HCIA-ACL
一、基本概念
1、概念:ACL即访问控制列表,是一种基于包过滤的访问控制技术。由一条或多条规则组成的集合,通过定义动作来确保哪些数据包可以通过,哪些需要被阻止。
2、基本原理:ACL 通过规则对数据包分类,规则定义了源地址、目的地址、端口号等匹配条件。设备依据这些规则匹配报文,再根据应用 ACL 的业务模块的处理策略,决定允许或阻止报文通过。
3、作用:用于匹配指定流量或路由,可以针对控制层面进行匹配也可以针对转发层面进行匹配。
二、ACL分类
| ACL 类型 | 编号范围 | 匹配依据 | 应用场景 |
|---|---|---|---|
| 基本 ACL | 2000 - 2999 | 根据报文的源 IP 地址进行过滤 | 对特定网段或特定 IP 进行整体控制,如限制某个部门访问外部网络 |
| 高级 ACL | 3000 - 3999 | 根据报文的源 IP /目的 IP 地址、协议(TCP、UDP、ICMP 等)、源目端口号等进行过滤 | 适用于精细控制场景,如特定 IP 访问服务器特定端口或限制协议流量 |
| 二层 ACL | 4000 - 4999 | 根据源 MAC 地址、目的 MAC 地址和以太帧协议类型等二层信息对报文进行过滤 | 在交换网络中,控制不同 MAC 地址设备间的通信,防止非法 MAC 地址设备接入网络 |
| 用户自定义 ACL | 5000 - 5999 | 允许用户根据需求定义特定匹配规则,可结合多种条件灵活配置 | 基本、高级和二层 ACL 无法满足特殊访问控制需求时使用 |
| 用户 ACL | 6000 - 6999 | 基于 IP 地址、端口号、协议类型等网络和传输层信息过滤数据包,用户身份识别与认证,依据用户身份、角色、权限决定其对网络资源的访问权限。 | 基本、高级和二层 ACL 无法满足特殊访问控制需求时使用 |
三、ACL的组成
①规则编号:标识规则的顺序,设备按照规则编号从小到大的顺序依次匹配规则。规则编号可以手动指定,也可以由系统自动分配,默认步长等于5。
②动作:分为允许(permit)和拒绝(deny)两种,决定了匹配该规则的数据包是可以通过还是被阻止。
③匹配条件:主要是源/目的 IP 地址、协议类型、端口号等。
四、ACL匹配机制
1、匹配规则
①顺序匹配:设备按规则编号从小到大的顺序,依次将数据包与 ACL 规则进行匹配。
②一旦匹配即停止:当数据包与某条规则相匹配时,设备会立刻依据该规则的动作(允许或拒绝)处理数据包,不再对后续规则进行匹配。
2、常用匹配项
①生效时间段:所有 ACL 都能依据生效时间段对报文进行过滤,实现不同时间段设置不同访问策略。
②协议:高级 ACL 可基于协议类型过滤报文,常见协议如 ICMP、TCP、UDP、GRE、IGMP 等。
③源 / 目的 IP 地址及其通配符掩码:用于明确允许或拒绝访问的源和目的 IP 地址范围。
通配符:可以出现0或者1的间隔,长度为32bit,点分十进制标识;用于指示IP地址中,那些比特需要严格匹配,哪些比特不需要匹配。“0”表示匹配,’1‘表示随机分配
五、应用位置
1、接口:可以将 ACL 应用到设备的物理接口或逻辑接口的入方向(inbound)或出方向(outbound),对经过该接口的数据包进行过滤。
2、VLAN:在交换机上,可以将 ACL 应用到 VLAN,控制不同 VLAN 之间的通信。
3、路由协议:用于控制路由信息的接收和发布
六、注意事项
1、规则顺序:由于 ACL 是按照规则编号顺序匹配的,因此规则的顺序非常重要。不合理的规则顺序会导致某些规则无法生效。
2、默认规则:在 ACL 的最后通常有一条隐含的拒绝所有规则(deny any),如果前面的规则都不匹配,数据包将被拒绝。华为设备ACL匹配流量默认放行,匹配路由默认拒绝所有。
相关文章:
HCIA-ACL
一、基本概念 1、概念:ACL即访问控制列表,是一种基于包过滤的访问控制技术。由一条或多条规则组成的集合,通过定义动作来确保哪些数据包可以通过,哪些需要被阻止。 2、基本原理:ACL 通过规则对数据包分类,…...
深入解析 React 最新特性:革新、应用与最佳实践
深入解析 React 最新特性:革新、应用与最佳实践 1. 引言 React 作为前端开发的核心技术之一,近年来不断推出 新的 API 和优化机制,从 Concurrent Rendering(并发模式) 到 Server Components(服务器组件&a…...
通信协议传输过程中的序列化和反序列化机制
在通信协议的传输过程中,序列化和反序列化是核心机制之一。它们影响数据的传输效率、兼容性和解析速度,特别是在分布式系统、RPC(远程过程调用)、消息队列和微服务架构中至关重要。 1. 什么是序列化和反序列化? 序列化…...
在IDEA中连接达梦数据库:详细配置指南
达梦数据库(DM Database)作为国产关系型数据库的代表,广泛应用于企业级系统开发。本文将详细介绍如何在IntelliJ IDEA中配置并连接达梦数据库,助力开发者高效完成数据库开发工作。 准备工作 1. 下载达梦JDBC驱动 访问达梦官方资…...
OkHttp 的证书设置
在 Android 开发中,通过 OkHttp 自定义 SSLSocketFactory 和 X509TrustManager 可以有效增强 HTTPS 通信的安全性,防止中间人攻击(如抓包工具 Charles/Fiddler 的拦截)。以下是实现防抓包的关键技术方案: 一、Okhttp设…...
机器视觉工程师如何学习C#通讯
建议大家可以提前测试,真实模拟现场的情况,或者采用虚拟串口,虚拟网口频繁测试通讯的稳定性,以后有现场需要,可以快速布局到现场。 机器视觉工程师学习C#通讯协议需要结合工业场景需求,掌握基础协议原理、常…...
数字电子技术会被淘汰吗?模拟电子技术的未来发展与应用
引言 当今世界正处在数字电子技术飞速发展的时代。自上世纪中叶以来,集成电路中的晶体管数量按照摩尔定律呈指数级增长,计算设备性能大幅提升。一个典型例子是,我们口袋中的智能手机拥有的运算能力远超早期计算机:iPhone 14的处理…...
基于yolov8+streamlit实现目标检测系统带漂亮登录界面
【项目介绍】 基于YOLOv8和Streamlit实现的目标检测系统,结合了YOLOv8先进的目标检测能力与Streamlit快速构建交互式Web应用的优势,为用户提供了一个功能强大且操作简便的目标检测平台。该系统不仅具备高精度的目标检测功能,还拥有一个漂亮且…...
软件性能测试与功能测试联系和区别
随着软件开发技术的迅猛发展,软件性能测试和功能测试成为了确保软件质量的两个重要环节。那么只有一字之差的性能测试和功能测试分别是什么?又有哪些联系和区别呢? 一、软件性能测试是什么? 软件性能测试是为了评估软件系统在特定条件下的表现,包…...
交易系统【三】网关
第二章本来是要讲消息总线,审核说是过度宣传,就放弃了,不纠结,先跳过。 网关和消息总线的底层技术都和网络相关,两者也有很重要的差别。消息总线主要用于内网,受交换机和网卡影响比较大,网络状…...
Axure设计之堆叠柱状图教程(中继器)
堆叠柱状图是一种常用的数据可视化工具,它通过在同一柱状图内堆叠不同类别的数据,以展示每个类别在总体中的贡献或占比。堆叠柱状图不仅可以帮助我们观察数据的总量,还能清晰地揭示各部分之间的关系和变化趋势。以下是一个使用Axure制作动态效…...
antd的Form表单校验的方式有几种
Ant Design 的 Form 组件提供了多种灵活的表单校验方式,以下是常见的几种方法及示例: 1. 内置校验规则 通过 rules 配置预定义的校验规则(如必填、长度、格式等)。 <Form.Itemname"email"label"邮箱"rul…...
前端面试:React hooks 调用是可以写在 if 语句里面吗?
在 React 中,Hooks 是一种新的特性,允许你在函数组件中使用状态(state)和其他 React 特性。非常重要的一点是,React Hooks 必须遵循特定的规则,以确保组件的行为一致。 React Hooks 使用规则 只能在函数组…...
本地部署Hive集群
规划 服务机器Hive本体部署在Node1元数据服务所需的关系型数据库(MYSQL)部署在Node1 安装MYSQL数据库 # 更新密钥 rpm --import https://repo.mysql.com/RPM-GPG-KEY-mysql-2022# 安装Mysql yum库 rpm -Uvh http://repo.mysql.com//mysql57-community-release-el7-7.noarch.…...
CNN的激活函数
我们来对比 Sigmoid、Softmax 和 ReLU 这三种激活函数的相同点和不同点,并分别说明它们相较于其他两种激活函数的优点。 相同点 都是非线性激活函数: 这三种激活函数都能为神经网络引入非线性特性,使网络能够学习复杂的模式。 广泛应用于深度…...
【愚公系列】《高效使用DeepSeek》001-什么是DeepSeek
标题详情作者简介愚公搬代码头衔华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,亚马逊技领云博主,51CTO博客专家等。近期荣誉2022年度…...
零成本本地化搭建开源AI神器LocalAI支持CPU推理运行部署方案
文章目录 前言1. Docker部署2. 简单使用演示3. 安装cpolar内网穿透4. 配置公网地址5. 配置固定公网地址 前言 嘿,小伙伴们!今天给大家带来一个超酷的黑科技——LocalAI。没错,你没听错,就是那个能在你的个人电脑上运行大型语言模…...
Visual Studio Code 基本使用指南
Visual Studio Code(简称 VSCode)是一款由微软开发的免费、开源、跨平台的代码编辑器,凭借其轻量级设计、丰富的插件生态和强大的功能,成为全球开发者的首选工具。本文将从安装配置到核心功能,全面解析 VSCode 的基本使…...
git使用命令总结
文章目录 Git 复制创建提交步骤Git 全局设置:创建 git 仓库:已有仓库? 遇到问题解决办法:问题一先git pull一下,具体流程为以下几步: 详细步骤 Git 复制 git clone -b RobotModelSetting/develop https://gitlab.123/PROJECT/123.git创建提…...
内容中台的核心架构是什么?
模块化架构设计解析 内容中台的模块化架构通过分层解耦实现灵活扩展,其核心由基础资源层、能力服务层与业务应用层构成。基础层以统一数据治理体系为支撑,通过标准化接口实现结构化与非结构化数据的统一存储,例如Baklib采用分布式存储架构保…...
【小白向】Ubuntu|VMware 新建虚拟机后打开 SSH 服务、在主机上安装vscode并连接、配置 git 的 ssh
常常有人问VMware-Tools装了也复制粘贴不了怎么办,这个东西影响因素太多了,具体解决办法你们可以参考一下:【经验】VMware|虚拟机只能使用鼠标无法使用键盘、装不了或装了VMware-Tools无法复制粘贴的可能解决办法_增强型键盘驱动程…...
深度学习 bert与Transformer的区别联系
BERT(Bidirectional Encoder Representations from Transformers)和Transformer都是现代自然语言处理(NLP)中的重要概念,但它们代表不同的层面。理解这两者之间的区别与联系有助于更好地掌握它们在NLP任务中的应用。 …...
bootloader相关部分
简单说明 程序烧录的方式主要有ICP,ISP,IAP 其中ICP就是常用的jlink等工具 ISP就是利用MCU自带的一些特殊引脚烧录,比如uart IAP就是利用用户写的bootloader代码烧录 bootloader主要分为三层,厂家出厂的bootrom ,用户自己写的bootloader,…...
idea cpu干到100%的解决方法?
一、环境信息 idea版本: IntelliJ IDEA 2024.1.7 (Ultimate Edition) jdk版本: 1.8 操作系统版本: win10 二、解决办法 Help >> Change Memory Settings设置成2048M后重启idea 三、说明 idea将cpu打满后电脑会相当卡顿,Change Memory Settings后idea内…...
【 Fail2ban 使用教程】
Fail2ban 使用教程 1. 安装 Fail2ban2. 配置 Fail2ban2.1 创建 jail.local 文件2.2 基本配置参数说明2.3 配置具体服务的监控规则2.3.1 SSH 服务2.3.2 Apache 服务 3. 启动和管理 Fail2ban3.1 启动 Fail2ban 服务3.2 设置 Fail2ban 开机自启3.3 检查 Fail2ban 服务状态3.4 重新…...
AI+视频监控电力巡检:EasyCVR视频中台方案如何赋能电力行业智能化转型
随着电力行业的快速发展,电力设施的安全性、稳定性和运维效率变得至关重要。传统视频监控系统在实时性、智能化及多系统协同等方面面临严峻挑战。EasyCVR视频中台解决方案作为一种先进的技术手段,在电力行业中得到了广泛应用,为电力设施的监控…...
C++从入门到入土(七)——多态
目录 前言 多态的概念 多态的定义 虚函数的介绍 虚函数的重写/覆盖 析构函数的重写 override和final关键字 纯虚函数和抽象类 重写/重载/隐藏总结 多态的原理 小结 前言 C一共有三个特性,封装、继承和多态,在前面的文章中,我们分别…...
新闻网页信息抽取
1. 网页信息抽取 问题定义:对新闻网页(输入为HTML)提取结构化信息,包括标题、发布时间、作者、正文、图片等。 动机:由于网页(大多数为HTML格式)通常带有很多标签、样式、脚本等信息࿰…...
MySQL中有哪些索引
1,B-Tree索引:常见的索引类型 2,哈希索引:基于哈希表实现,只支持等值查询 ,只有Memory存储引擎和NDB Cluster存储引擎显示支持哈希索引 3,全文索引:可在字符列上创建(T…...
Docker 部署Spring boot + Vue(若依为例)
首先我们要在docker中安装好环境镜像 jdk. mysql. redis. nginx 镜像安装我们在上一篇文章中已说明,请大家自行查看。 下面我介绍部署步骤 部署后台jar 在你的工作目录下新建application 用来存放后台jar包 1.将打好的jar包上传 2.编写Dockerfile文件&#…...