HOME 首頁(yè)
SERVICE 服務(wù)產(chǎn)品
XINMEITI 新媒體代運(yùn)營(yíng)
CASE 服務(wù)案例
NEWS 熱點(diǎn)資訊
ABOUT 關(guān)于我們
CONTACT 聯(lián)系我們
創(chuàng)意嶺
讓品牌有溫度、有情感
專注品牌策劃15年

    ACL策略(交換機(jī)acl策略)

    發(fā)布時(shí)間:2023-04-13 21:08:23     稿源: 創(chuàng)意嶺    閱讀: 106        

    大家好!今天讓創(chuàng)意嶺的小編來(lái)大家介紹下關(guān)于ACL策略的問(wèn)題,以下是小編對(duì)此問(wèn)題的歸納整理,讓我們一起來(lái)看看吧。

    開始之前先推薦一個(gè)非常厲害的Ai人工智能工具,一鍵生成原創(chuàng)文章、方案、文案、工作計(jì)劃、工作報(bào)告、論文、代碼、作文、做題和對(duì)話答疑等等

    只需要輸入關(guān)鍵詞,就能返回你想要的內(nèi)容,越精準(zhǔn),寫出的就越詳細(xì),有微信小程序端、在線網(wǎng)頁(yè)版、PC客戶端

    官網(wǎng):https://ai.de1919.com。

    創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè),服務(wù)客戶遍布全球各地,如需了解SEO相關(guān)業(yè)務(wù)請(qǐng)撥打電話175-8598-2043,或添加微信:1454722008

    本文目錄:

    ACL策略(交換機(jī)acl策略)

    一、如何使用acl進(jìn)行vlan間的限制

    你好,

    以下配置及說(shuō)明以Cisco配置為前提。

    因?yàn)橥ㄐ攀窍嗷サ?,所以Cisco設(shè)備中的ACL在應(yīng)用中默認(rèn)是雙向限制的。

    如何按需實(shí)現(xiàn)單向訪問(wèn)?即不能讓B訪問(wèn)A,但允許A訪問(wèn)B。

    假設(shè)A和B屬于不同的Vlan,Vlan間的路由通過(guò)三層交換機(jī)實(shí)現(xiàn)。

    此時(shí)有兩種方法實(shí)現(xiàn)單向訪問(wèn)控制:

    1)在三層交換機(jī)上做Vlan-Filter;

    2)利用reflect做ACL。

    基于你的拓?fù)浣Y(jié)構(gòu),是采取單臂路由來(lái)實(shí)現(xiàn)Vlan間的通信,所以只能采取方法2,并在路由器做配置。

    配置如下:(兩步)

    //第一步:建立訪問(wèn)控制列表

    ip access-list extended ACL-inbound //“ACL-inbound”是自定義的ACL名稱

    //我并不阻止Vlan10內(nèi)部的主機(jī)訪問(wèn)外網(wǎng),為什么還要建立Vlan10站內(nèi)的ACL呢?

    //這是因?yàn)樵谶@里要指定“reflect”策略,在制定站外策略(Vlan20訪問(wèn)Vlan10)時(shí)需要用到!

    permit ip host 192.168.10.2 host 192.168.20.2 reflect ACL-Ref

    //指定一個(gè)reflect策略,命名為“ACL-Ref”,在制定站外ACL時(shí)要用到

    permit ip any any //允許站內(nèi)任意主機(jī)到站外任意地址的訪問(wèn),必配,否則Vlan10其他主機(jī)無(wú)法出站訪問(wèn)!

    ip access-list extended ACL-outbound //站外訪問(wèn)控制策略

    evaluate ACL-Ref //允許前面定義的reflect策略(ACL-Ref)中指定通信的返回?cái)?shù)據(jù)

    deny ip host 192.168.20.2 host 192.168.10.2 //阻止192.168.20.2訪問(wèn)192.168.10.2

    permit ip any any //允許站外其他任意主機(jī)訪問(wèn)Vlan10內(nèi)的任意主機(jī)

    //第二步:端口應(yīng)用ACL

    interface fa0/0.1 //進(jìn)入Vlan10的通信端口配置

    ip address 192.168.10.1 255.255.255.0

    ip access-group ACL-inbound in //應(yīng)用站內(nèi)訪問(wèn)控制策略“ACL-inbound”

    ip access-group ACL-outbound out //應(yīng)用站外訪問(wèn)控制策略“ACL-outbound”

    以上,供參考。

    二、華為acl無(wú)效

    由于ACL參數(shù)設(shè)置不正確導(dǎo)致ACL訪問(wèn)控制策略不生效

    發(fā)布時(shí)間: 2015-07-22 查看英文案例

    問(wèn)題描述

    如圖所示,Router作為某企業(yè)出口,配置防火墻功能限制Internet上主機(jī)訪問(wèn)企業(yè)內(nèi)部服務(wù)器。在Router上配置NAT功能使內(nèi)部服務(wù)器對(duì)外使用的IP地址為1.1.2.2。

    ACL訪問(wèn)控制策略不生效案例組網(wǎng)圖:

    相關(guān)配置文件如下:

    #

    nat static protocol tcp global ip 1.1.2.2 inside ip 10.26.103.70 //配置從內(nèi)部地址10.26.103.70到外部地址1.1.2.2的一對(duì)一轉(zhuǎn)換

    #

    acl number 3000 //配置規(guī)則禁止PC機(jī)1.1.1.1向1.1.2.2地址發(fā)送IP報(bào)文

    rule 1 deny ip source 1.1.1.1 0 destination 1.1.2.2 0

    rule 2 permit ip

    #

    interface Ethernet0/0/1

    ip address 1.1.2.1 255.255.255.224

    #

    firewall enable

    packet-filter 3000 inbound //對(duì)入方向的報(bào)文進(jìn)行過(guò)濾

    但是配置ACL后策略不生效,PC依然能夠訪問(wèn)內(nèi)部服務(wù)器。

    告警信息

    處理過(guò)程

    ACL策略不生效主要涉及兩方面原因,一是防火墻的配置,二是ACL的配置。

    1. 檢查防火墻的功能是否開啟。

    在配置文件里看到firewall enable,執(zhí)行命令display firewall zone查看指定安全區(qū)域的配置信息,可以查看到域的信息。因此確認(rèn)防火墻已經(jīng)開啟,排除防火墻的原因。

    2. 檢查ACL的rule規(guī)則配置是否正確。

    從Router的配置文件中可知,rule規(guī)則配置的是禁止從PC機(jī)到外部地址1.1.2.2的IP報(bào)文傳輸,但是由于在Router上配置了NAT功能,已經(jīng)將內(nèi)網(wǎng)地址與外網(wǎng)地址進(jìn)行了轉(zhuǎn)換,即PC機(jī)訪問(wèn)的地址已經(jīng)變更為10.26.103.70,所以rule規(guī)則應(yīng)該配置的是禁止PC機(jī)到10.26.103.70的IP報(bào)文傳輸。所以現(xiàn)修改ACL的規(guī)則如下:

    #

    acl number 3000

    rule 1 deny ip source 1.1.1.1 0 destination 10.26

    三、H3C路由器ACL策略沒(méi)生效

    msr設(shè)備沒(méi)有時(shí)間芯片,重啟就丟失時(shí)間信息

    四、請(qǐng)分析訪問(wèn)控制列表(ACL)與包過(guò)濾防火墻的區(qū)別

    ACL一般用在交換機(jī)和路由器上,應(yīng)用的時(shí)候是有方向的(入方向或者出方向),我們知道數(shù)據(jù)包是有來(lái)有回的,acl只能做到單向訪問(wèn)限制。比如交換機(jī)上配了2個(gè)vlan,vlan10和vlan20,vlan10的192.168.10.1訪問(wèn)vlan20的192.168.20.1,如果在vlan10上啟用acl應(yīng)用在inbound方向,策略為允許192.168.10.1訪問(wèn)192.168.20.1,然后又在vlan20上啟用acl應(yīng)用在inbound方向,策略為192.168.20.1拒絕訪問(wèn)192.168.10.1。這種情況下其實(shí)兩邊都是不通的。應(yīng)為從192.168.10.1ping192.168.20.1去的時(shí)候是可以到達(dá)的,但是回來(lái)的時(shí)候就讓vlan20上的acl給阻止了。

    但是如果交換機(jī)換成防火墻就不一樣了,防火墻是基于5元組的包過(guò)濾的方式實(shí)現(xiàn)的訪問(wèn)控制,如果是上面同樣的配置,那么結(jié)果就是192.168.10.1能訪問(wèn)192.168.20.1,反過(guò)來(lái)就不通了。

    因?yàn)?92.168.10.1去訪問(wèn)192.168.20.1的時(shí)候這條會(huì)話會(huì)別標(biāo)記,能去就能會(huì),這是跟acl的本質(zhì)區(qū)別,能記錄數(shù)據(jù)的來(lái)回,而acl做不到。

    手打,謝謝。

    以上就是關(guān)于ACL策略相關(guān)問(wèn)題的回答。希望能幫到你,如有更多相關(guān)問(wèn)題,您也可以聯(lián)系我們的客服進(jìn)行咨詢,客服也會(huì)為您講解更多精彩的知識(shí)和內(nèi)容。


    推薦閱讀:

    facebook發(fā)消息只有紅色感嘆號(hào)(facebook發(fā)消息只有紅色感嘆號(hào),多久才能恢復(fù))

    為什么我注冊(cè)不了facebook

    chinachat怎么玩的(chinaplay.store怎么上去)

    磁盤分區(qū)后能取消分區(qū)嗎(磁盤分區(qū)后能取消分區(qū)嗎)

    杭州靠什么發(fā)展起來(lái)的(杭州靠什么發(fā)展起來(lái)的企業(yè))