路由器基础(十一):ACL 配置
访问控制列表 (Access Control List,ACL) 是目前使用最多的访问控制实现技术。访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk 等。访问控制列表可以分为基本访问控制列表和高级访问控制列表。ACL的默认执行顺序是自上而下,在配置时要遵循最小特权原则、最靠近受控对象原则及默认丢弃原则。
一、华为设备ACL 分类
分类 | 编号范围 | 支持的过滤选项 |
基本 ACL | 2000~ 2999 | 匹配条件较少,只能通过源IP地址和时间段来进行流量 匹配,在一些只需要进行简单匹配的功能中可以使用 |
高级 ACL | 3000~ 3999 | 匹配条件较为全面,通过源IP地址、目的IP地址、ToS、 时间段、协议类型、优先级、ICMP报文类型和ICMP报 文码等多个维度对流量进行匹配,在大部分功能中都可 使用高级ACL进行精确流量匹配 |
基于 MAC 地址的 ACL | 4000~ 4999 | 由于数据链路层使用MAC地址来进行寻址,所以在控制 数据链路层帧时需要通过MAC地址来对流量进行分类。 基于MAC地址的ACL就可以通过源MAC地址、目的MAC 地址、CoS、协议码等维度来进行流量匹配 |
用户自 定义 | 5000- 5999 | 用户自定义ACL |
二、ACL规则匹配方式
(1)配置顺序。
配置顺序根据ACL规则的ID进行排序,ID小的规则排在前面,优先进行匹配。当找到第一条匹配条件的规则时,查找结束。系统按照该规则对应的动作处理。
(2)自动顺序。
自动顺序也叫深度优先匹配。此时ACL规则的ID 由系统自动分配,规则中指定数据包范围小的排在前面,优先进行 匹配。当找到第一条匹配条件的规则时,查找结束。系统按照该规则对应的动作处理。
1)对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺序。
2)对于高级访问控制规则,首先比较协议范围,再比较源地址通 配符,都相同时比较目的地址通配符,仍相同时则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。
三、ACL 配置步骤
(1)执行命令system-view, 进入系统视图。
(2)执行命令acl [number]acl-number [match-order{config|auto }],创建基本ACL 并进入相应视图。
1)acl-number 的取值决定了ACL 的类型,ACL 的取值范围基本在2000~2999之间。
2)match-order 指定了ACL 各个规则之间的匹配顺序:选择参数config,ACL 的匹配顺序按照规则ID来排序,ID小的规则排在前面,优先匹配;选择参数auto, 将使用深度优先的匹配顺序。默认值是config, 按照规则ID来排序。
(3)执行命令,创建基本ACL 规则。
rule[rule-id]{deny|permit}[logging|source{source-ip-address{0|sourcewildcard}|address-setaddress-set-name|any}time-rangetime-name]*[descriptiondescription]
配置注意:
如配置时没有指定编号rule-id, 表示增加一条新的规则,此时系 统会根据步长,自动为规则分配一个大于现有规则最大编号且是 步长整数倍的最小编号。如配置时指定了编号rule-id,如果相应 的规则已经存在,表示对已有规则进行编辑,规则中没有编辑的 部分不受影响;如果相应的规则不存在,表示增加一条新的规则,并且按照指定的编号将其插入到相应的位置。
配置好ACL, 还需要将ACL 应用到相应的接口才会生效。应用ACL时,为了尽可能提高效率和降低对网络的影响,通常基本ACL 尽量部署在靠近目标主机的区域接口上,而高级ACL 尽量部署在靠近源主机所在区域的接口上。
四、典型例题
如下图所示,某公司的总部和分公司网络拓扑,分公司和总部数据中心通 过ISP1的网络和ISP2 的网络互连。并且连接5G出口作为应急链路,分公司和总部数据中心交互的业务有语音、视频、FTP和 HTTP四种。要求通过配置策略路由实现分公司访问业务分流。配置网 络质量分析(NQA) 与静态路由联动实现链路冗余。其中,语音和 视频以ISP1为主链路、ISP2 为备份;FTP 和 HTTP 以ISP2为主链路,ISP1为备份。
【问题1】(4分)
通过在R1上配置策略路由、以实现分公司访问总部的流量可根据业务类 型分组到L1和L2两条链路并形成主备关系,首先完成ACL 相关配置。
配置R1 上的ACL 来定义流:
首先定义视频业务流ACL2000:
[R1]ac12000
[R1-acl-basic-2000]rule 1 permit destination (1)0.0.255.255
[R1-acl-basic-2000]quit
定义Web业务流ACL 3000;
[R1]acl 3000
[R1-acl-adv-3000]rule 1 permit tcp destination any destination-port (2)0.0.255.255
[R1-acl-basic-3000]quit
答案:(1)2.2.0.0 (2)eq 80
【问题2】(8分)
完成R1策略路由剩余相关配置
1:创建流分类,匹配相关ACL 定义的流
[R1]traffic classifier video
[R1-classifier-video]if-matchacl 2000
[R1-classifier-video]quit
[Rl]traffic classifier web
[R1-classifier-web]if-match acl 3000
[R1-classifier-web]quit
2:创建流行为并配置重定向
[Rl]traffic behavior bl
[R1-behavior-bl]redirect ip-nexthop (3)
[R1-behavior-bl]quit
[R1]traffic behavior b2
[R1-behavior-b2]redirect ip-nexthop(4)
[R1-behavior-b2]quit
答案: (3)30.13.0.3 (4)40.14.0.4 (5)b2 (6)inbound
3:创建流策略,并在接口上应用
[R1]traffic policy pl
[R1-trafficpolicy-pl]classifier video behavior b1
[R1-trafficpolicy-pl]classifier web behavior (5)
[Rl-trafficpolicy-pl]quit
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]traffic-policy 1(6)
[R1-GigabitEthernet0/0/0]quit
答案:(5)b2(6)inbound
相关文章:

路由器基础(十一):ACL 配置
访问控制列表 (Access Control List,ACL) 是目前使用最多的访问控制实现技术。访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk 等。访问控制列表可以分为基本访问控制列表和高级访问控制…...

【今日文章】:如何用css 实现星空效果
【今日文章】:如何用css 实现星空效果 需求实现tips: 需求 用CSS 实现星空效果的需求: 屏幕上有“星星”,且向上移动。移动的时候,动画效果要连贯,不能出现闪一下的样子。 实现 这里我们需要知道,“星星”是…...

HackTheBox-Starting Point--Tier 1---Three
文章目录 一 题目二 实验过程 一 题目 Tags Web、Cloud、Custom Applications、AWS、AWS、Reconnaissance、Web Site Structure Discovery、Bucket Enumeration、Arbitrary File Upload、Anonymous/Guest Access译文:Web、云、定制应用程序、AWS、AWS、侦察、网站…...
Linux Alsa声卡驱动(2):Machine驱动
一:Simple Card Simple Card是ASoC通用的machine driver,可支持大部分标准声卡。 驱动:kernel/sound/soc/generic/simple-card.c compatible = "simple-audio-card"; 1、设备树属性 (1)协议 属性协议格式描述simple-audio-card,format i2si2s标准格式right_j…...
某综合性能源集团绩效考核设计项目纪实
——设置分层分类的考核指标、建立多维度评价体系,增加考核结果信服力 【客户行业】能源行业 【问题类型】薪酬管理 【客户背景】 某综合性能源跨国集团是一家专注于能源加工行业的民营跨国企业,业务覆盖能源工程建设、高端装备制造、能源勘探开发、专…...
ubuntu18.04 通过创建服务实现开机自启, 启动指定脚本
下面是具体的操作过程 切换目录到root cd /root/ 新建一个脚本 vi myscript.sh 添加内容:设置指定网卡的ip地址 (这里根据自己需要修改) #!/bin/bash ifconfig enp0s3 10.20.60.113 赋予执行权限 chmod x myscript.sh 新建一个服务 vi /etc/systemd/system/myscr…...

Tomcat 9.0.x 源码编译
文章目录 一、克隆源码二、构建 Maven1)在项目根目录中新建 pom.xml 文件2)然后 Add Maven Projects 三、在目录中增加 home 目录四、增加启动配置五、其它问题1)控制台乱码解决 2)启动后访问 localhost:8080 报错解决 一、克隆源…...

基于SSM的旅游管理系统的设计与实现
末尾获取源码 开发语言:Java Java开发工具:JDK1.8 后端框架:SSM 前端:采用JSP技术开发 数据库:MySQL5.7和Navicat管理工具结合 服务器:Tomcat8.5 开发软件:IDEA / Eclipse 是否Maven项目&#x…...

多目标优化中的“latent action”是什么?
2020 NeurIPS 中的“latent action”: Our model defines latent action as a boundary that splits the region represented by a node into a high-performing and a low performing region. 这里的latent action代表一个边界(分类器)&…...

上海亚商投顾:三大指数小幅下跌 CPO、算力板块集体爆发
上海亚商投顾前言:无惧大盘涨跌,解密龙虎榜资金,跟踪一线游资和机构资金动向,识别短期热点和强势个股。 一.市场情绪 沪指早间低开后震荡,午后一度拉升翻红,创业板指盘中跌近1%,随后探底回升跌…...
【C语法学习】19 -关闭和刷新文件
文章目录 1 关闭文件1.1 fclose()函数1.1.1 函数原型1.1.2 参数1.1.3 返回值 1.2 fcloseall()函数1.2.1 函数原型1.2.2 参数1.2.3 返回值 2 刷新文件2.1 缓冲区的概念2.2 缓冲区的刷新2.2.1 fflush()函数2.2.1.1 函数原型2.2.1.2 参数2.2.1.3 返回值 2.2.2 flushall()函数2.2.2…...

制作吉他谱软件Guitar Pro8中文版本
前面提到了使用Guitar Pro制作吉他谱的步骤,除此以外,在最新的Guitar Pro 8版本中,还新增了制作简谱的功能。 在窗口右侧的乐谱中,选择简谱按钮,可以打开乐谱的简谱编辑模式。 Guitar Pro-Guitar Pro 8 win-安装包ht…...

SpringBoot整合JUnit
1.创建新项目 说明:创建springboot_04_junit项目,选择对应的版本。 2.接口类 说明:新建BookDao接口。 package com.forever.dao;public interface BookDao {public void save(); }3.实现类 说明: 新建BookDaoImpl实现类。 pa…...

华为取消6000万订单影响在扩大,高通嘴硬强调不受影响
高通公布了2023年第三季度的业绩,业绩显示营收下滑24%,净利润下滑36%,不过高通强调预计今年四季度业绩将回升,意思是说华为取消订单带来的影响较小。 一、高通处境不利已延续4年时间 2019年美国对华为采取措施,众多中国…...

培训心得怎么写?CHAT帮你解决问题
问CHAT:请写一篇入职教师的培训心得 CHAT回复:作为一名新入职的教师,我非常感谢学校给予的这次培训机会。此次培训让我收获颇丰,无论是在教学理念、教学技巧上,还是在如何与学生、家长建立良好关系方面,都有…...

AJAX-解决回调函数地狱问题
一、同步代码和异步代码 1.同步代码 浏览器是按照我们书写代码的顺序一行一行地执行程序的。浏览器会等待代码的解析和工作,在上一行完成之后才会执行下一行。这也使得它成为一个同步程序。 总结来说:逐行执行,需原地等待结果后࿰…...

【Mac开发环境搭建】JDK安装、多JDK安装与切换
文章目录 JDK下载与安装下载安装 配置环境变量安装多个JDK共存 JDK下载与安装 下载 Oracle官网提供了非常多个版本的JDK供下载,可以点击如下链接重定向到JDK下载页面 ORACLE官网JDK下载 安装 下面的官方文档可以点开收藏到浏览器的收藏夹,这样后续在开…...
C,C++,JAVA的区别与联系
C、C和Java是三种常见的编程语言,它们有一些区别和联系。 区别: 1. 语言类型:C是一种过程式编程语言,C是在C的基础上发展而来的面向对象编程语言,而Java是一种面向对象编程语言。 2. 语法:C语言相对较为…...

界面控件DevExpress WPF PDF Viewer,更快实现应用的PDF文档浏览
DevExpress WPF PDF Viewer控件可以轻松地直接在Windows应用程序中显示PDF文档,而无需在最终用户的机器上安装外部PDF查看器。 P.S:DevExpress WPF拥有120个控件和库,将帮助您交付满足甚至超出企业需求的高性能业务应用程序。通过DevExpress…...

nanodet训练自己的数据集、NCNN部署到Android
nanodet训练自己的数据集、NCNN部署到Android 一、介绍二、训练自己的数据集1. 运行环境2. 数据集3. 配置文件4. 训练5. 训练可视化6. 测试 三、部署到android1. 使用官方权重文件部署1.1 下载权重文件1.2 使用Android Studio部署apk 2. 部署自己的模型【暂时存在问题】2.1 生成…...

中南大学无人机智能体的全面评估!BEDI:用于评估无人机上具身智能体的综合性基准测试
作者:Mingning Guo, Mengwei Wu, Jiarun He, Shaoxian Li, Haifeng Li, Chao Tao单位:中南大学地球科学与信息物理学院论文标题:BEDI: A Comprehensive Benchmark for Evaluating Embodied Agents on UAVs论文链接:https://arxiv.…...

UE5 学习系列(三)创建和移动物体
这篇博客是该系列的第三篇,是在之前两篇博客的基础上展开,主要介绍如何在操作界面中创建和拖动物体,这篇博客跟随的视频链接如下: B 站视频:s03-创建和移动物体 如果你不打算开之前的博客并且对UE5 比较熟的话按照以…...
pam_env.so模块配置解析
在PAM(Pluggable Authentication Modules)配置中, /etc/pam.d/su 文件相关配置含义如下: 配置解析 auth required pam_env.so1. 字段分解 字段值说明模块类型auth认证类模块,负责验证用户身份&am…...
Spring AI与Spring Modulith核心技术解析
Spring AI核心架构解析 Spring AI(https://spring.io/projects/spring-ai)作为Spring生态中的AI集成框架,其核心设计理念是通过模块化架构降低AI应用的开发复杂度。与Python生态中的LangChain/LlamaIndex等工具类似,但特别为多语…...
laravel8+vue3.0+element-plus搭建方法
创建 laravel8 项目 composer create-project --prefer-dist laravel/laravel laravel8 8.* 安装 laravel/ui composer require laravel/ui 修改 package.json 文件 "devDependencies": {"vue/compiler-sfc": "^3.0.7","axios": …...

html css js网页制作成品——HTML+CSS榴莲商城网页设计(4页)附源码
目录 一、👨🎓网站题目 二、✍️网站描述 三、📚网站介绍 四、🌐网站效果 五、🪓 代码实现 🧱HTML 六、🥇 如何让学习不再盲目 七、🎁更多干货 一、👨…...

招商蛇口 | 执笔CID,启幕低密生活新境
作为中国城市生长的力量,招商蛇口以“美好生活承载者”为使命,深耕全球111座城市,以央企担当匠造时代理想人居。从深圳湾的开拓基因到西安高新CID的战略落子,招商蛇口始终与城市发展同频共振,以建筑诠释对土地与生活的…...

RabbitMQ入门4.1.0版本(基于java、SpringBoot操作)
RabbitMQ 一、RabbitMQ概述 RabbitMQ RabbitMQ最初由LShift和CohesiveFT于2007年开发,后来由Pivotal Software Inc.(现为VMware子公司)接管。RabbitMQ 是一个开源的消息代理和队列服务器,用 Erlang 语言编写。广泛应用于各种分布…...

2025年渗透测试面试题总结-腾讯[实习]科恩实验室-安全工程师(题目+回答)
安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。 目录 腾讯[实习]科恩实验室-安全工程师 一、网络与协议 1. TCP三次握手 2. SYN扫描原理 3. HTTPS证书机制 二…...
怎么让Comfyui导出的图像不包含工作流信息,
为了数据安全,让Comfyui导出的图像不包含工作流信息,导出的图像就不会拖到comfyui中加载出来工作流。 ComfyUI的目录下node.py 直接移除 pnginfo(推荐) 在 save_images 方法中,删除或注释掉所有与 metadata …...