技术经验分享:ACL(AccessControlList)

简介: 技术经验分享:ACL(AccessControlList)

"

一、ACL的简介

ACL(Access Control List 访问控制列表)是路由器和交换机接口的指令列表,用来控制端口进出的数据//代码效果参考:https://v.youku.com/v_show/id_XNjQwNjgzODMwNA==.html

包。ACL的定义也是基于每一种被动路由协议的,且适用于所有的被动路由协议(如IP、IPX、Apple Talk等),如果路由器接口配置成为三种协议(IP、Apple Talk和IPX),那么必须定义三种ACL来分别控制这三种协议的数据包。

二、ALC的作用

CL可以限制网络流量、提高网络性能;提供网络安全访问的基本手段;可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞,应用范围很广,如:路由过滤、Qos、NAT、Router-map、VTY等。

三、ACL的分类

根据过滤层次:基于IP的ACL(IP ACL)、基于MAC的ACL(MAC ACL),专家ACL(Expert ACL)。

根据过滤字段:标准ACL(IP ACL、MAC ACL)、扩展ACL(IP ACL、MAC ACL、专家ACL)。

根据命名规则:表号ACL、命名ACL。

四、ACL规范和原则

自上//代码效果参考:https://v.youku.com/v_show/id_XNjQwNjgzNTEwNA==.html

而下,优先匹配,末尾隐含拒绝。

一个ACL的配置是基于每种协议的每个接口的每个方向,路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。

尽量考虑将扩展ACL放在靠在源的位置的上,保证被拒绝的数据包尽早拒绝,避免浪费带宽,另外,尽量使用标准的ACL靠近目的,由于标准ACL只使用源地址,如果将其靠近源会阻止数据包流向其他方向。

在ACL最后,隐含一条拒绝所有的命令,所以在ACL里一定至少有一条允许的语句。

ACL只能过滤穿过本路由器的数据流量,不能过滤由本路由上发出的数据包。

路由器接口收到数据包时,应用在接口in方向的ACL起作用,数据包被允许后,路由器才会对数据包进行路由处理,在数据包被路由选择交付到出站接口时,应用在接口out方向的ACL起作用,对接口发送出去的数据进行检查,相比之下,入站ACL比出站ACL更加高效。

3P原则:每种协议一个ACL,每个方向一个ACL,每个接口一个ACL。

五、标准ACL

表号:1-99、1300-1999

动作:允许或者拒绝

限制条件: 源地址

配置模板

R1(config)#access-list access-list-number {remark|permit|deny} source source-wildcard 【log】

R1(config)#access-list 表号 策略 源地址

R1(config)#int f0/0

R1(config-if)#ip access-group 表号 方向


"
image.png
相关文章
|
7月前
|
Kubernetes 网络协议 网络安全
提升你的云技能:深入了解CKA认证之k8s升级秘籍!
提升你的云技能:深入了解CKA认证之k8s升级秘籍!
107 0
|
4月前
|
网络协议 网络架构
【网络工程师配置篇】BGP联盟配置案例及分析(超级干货)
【网络工程师配置篇】BGP联盟配置案例及分析(超级干货)
287 2
|
4月前
|
机器学习/深度学习 存储 人工智能
【ACL2024】阿里云人工智能平台PAI多篇论文入选ACL2024
近期,阿里云人工智能平台PAI的多篇论文在ACL2024上入选。论文成果是阿里云与阿里集团安全部、华南理工大学金连文教授团队、华东师范大学何晓丰教授团队共同研发。ACL(国际计算语言学年会)是人工智能自然语言处理领域的顶级国际会议,聚焦于自然语言处理技术在各个应用场景的学术研究。该会议曾推动了预训练语言模型、文本挖掘、对话系统、机器翻译等自然语言处理领域的核心创新,在学术和工业界都有巨大的影响力。此次入选标志着阿里云人工智能平台PAI在自然语言处理和多模态算法、算法框架能力方面研究获得了学术界认可。
|
7月前
|
存储 安全 Linux
【专栏】RHCSA认证考试(EX200)聚焦Linux用户和组管理,涉及基本概念、命令及管理策略。
【4月更文挑战第28天】RHCSA认证考试(EX200)聚焦Linux用户和组管理,涉及基本概念、命令及管理策略。理解用户与组、根用户与普通用户、标准组与附加组的区别至关重要。关键文件包括`/etc/passwd`、`/etc/group`、`/etc/shadow`和`/etc/gshadow`。熟悉`useradd`、`passwd`、`groupadd`等命令以及权限管理工具如`chown`和`chmod`。遵循最小特权原则,定期审计账户,实施密码策略,并利用自动化工具提升效率。掌握这些知识将助力考生在RHCSA考试中表现出色,并在实际工作中有效管理Linux系统。
72 2
|
7月前
|
运维 程序员 Linux
运维最全Linux 基本防火墙设置和开放端口命令,2024年最新程序员如何自我学习和成长
运维最全Linux 基本防火墙设置和开放端口命令,2024年最新程序员如何自我学习和成长
带你读《“DNS+”发展白皮书(2023)》——专家观点及前言
带你读《“DNS+”发展白皮书(2023)》——专家观点及前言
116 1
|
7月前
|
自然语言处理 索引
技术写作最佳实践与策略指南
作为一名技术写作者,遵守既定的最佳实践有助于确保您的工作的一致性、清晰性和整体质量。一些常见的最佳实践包括: 始终考虑受众: 牢记用户视角编写内容。确保技术术语、语言和复杂程度与您的目标读者相匹配。 逻辑地组织内容: 将材料分为章节、子章节、项目符号列表和表格。使用标题帮助读者浏览内容。 必要时使用图表和图像: 视觉辅助工具通常可以提高对复杂概念或过程的理解。 写出清晰简洁的句子: 避免使用读者可能不明白的模糊信息和术语。始终追求可读性。 编辑、编辑、编辑: 校对您的工作,纠正语法和拼写错误,并确保信息准确且最新。 遵循这些最佳实践可以提高您的技术写作效率,并确保您的受众能够轻松理
680 0
|
数据安全/隐私保护 网络架构
基础和高级的ACL的基础配置和原理
基础和高级的ACL的基础配置和原理
96 0
|
数据安全/隐私保护
基础和高级的ACL的基础配置和原理2
基础和高级的ACL的基础配置和原理2
64 0
|
存储 网络协议 数据库
*(长期更新)软考网络工程师学习笔记——Section 20 路由技术原理
*(长期更新)软考网络工程师学习笔记——Section 20 路由技术原理
*(长期更新)软考网络工程师学习笔记——Section 20 路由技术原理
下一篇
无影云桌面