1樓:影視老港
acl匹配:
預設情況下,系統按照acl規則編號從小到大的順序進行報文匹配,規則編號越小越容易被匹配。
報文與acl規則匹配後,會產生兩種匹配結果:「匹配」和「不匹配」。
匹配(命中規則):指存在acl,且在acl中查詢到了符合匹配條件的規則。不論匹配的動作是「permit」還是「deny」,都稱為「匹配」,而不是隻是匹配上permit規則才算「匹配」。
匹配上permit:允許
匹配上deny:拒絕
無論報文匹配acl的結果是「不匹配」、「允許」還是「拒絕」,該報文最終是被允許通過還是拒絕通過,實際是由應用acl的各個業務模組來決定的。不同的業務模組,對命中和未命中規則報文的處理方式也各不相同。
不匹配(未命中規則):指不存在acl,或acl中無規則,再或者在acl中遍歷了所有規則都沒有找到符合匹配條件的規則。切記以上三種情況,都叫做「不匹配」。
2樓:蕭蕭瑟瑟
acl number 2003 acl規則2003
rule deny tcp source 192.168.0.
2 0.0.0.
0 destination 192.168.2.
1 0.0.0.
255 destination-port eq ftp
規則 拒絕 tcp協議 源地址為192.168.0.
2這個主機到目的地址為192.168.2.
1/255.255.255.
0這個網段的目的埠等於ftp協議的
rule permit ip source 192.168.0.
2 0.0.0.
0 destination 192.168.2.
0 0.0.0.
255規則 允許 ip協議 源地址為192.168.0.2這個主機到目的地址為192.168.2.0/255.255.255.0這個網段。
以上兩條規則可以這樣理解。
允許192.168.0.
2這個pc訪問192.168.2.
0/24這個網段,但是拒絕到所有到192.168.2.
0/24這個網段pc機ftp服務。
也就是說,禁止使用ftp服務,其他服務照樣好使。
另外裡面的eq和destination-port什麼意思?
eq是等於這個埠。eq後一定會跟個數字(1-65535)。這個就是埠號。
destination-port是目的埠,也就是標明後面的埠是目的地址的埠。
3樓:戲裡話外
destination-port 是目標埠
eq是比較操作
4樓:希實邢雙
aclnumber
3111
建立acl
高階訪問控制列表3111
rule
1permit
ipsource
172.16.1.0
0.0.0.255
定義小規則1
允許源ip為172.16.1.0/24(255.255.255.0)的網段訪問目標地址為any(所有的ip)地址
aclnumber
3112
建立acl高階訪問控制列表3112
rule
0permit
ipsource
172.16.1.2000同上
定義小規則0允許源172.16.1.200/32(255.255.255.255)這一個主機訪問目標為any的地址
aclnumber
3113
定義3113規則
rule
0permit
ip小規則0允許源ip地址為any(所有)到目標地址為any地址。
#acl
name
lan建立acl為名字的規則,規則名為lanrule
0permit
小規則0允許源ip地址為any(所有)到目標地址為any地址。
#intte***ce
aux0
非同步埠、為系統預設。一般無用。
async
mobe
flow
2000-2999
的acl規則為標準acl
只能定義源ip地址
3000-3999
的acl規則為高階acl
能夠定義源ip地址和目的ip地址。
只定義acl
而不引用是無效的。你這幾條acl肯定在某一埠下引用了。
關於華為usg裝置acl的配置問題 30
5樓:匿名使用者
防火牆預設允許,acl規則最後要加一條拒絕所有才能生效
6樓:路人優
華為的手機真是毛病多啊,都是華為的問題
求助 華為 交換機 acl配置
7樓:想洗澡的太陽
你這個acl應用在了什麼位置。你應用在int vlan2 上,acl為outbound,acl 的source為vlan 2的地址段,des為vlan 10 的地址段
8樓:
1、預設不通,除非這臺交換機開啟了路由功能
2、rule 1 deny ip soure 10.1.2.
0 0.0.0.
255 destination 10.1.10.
0 0.0.0.
255(規則1,禁止10.1.2.0/24以任何ip協議的方式訪問10.1.10.0/24)
你只是配置了規則,並未執行規則,明白嗎
在交換機的埠檢視下
inte***ce ethernet0/24
port access vlan 1002
packet-filter inbound ip-group 3000 rule 1
這才算是24號埠執行了acl 3000裡的規則1
3、開啟了路由功能的話,要想所有的vlan都能訪問vlan 1也不難
如果想限制到底的話,還是配置acl規則啊
rule 2 permit ip source ip地址 destination vlan1的地址
然後給埠配置上去
9樓:匿名使用者
1、vlan之間預設是不能夠通訊的,除非你的交換機支援路由功能並啟了路由功能(是否支援路由功能聯絡廠家工程師諮詢下),或者有路由器裝置。可以通過每個vlan 電腦驗證下看否通?如果vlan之間有路由的話,這時才有必要寫acl;
2、rule 1 ip permit ip soure any destination 10.1.1.0 0.0.0.255
把這一條acl應用到除預設vlan 1之外的其他vlan介面,或者物理介面,方向:outbond
3、只要交換機開啟了路由功能後,就會在交換機上產生所有vlan的直連路由。因此所有vlan都可以通訊。要用acl來限制vlan間互訪。
關於華為acl的問題 10
10樓:嗯很幼稚集
acl num 2000
rule permit source 192.168.10.10 0 0表示單一ip地址
......中間省略。
rule permit source 192.168.10.
60 0將此acl下發到外網介面,nat out 2000也就是acl裡定義的ip地址可以訪問外網,用定義nat的acl來控制,不增加的ip地址,就不能上網。新增的就能上外網
華為acl應用到vlan配置
11樓:用著追她
1、使用system-view命令進入模式。
檢視大圖" >
2、建立一個vlan,[quidway]vlan 2。
3、新增埠[quidway-vlan2]port
ethernet 0/0/13 to 0/0/15。
4、然後使用display current檢視埠是否屬於這個vlan。
5、配置vlan ip,[quidway]inte***ce vlanif 2。
6、配置vlanif ip地址[quidway]inte***ce vlanif 2,[quidway-vlanif2]ip address 10.10.100.
1 255.255.255.
0。7、完成之後電腦接入到vlan2的介面上並設定好ip地址,然後ping 10.10.100.1是否正常。
12樓:中田一少
acl(accesscontrollist,訪問控制列表)即是通過配置對報文的匹配規則和處理操作來實現包過濾的功能。
acl通過一系列的匹配條件對報文進行分類,這些條件可以是報文的源mac地址、目的mac地址、源ip地址、目的ip地址、埠號等。
伺服器區所有伺服器閘道器均在核心交換機上,共有9個vlan,9個網段分別如下;vlan10-vlan11網段分別為10.0.10.
0/24-10.0.11.
0/24vlan14-vlan19網段分別為10.0.14.
0/24-10.0.19.
0/24
交換機管理vlan為vlan1:10.0.13.0/24,核心交換機的管理ip為10.0.13.254,其餘接入交換機閘道器均在核心交換機上;
客戶端共有8個vlan,分別為vlan20-vlan100,網段分別為10.0.20.0/24-10.0.100.0/24,閘道器均在核心交換機上;
3需求一:對伺服器區伺服器做安全防護,只允許客戶端訪問伺服器某些埠
由於網路環境拓撲為客戶端——客戶端接入交換機——核心交換機——防火牆——伺服器接入交換機——伺服器,也即客戶端訪問伺服器需要通過防火牆,所以對伺服器的防護應該放到防火牆上來做,因為若用交換機來做過濾,配置麻煩且失去了防火牆應有的作用(此處不做防火牆配置介紹);
4需求二:交換機只允許固定管理員通過ssh登陸
此處做防護有較為方便的倆種方法
一:在所有交換機配置vty時,呼叫acl只允許源為網路管理員的ip訪問,但此方法雖配置不復雜,但是配置工作量較大需要在所有交換機上配置,而且不靈活例如在網路管理員人員或者ip變遷時,需要重新修改所有交換機acl,所以並不是首選方案;
二:因為管理交換機管理vlan與所有客戶端vlan不在同一vlan,也即客戶端訪問接入交換機必須通過核心交換機,所以可以在核心交換機上做acl來控制客戶端訪對接入交換機的訪問,核心交換機的訪問通過vty來呼叫acl;配置部分在下面;
5需求三:客戶端vlan之間不能互相訪問,客戶端只允許訪問伺服器vlan
一:在核心交換機上的所有連結客戶端接入交換機埠做acl,只放行訪問伺服器的流量,拒絕其餘流量,但由於客戶端接入交換機約有幾十臺,所以配置工作量大幾十個埠都需要配置,所以也不是首選方案;二:在核心交換機上的客戶端vlan做acl,只放行訪問伺服器的流量,拒絕其餘流量,由於客戶端vlan共有8個所以相對於在物理介面上做acl而言,工作量較小,所以選擇此方案;
6配置部分
6.1acl配置部分
aclnumber2000
rule5permitsource10.0.20.110
rule10permitsource10.0.21.150
rule15deny
//定義允許訪問核心交換機的倆位網路管理員ip地址;
aclnumber3000
rule51permitipdestination10.0.10.00.0.0.255
rule53permitipdestination10.0.12.00.0.0.255
rule55permitipdestination10.0.14.00.0.0.255
rule56permitipdestination10.0.15.00.0.0.255
rule57permitipdestination10.0.16.00.0.0.255
rule58permitipdestination10.0.17.00.0.0.255
rule59permitipdestination10.0.18.00.0.0.255
rule60permitipdestination10.0.19.00.0.0.255
//定義所有客戶端只允許訪問伺服器vlan
rule71permittcpsource10.0.20.
110destination10.0.13.
00.0.0.
255destination-porteq22
rule72permittcpsource10.0.21.
150destination10.0.13.
00.0.0.
255destination-porteq22
下列關於氯的說法正確的是ACl
c試題分析 氯氣中baicl為0價,處於中du間價,既有zhi氧化性又dao有還原性,a錯誤 35 17cl 37 17cl質子數相內 同 中子數不同容,是不同的核素,它們電子數相同,化學性質相同,b錯誤 工業上電解飽和食鹽水獲得氫氧化鈉 氯氣和氫氣,c正確 1.12lcl2 物質的量不一定是0.0...
CISCO交換機ACL配置方法,cisco交換機怎麼配置acl?????
cisco交換機acl配置方法如下 標準訪問列表配置例項 r1 config access list 10 deny 192.168.2.0 0.0.0.255 r1 config access list 10 permit any r1 config int fa0 0.1 r1 config s...
思科三層交換機ACL配置,思科三層交換機ACL配置
int vlan 2 ip add 192.168.0.1 255.255.255.0int vlan 3 ip add 192.168.3.1 255.255.255.0int vlan 4 ip add 192.168.4.1 255.255.255.0int vlan 5 ip add 192...