關於華為的一台msr路由器上的acl規則

時間 2021-05-05 07:28:29

1樓:會噴龍珠的小象

acl使用包過濾技術,在路由器上讀取第三層及第四層包頭中的資訊如源位址、目的位址、源埠、目的埠等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。

功能網路中的節點有資源節點和使用者節點兩大類,其中資源節點提供服務或資料,使用者節點訪問資源節點所提供的服務與資料。acl的主要功能就是一方面保護資源節點,阻止非法使用者對資源節點的訪問,另一方面限制特定的使用者節點所能具備的訪問許可權。

在實施acl的過程中,應當遵循如下兩個基本原則:

1.最小特權原則:只給受控物件完成任務所必須的最小的許可權。

2.最靠近受控物件原則:所有的網路層訪問許可權控制。

3.預設丟棄原則:在cisco路由交換裝置中預設最後一句為acl中加入了deny any any,也就是丟棄所有不符合條件的資料報。

這一點要特別注意,雖然我們可以修改這個預設,但未改前一定要引起重視。

侷限性:由於acl是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分資訊,這種技術具有一些固有的侷限性,如無法識別到具體的人,無法識別到應用內部的許可權級別等。因此,要達到end to end的許可權控制目的,需要和系統級及應用級的訪問許可權控制結合使用。

2樓:請教再請教

firewall enable 應用防火牆firewall default deny 預設拒絕所有流量acl number 3002 acl的編號rule 0 deny tcp 這個是第一條規則,執行的動作時拒絕所有tcp流量

inte***ce serial0/0 進入序列介面模式link-protocol ppp 廣域網採用的連線協議時pppfirewall packet-filter 3002inbound 將包過濾(acl3002) 應用到路由器入站介面

firewall packet-filter 3002 outbound將包過濾(acl3002)應用到路由器出站介面

不清楚你說的最後一條是哪條?

最後兩條的意思都是一樣的,目的都是為了使你設定的防火牆規則生效打個比方:你是某城門守將,制定了乙個進出城門的規定。

但是你的規定制定出來了,用在哪座城池上呢?

使用在城門的出口還是入口呢?

這些要交代清楚,不然的話 下面的人不好做事同理,這個防火牆規則也要交代清楚用在什麼地方,使用在出介面還是入介面

華為路由acl策略設定

3樓:蕭蕭瑟瑟

先建立一條acl 規則

acl num 3100

在定義子規則

rule 1 deny ip sou 192.168.0.0 0.0.0.255 de x.x.x.x 0

192.168.0.0 為你內網ip位址段,x.x.x.x為開心網ip位址。

如果還有只需要更改rule 2 的序號

下發規則

int e0/0 外網介面,根據實際接的介面packet-filter out ip-group 3100最後 儲存就可以了。

關於華為路由器acl的問題

4樓:蕭蕭瑟瑟

acl num 2000

rule permit source 192.168.10.10 0 0表示單一ip位址

......中間省略。

rule permit source 192.168.10.

60 0將此acl下發到外網介面,nat out 2000也就是acl裡定義的ip位址可以訪問外網,用定義nat的acl來控制,不增加的ip位址,就不能上網。新增的就能上外網

5樓:匿名使用者

用子網掩碼來將這兩段位址分開~

192.168.10.1 -- 192.168.10.62 255.255.255.192

另一段為63 -- 254。

在nat的acl列表裡先將上面一段設定為permit,然後下面一段設定為deny.就搞定了~~~

你說的10--60 然後 60 -- 254的話,如果非要這麼精確,那麼你要在acl規則最前面加上1 -- 10,61,62一共12個ip,每乙個ip都寫乙個rule,且deny掉就可以了

6樓:深白色格調

兄弟,我不知道華為路由器的acl方式是什麼,不過我知道華為2403交換機的命令,你可以參考一下:

acl number 2000

rule 1 deny source 192.168.10.61 to 192.168.10.254

其他的能上的就不要設定了,把不能上這個命令設定一下就好啦!!!

但是路由器的我沒有用過!

7樓:念菡車森

aclnumber

3000

rule

1deny

ipsource

192.168.0.x

0rule

2deny

ipsource

192.168.0.y

0rule

3阻止幾個加幾個

rule

xpermit

any設定完要在介面上應用,應用在連線區域網的in方向不知道你是什麼路由器,啟用方法不一樣

具體看你路由器

記得要在方括號狀態下開啟firewall

enable

華為用路由器,acl的問題:

8樓:

acl只是規則而已,如果不呼叫那麼就沒有任何作用。ebgp應用中acl可以用在很多地方,比如路由表的發放,針對某個as接收(字首列表)等。

h3c路由器怎麼刪除單條acl規則我要刪除 rule 5

9樓:

1、如圖進行畫圖,兩個伺服器,通過兩個路由器相連。

2、雙擊開啟第一台路由器的配置視窗,開啟命令列視窗。

3、回車,進入router>,輸入en,進入router#,輸入configure terminal 進入router(config)#。

4、此時我們想限制流進的資料報,使外部主機只能訪問內部伺服器的web。命令為access-list 101 permit tcp any host 170.168.

1.1 eq 80。

5、顯示101號acl列表,使用命令 show ip access-list 101。

6、將acl賦予到路由器的對外介面f0/0,並啟用為進入過濾,ip access-group 101 in即可。

10樓:

1、按拓撲圖配置好路由器的主機名和顯示名,注意安裝拓撲圖的介面編號連線各界面,並配置號主機的ip位址。

2、只允許主機pc2所在的網段的主機訪問伺服器s1的www服務,和路由器r2的telnet服務。

3、pc2所在的網段主機ping不通其他主機或路由器。

4、在r2上刪除前面配置的標準acl及其應用。

5、在r3上配置擴充套件acl;拒絕pc3所在的網路ping路由器r2。

6、最後發現刪除成功了。

11樓:匿名使用者

如果是刪除acl number 3001,則配置命令是:

全域性模式下,undo acl number 3001即可;

如果是刪除acl number 3001下的某一條rule,則配置命令是:

全域性模式下,acl number 3001進入到acl number 3001下,輸入undo rule 10即可。

華為路由器配置acl。

12樓:我是來撿妞的

acl number 3000

rule 0 per sou 129.9.0.0 0.0.0.255 de 202.38.160.0 de eq 80

h3c msr30-20關於acl的問題

13樓:匿名使用者

以前做過華為的qos和linux的防火牆,裡面也用到了點acl規則,提供一下思路 應該回類似

1,mac沒試過 ip是根據答段/ip 子網來控制哪些通過,,mac設定 你前面乙個mac 後面乙個6對ff是什麼意思 是乙個範圍嗎?當然 沒用過 只是提個疑問 不知道這樣配置對不對!

2,防火牆規則是有順序的,按你的這個思路應該是先全部deny,後再去開放某些小範圍 或者單個mac 這樣的順序去新增條目,permit是乙個大的全部允許範圍 肯定都可以通過 ,在permit的情況下 限制某mac 當然是這個mac不能通過 ,反之 都deny的情況下 去permit小範圍的 那就是只有這個小範圍才能通過

一台電腦可以兩個路由器麼?家裡的路由器是別人的,不想和別人用網,想自己再安裝

你的意思應該是一根網線可以連線兩個路由器嗎?電腦可以連任意開放的或者有密碼的無線路由,不限制個數,但是你只能同時連乙個無線網路。要是我說的情況,一根網線也可以連兩個路由器,兩個路由器可以做橋接,其實公用的是同乙個網路,但是是兩個不同的無線訊號。在已有路由器的lan口引線,接到新路由器的wan口,在網...

一台筆記本怎麼設定兩個路由器?兩個路由器的賬號不一樣路由器已經設定好了,IP也改好了,現在連線

如果兩台路由器的ip不在乙個網段的話,建議你把已經設定好的路由器斷電,再連線第二台 首先你筆記本要有2個網絡卡,一般是有線和無線網絡卡,比如有線網絡卡連線路由a,無線網絡卡連線路由b,那麼2網絡卡越點都設定手動,比例按照寬頻頻寬比設定,這樣設定後類似流量負載均衡,總頻寬疊加 先看你的第一台路由器是否...

為什麼我配置一台路由器當作PC時不行的

蟬鳴山澗 估計是你路由器作業系統版本的問題,不支援這個命令,試著在這裡鍵入no ip 看看支援不支援routing 貓?還是路由?還是路由貓?按你的描述,你所用的是帶路由功能的modem 2.我至今不會看 貓 路由 路由貓,從表面如何分別出他們?普通的modem和帶路由功能的modem是有區別的。普...