1樓:會噴龍珠的小象
acl使用包過濾技術,在路由器上讀取第三層及第四層包頭中的資訊如源位址、目的位址、源埠、目的埠等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。
功能網路中的節點有資源節點和使用者節點兩大類,其中資源節點提供服務或資料,使用者節點訪問資源節點所提供的服務與資料。acl的主要功能就是一方面保護資源節點,阻止非法使用者對資源節點的訪問,另一方面限制特定的使用者節點所能具備的訪問許可權。
在實施acl的過程中,應當遵循如下兩個基本原則:
1.最小特權原則:只給受控物件完成任務所必須的最小的許可權。
2.最靠近受控物件原則:所有的網路層訪問許可權控制。
3.預設丟棄原則:在cisco路由交換裝置中預設最後一句為acl中加入了deny any any,也就是丟棄所有不符合條件的資料報。
這一點要特別注意,雖然我們可以修改這個預設,但未改前一定要引起重視。
侷限性:由於acl是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分資訊,這種技術具有一些固有的侷限性,如無法識別到具體的人,無法識別到應用內部的許可權級別等。因此,要達到end to end的許可權控制目的,需要和系統級及應用級的訪問許可權控制結合使用。
2樓:請教再請教
firewall enable 應用防火牆firewall default deny 預設拒絕所有流量acl number 3002 acl的編號rule 0 deny tcp 這個是第一條規則,執行的動作時拒絕所有tcp流量
inte***ce serial0/0 進入序列介面模式link-protocol ppp 廣域網採用的連線協議時pppfirewall packet-filter 3002inbound 將包過濾(acl3002) 應用到路由器入站介面
firewall packet-filter 3002 outbound將包過濾(acl3002)應用到路由器出站介面
不清楚你說的最後一條是哪條?
最後兩條的意思都是一樣的,目的都是為了使你設定的防火牆規則生效打個比方:你是某城門守將,制定了乙個進出城門的規定。
但是你的規定制定出來了,用在哪座城池上呢?
使用在城門的出口還是入口呢?
這些要交代清楚,不然的話 下面的人不好做事同理,這個防火牆規則也要交代清楚用在什麼地方,使用在出介面還是入介面
華為路由acl策略設定
3樓:蕭蕭瑟瑟
先建立一條acl 規則
acl num 3100
在定義子規則
rule 1 deny ip sou 192.168.0.0 0.0.0.255 de x.x.x.x 0
192.168.0.0 為你內網ip位址段,x.x.x.x為開心網ip位址。
如果還有只需要更改rule 2 的序號
下發規則
int e0/0 外網介面,根據實際接的介面packet-filter out ip-group 3100最後 儲存就可以了。
關於華為路由器acl的問題
4樓:蕭蕭瑟瑟
acl num 2000
rule permit source 192.168.10.10 0 0表示單一ip位址
......中間省略。
rule permit source 192.168.10.
60 0將此acl下發到外網介面,nat out 2000也就是acl裡定義的ip位址可以訪問外網,用定義nat的acl來控制,不增加的ip位址,就不能上網。新增的就能上外網
5樓:匿名使用者
用子網掩碼來將這兩段位址分開~
192.168.10.1 -- 192.168.10.62 255.255.255.192
另一段為63 -- 254。
在nat的acl列表裡先將上面一段設定為permit,然後下面一段設定為deny.就搞定了~~~
你說的10--60 然後 60 -- 254的話,如果非要這麼精確,那麼你要在acl規則最前面加上1 -- 10,61,62一共12個ip,每乙個ip都寫乙個rule,且deny掉就可以了
6樓:深白色格調
兄弟,我不知道華為路由器的acl方式是什麼,不過我知道華為2403交換機的命令,你可以參考一下:
acl number 2000
rule 1 deny source 192.168.10.61 to 192.168.10.254
其他的能上的就不要設定了,把不能上這個命令設定一下就好啦!!!
但是路由器的我沒有用過!
7樓:念菡車森
aclnumber
3000
rule
1deny
ipsource
192.168.0.x
0rule
2deny
ipsource
192.168.0.y
0rule
3阻止幾個加幾個
rule
xpermit
any設定完要在介面上應用,應用在連線區域網的in方向不知道你是什麼路由器,啟用方法不一樣
具體看你路由器
記得要在方括號狀態下開啟firewall
enable
華為用路由器,acl的問題:
8樓:
acl只是規則而已,如果不呼叫那麼就沒有任何作用。ebgp應用中acl可以用在很多地方,比如路由表的發放,針對某個as接收(字首列表)等。
h3c路由器怎麼刪除單條acl規則我要刪除 rule 5
9樓:
1、如圖進行畫圖,兩個伺服器,通過兩個路由器相連。
2、雙擊開啟第一台路由器的配置視窗,開啟命令列視窗。
3、回車,進入router>,輸入en,進入router#,輸入configure terminal 進入router(config)#。
4、此時我們想限制流進的資料報,使外部主機只能訪問內部伺服器的web。命令為access-list 101 permit tcp any host 170.168.
1.1 eq 80。
5、顯示101號acl列表,使用命令 show ip access-list 101。
6、將acl賦予到路由器的對外介面f0/0,並啟用為進入過濾,ip access-group 101 in即可。
10樓:
1、按拓撲圖配置好路由器的主機名和顯示名,注意安裝拓撲圖的介面編號連線各界面,並配置號主機的ip位址。
2、只允許主機pc2所在的網段的主機訪問伺服器s1的www服務,和路由器r2的telnet服務。
3、pc2所在的網段主機ping不通其他主機或路由器。
4、在r2上刪除前面配置的標準acl及其應用。
5、在r3上配置擴充套件acl;拒絕pc3所在的網路ping路由器r2。
6、最後發現刪除成功了。
11樓:匿名使用者
如果是刪除acl number 3001,則配置命令是:
全域性模式下,undo acl number 3001即可;
如果是刪除acl number 3001下的某一條rule,則配置命令是:
全域性模式下,acl number 3001進入到acl number 3001下,輸入undo rule 10即可。
華為路由器配置acl。
12樓:我是來撿妞的
acl number 3000
rule 0 per sou 129.9.0.0 0.0.0.255 de 202.38.160.0 de eq 80
h3c msr30-20關於acl的問題
13樓:匿名使用者
以前做過華為的qos和linux的防火牆,裡面也用到了點acl規則,提供一下思路 應該回類似
1,mac沒試過 ip是根據答段/ip 子網來控制哪些通過,,mac設定 你前面乙個mac 後面乙個6對ff是什麼意思 是乙個範圍嗎?當然 沒用過 只是提個疑問 不知道這樣配置對不對!
2,防火牆規則是有順序的,按你的這個思路應該是先全部deny,後再去開放某些小範圍 或者單個mac 這樣的順序去新增條目,permit是乙個大的全部允許範圍 肯定都可以通過 ,在permit的情況下 限制某mac 當然是這個mac不能通過 ,反之 都deny的情況下 去permit小範圍的 那就是只有這個小範圍才能通過
一台電腦可以兩個路由器麼?家裡的路由器是別人的,不想和別人用網,想自己再安裝
你的意思應該是一根網線可以連線兩個路由器嗎?電腦可以連任意開放的或者有密碼的無線路由,不限制個數,但是你只能同時連乙個無線網路。要是我說的情況,一根網線也可以連兩個路由器,兩個路由器可以做橋接,其實公用的是同乙個網路,但是是兩個不同的無線訊號。在已有路由器的lan口引線,接到新路由器的wan口,在網...
一台筆記本怎麼設定兩個路由器?兩個路由器的賬號不一樣路由器已經設定好了,IP也改好了,現在連線
如果兩台路由器的ip不在乙個網段的話,建議你把已經設定好的路由器斷電,再連線第二台 首先你筆記本要有2個網絡卡,一般是有線和無線網絡卡,比如有線網絡卡連線路由a,無線網絡卡連線路由b,那麼2網絡卡越點都設定手動,比例按照寬頻頻寬比設定,這樣設定後類似流量負載均衡,總頻寬疊加 先看你的第一台路由器是否...
為什麼我配置一台路由器當作PC時不行的
蟬鳴山澗 估計是你路由器作業系統版本的問題,不支援這個命令,試著在這裡鍵入no ip 看看支援不支援routing 貓?還是路由?還是路由貓?按你的描述,你所用的是帶路由功能的modem 2.我至今不會看 貓 路由 路由貓,從表面如何分別出他們?普通的modem和帶路由功能的modem是有區別的。普...