当前位置：首页 > news >正文

织梦网站流动广告代码中国企业网址大全

news 2025/11/16 11:18:09

织梦网站流动广告代码,中国企业网址大全,python爬虫做网站,制作app下载ACL协议在H3C网络设备#xff08;交换机、路由器、防火墙等#xff09;中#xff0c;ACL#xff08;Access Control List#xff0c;访问控制列表#xff09; 是一个核心的流量过滤和控制机制。核心目的#xff1a; 流量过滤#xff1a;控制哪些流量可以通过接口…ACL协议在H3C网络设备交换机、路由器、防火墙等中ACLAccess Control List访问控制列表是一个核心的流量过滤和控制机制。核心目的流量过滤控制哪些流量可以通过接口入站/出站方向。安全策略实施基本的安全策略阻止非授权访问如防火墙策略的基础。流量识别为其他需要识别特定流量的功能如QoS策略路由、NAT、VPN、路由过滤、策略路由提供匹配依据。用户接入控制结合身份认证如802.1X、Portal限制用户访问权限主要类型基本ACLBasic ACL 序号为2000~2999只根据报文的源IP地址信息制定规则高级ACLAdvanced ACL 序号为3000 ~ 3999根据报文的源IP地址、目的IP地址、IP协议类型TCP/UDP/ICMP/OSPF等、源端口号、目的端口号、TCP标志位、ICMP类型/代码、IP优先级/DSCP、分片信息的特性等三、四层信息制定规则二层ACLLayer 2 ACL / Ethernet Frame ACL 序号为4000 ~ 4999。根据报文的源MAC地址、目的MAC地址、以太网帧类型如0x0800-IPv4, 0x86DD-IPv6、802.1p优先级、VLAN ID等二层信息制定规则设置过滤规则包过滤功能默认开启设置包过滤的默认过滤方式系统默认的过滤方式是permit即允许未匹配上的ACL规则的报文通过可以配置包过滤的缺省动作为denypacket-filter default deny匹配规则和动作规则Rule每条ACL规则包含匹配条件根据ACL类型定义如源IP、目的端口等。动作Actionpermit (允许) 或 deny (拒绝)。规则ID可手动指定或自动生成。H3C设备规则ID越小优先级越高。规则匹配顺序配置顺序config按照用户配置规则的先后顺序进行匹配。这是默认的方式。自动深度优先auto / depth-first设备自动按照规则的“深度”条件描述的精确程度排序条件越具体如指定了端口号的规则优先级越高。需要显式配置此模式。匹配过程数据包从上到下逐条匹配规则。一旦匹配到某条规则则执行该规则的动作permit或deny并停止后续规则的匹配。如果所有规则都不匹配则执行该ACL的默认动作。默认动作Implicit Deny Any任何ACL的末尾都隐含一条拒绝所有deny any 的规则。这意味着如果数据包没有匹配到任何显式配置的permit规则它最终将被拒绝。这是安全性的重要保障。应用方向Application Direction ACL只有被应用apply 到接口的特定方向上才会生效。入方向inbound对进入该接口的数据包进行过滤。数据包到达接口后先匹配入方向ACL再查路由表决定转发。出方向outbound对离开该接口的数据包进行过滤。数据包查完路由表确定从该接口转发出去之前匹配出方向ACL。选择合适的应用方向至关重要直接影响过滤效果和效率。配置基本ACL**第一步**设置访问控制列表序列号acl basic acl-number**第二步**定义规则允许或拒绝来自指定网络的数据包并定义参数rule [ RULE_ID ] { deny | permit } source { SRC_IP_ADDR SRC_WILDCARD | any } [ time-range TIME_NAME ] [ logging ] [ description TEXT ]配置高级ACL**第一步**设置访问控制列表序列号acl advanced acl-number**第二步**定义规则其规则在基本访问列表的基础上增加了目的地址、协议号、端口以及操作符等信息rule [ RULE_ID ] { deny | permit } PROTOCOL [ rule-specific-criteria ] [ time-range TIME_NAME ] [ logging ] [ description TEXT ]配置二层ACL**第一步**设置访问控制列表序列号acl mac acl-number**第二步**配置规则规则上主要为源MAC、目的MAC以及COS值等信息rule [ RULE_ID ] { deny | permit } [ rule-specific-criteria ] [ time-range TIME_NAME ] [ logging ] [ description TEXT ]重要注意事项规则顺序理解配置顺序和自动深度优先的区别确保规则按预期优先级匹配。隐式拒绝务必牢记ACL末尾隐含的deny any。如果想让某些流量通过必须有显式的permit规则匹配它。应用方向正确选择inbound或outbound是ACL生效的关键。作用范围基本ACL通常建议应用在靠近目的地址的位置避免意外阻断合法源高级ACL通常建议应用在靠近源地址的位置尽早丢弃非法流量节省带宽和设备资源。性能影响复杂的ACL或大量ACL规则会增加设备处理负担可能影响转发性能。优化规则设计。测试验证配置ACL后务必进行充分测试确保其按预期允许和拒绝流量。使用display packet-filter statistics等命令查看匹配计数辅助调试。实验一、实验拓扑二、实验需求按照图示配置IP地址实现全网互通在SERVER上配置开启TELNET和FTP服务配置ACL实现如下效果 1192.168.1.0/24 网段不允许访问 192.168.2.0/24 网段 2PC1 可以访问 SERVER 的 TELNET 服务但不能访问 FTP 服务 3PC2 可以访问 SERVER 的 FTP 服务但不能访问 TELNET 服务 4PC3 可以访问 SERVER 的 TELNET 服务和 FTP 服务但 ping 不通SERVER三、实验步骤按照图示配置IP地址略实现全网互通略在SERVER上配置开启TELNET和FTP服务略配置ACL 192.168.1.0/24 网段不允许访问 192.168.2.0/24 网段 [R2]acl basic 2000 [R2-acl-ipv4-basic-2000]rule deny source 192.168.1.0 0.0.0.255 [R2-acl-ipv4-basic-2000]dis th # acl basic 2000rule 0 deny source 192.168.1.0 0.0.0.255 # return [R2-acl-ipv4-basic-2000]qu [R2]int g0/2 [R2-GigabitEthernet0/2]packet-filter 2000 outbound [R2-GigabitEthernet0/2]qu [R2]PC1 可以访问 SERVER 的 TELNET 服务但不能访问 FTP 服务PC2 可以访问 SERVER 的 FTP 服务但不能访问 TELNET 服务 [R1]acl advanced 3000 [R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.1 0 destination-port range 20 21 [R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.2 0 destination-port eq 23 [R1]int g0/1 [R1-GigabitEthernet0/1]packet-filter 3000 inbound PC3 可以访问 SERVER 的 TELNET 服务和 FTP 服务但无法 ping 通SERVER [R2]acl advanced 3000 [R2-acl-ipv4-adv-3000]rule deny icmp source 192.168.2.3 0 destination 192.168.3. 1 0 [R2-GigabitEthernet0/1]packet-filter 3000 outbound测试 PC1 和 PC2 都无法 Ping 通 PC3 PC1ping 192.168.2.3 Ping 192.168.2.3 (192.168.2.3): 56 data bytes, press CTRLC to break Request time out Request time out Request time out Request time out Request time out--- Ping statistics for 192.168.2.3 ---PC2ping 192.168.2.3 Ping 192.168.2.3 (192.168.2.3): 56 data bytes, press CTRLC to break Request time out Request time out Request time out Request time out Request time out--- Ping statistics for 192.168.2.3 ---PC1 可以连接 SERVER1 的 TELNET但不能连接 FTP PC1telnet 192.168.3.1 Trying 192.168.3.1 ... Press CTRLK to abort Connected to 192.168.3.1 ...****************************************************************************** * Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.* * Without the owners prior written consent, * * no decompiling or reverse-engineering shall be allowed. * ******************************************************************************Login: wiltjer Password: SERVERPC1ftp 192.168.3.1 Press CTRLC to abort. ftp: connect: Connection timed out ftp PC2 可以连接 SERVER1的 FTP但不能连接 TELNE PC2ftp 192.168.3.1 Press CTRLC to abort. Connected to 192.168.3.1 (192.168.3.1). 220 FTP service ready. User (192.168.3.1:(none)): wiltjer 331 Password required for wiltjer. Password: 230 User logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp PC2telnet 192.168.3.1 Trying 192.168.3.1 ... Press CTRLK to abort Connected to 192.168.3.1 ... Failed to connect to the remote host!PC3 可以访问 SERVER 的 TELNET 服务和 FTP 服务但 ping 不通SERVER H3Cping 192.168.3.1 Ping 192.168.3.1 (192.168.3.1): 56 data bytes, press CTRLC to break Request time out Request time out Request time out Request time out Request time out--- Ping statistics for 192.168.3.1 ---H3Ctelnet 192.168.3.1 Trying 192.168.3.1 ... Press CTRLK to abort Connected to 192.168.3.1 ...****************************************************************************** * Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.* * Without the owners prior written consent, * * no decompiling or reverse-engineering shall be allowed. * ******************************************************************************Login: wiltjer Password: SERVERH3Cftp 192.168.3.1 Press CTRLC to abort. Connected to 192.168.3.1 (192.168.3.1). 220 FTP service ready. User (192.168.3.1:(none)): wiltjer 331 Password required for wiltjer. Password: 230 User logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp

查看全文

http://www.zqtcl.cn/news/274977/