ACL实战讲解
Bert_Wang的博客
08-26 1934
一、企业网络安全 企业网络中的网络设备进行通信,需要保证数据可靠性和安全性。 现网中通过使用硬件防火墙或WAF、流量清洗设备保证企业安全,同时路由交换层面可以使用 ACL确保网络的安全。 二、ACL功能 1、网络控制 2、限制流量 3、提高网络性能 4、防止网络攻击 三、ACL实战一 1、拓扑以OSPF为协议背景 2、基本OSPF关键配置 R1 OSPF关键配置: [R1]display current-configuration configuration ospf .
ACL入门指南:如何使用它轻松保护网络安全
weixin_43263566的博客
12-07 6659
ACL包过滤技术
访问控制列表
weixin_34067102的博客
06-27 1117
创建ACL命令语法如下:Router(config)# access-list access-list-number { permit | deny } protocol { sourcesource-wildcard destination destination-wildcard } [ operator operan ] 下面是命令参数的详细说明:acce...
ACL的原理和基本配置
a664566的博客
02-22 4969
ACL: access control list , 访问控制列表, -作用: 在设备上进行流量的过滤; -类型: @基本ACL *表示: 2000 ~ 2999 *特点:只能匹配数据包的源IP地址 (匹配数据包不精确) @高级ACL *表示: 3000 ~ 3999 *特点: 可以同时匹配数据包的源、目标、协议号、源端口、目标端口信息; (匹配数据包精确) -原理: *ACL通常是调用在“数据...
基本的访问控制列表 ACL
weixin_44551911的博客
09-26 1868
访问控制列表ACL(Access Control List)是由permitdeny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包可以拒绝。 基本的ACL可以使用报文的源IP地址、时间段信息来定义规则,编号范围2000~2999.一个ACL可以由多条“deny/permit”语句组成,每一条语句描述一条规则,m每条规则则有一个Rule-ID。Rule
华为acl默认是deny
03-21
<think>好的,用户的问题是关于华为ACL的默认行为,具体是permit还是deny。我需要先回忆一下华为ACL的相关知识,并结合提供的引用内容来回答。 首先,ACL(访问控制列表)在华为设备中用于过滤流量或路由。根据引用中的信息,当ACL与traffic policy或route-policy结合使用时,行为由两者的规则共同决定。例如,引用[3]提到,如果ACLdeny的,在route-policy的节点中被拒绝的路由会继续进入下一个节点匹配,而ACLpermit的则停止匹配。这说明ACL本身的规则会影响最终结果,但默认行为可能取决于ACL的类型。 通常,ACL分为基本ACL和高级ACL,而华为ACL默认情况下,如果在没有匹配任何规则的情况下,默认动作是什么。根据常见网络设备的配置,多数ACL默认是deny any,即如果没有规则匹配,则拒绝。但需要确认华为的具体实现。 引用[3]提到“route-policy默认隐含拒绝通过,没有被匹配的路由默认拒绝”,这可能暗示ACL在没有明确允许的情况下默认拒绝。此外,当ACL中的规则没有匹配时,默认处理方式为deny,这与许多厂商的ACL行为一致。 因此,华为ACL的默认规则应该是deny,即如果数据包或路由没有匹配到任何ACL规则,则会被拒绝。这也符合引用中提到的组合使用时,未匹配的路由默认被拒绝的情况。</think>华为ACL(访问控制列表)的默认规则是 **拒绝所有未明确允许的流量或路由**。具体表现为: 1. **当ACL未配置任何规则时**,默认行为是 **deny**,即拒绝所有流量或路由通过。 2. **当ACL包含规则但未匹配任何条目时**,同样默认 **deny**,即未匹配的流量或路由会被拒绝[^3]。 ### 详细说明 - **ACL与流策略结合时**:若ACL规则为`permit`,则允许匹配的流量通过;若为`deny`,则拒绝匹配的流量。未匹配任何规则的流量会被默认拒绝[^1]。 - **ACL与路由策略(route-policy)结合时**: - 若ACL规则为`deny`,则匹配的路由在当前节点被拒绝,但会继续匹配后续节点[^2]。 - 若ACL规则为`permit`,则匹配的路由直接通过,不再进入后续节点匹配。 - **无论ACL规则如何,未匹配的路由均被默认拒绝**。 ### 示例场景 若配置如下ACL: ``` acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 ``` - 允许`192.168.1.0/24`网段的流量,其他未明确允许的流量(如`192.168.2.0/24`)会被默认拒绝。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

周三叁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值