acl

目录 前言 流量匹配工具 ACL IP-Prefix List 路由策略 路由策略工具 Filter-Policy工具介绍 Route-Policy工具介绍 使用路由策略控制流量可达性 使用Route-Policy对引入的路由进行过滤 使用Filter-Policy对接收和发布的路由进行过滤 流量过滤 路由策略与策略路由的区别 前言 在企业网络的设备通信中，常面临一些非法流量访问的安全性及流量路径不优等问题，故为保证数据访问的安全性、提高链路带宽利用率，就需要对网络中的流量行为进行控制，如控制网络流量可达性、调整网络流量路径等。 流量匹配工具 ACL 访问控制列表ACL（Access Control List）是由permit或deny语句组成的一系列有顺序规则的集合，它通过匹配报文的信息实现对报文的分类。 ACL的分类： 基本ACL 主要基于源地址、分片标记和时间段信息对数据包进行分类定义，编号范围为2000-2999。 高级ACL 可以基于源地址、目的地址、源端口号、目的端口号、协议类型、优先级、时间段等信息对数据包进行更为细致的分类定义，编号范围为3000-3999。 二层ACL 主要基于源MAC地址、目的MAC地址和报文类型等信息对数据包进行分类定义，编号范围为4000-4999。 用户自定义ACL 主要根据用户自定义的规则对数据报文做出相应的处理，编号范围为5000

微信公众号： 网络民工 本例介绍预共享密钥认证方式下的IPSec隧道配置方法。 组网需求 如图1所示，网络A和网络B通过NGFW_A和NGFW_B连接到Internet，NGFW_A和NGFW_B公网路由可达。现需要在NGFW_A和NGFW_B之间建立IKE方式的IPSec隧道，使网络A和网络B的用户可通过IPSec隧道安全互访。 图1 IKE协商方式的点到点IPSec隧道举例组网图 数据规划 配置思路 NGFW_A和NGFW_B的配置思路相同。1.配置接口IP地址并将接口加入到安全区域。 2.配置安全策略。 3.配置到对端内网的路由。 4.配置IPSec策略。包括配置IPSec策略的基本信息、配置待加密的数据流、配置安全提议的协商参数。 操作步骤 •配置NGFW_A（总部）。 1.配置接口IP地址。 <sysname> system-view [sysname] sysname NGFW_A [NGFW_A] interface GigabitEthernet 1/0/3 [NGFW_A-GigabitEthernet1/0/3] ip address 10.1.1.1 24 [NGFW_A-GigabitEthernet1/0/3] quit [NGFW_A] interface GigabitEthernet 1/0/1 [NGFW_A-GigabitEthernet1/0

交换机命令 ~~~~~~~~~~ [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 0/1 进入接口视图 [Quidway]interface vlan x 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 静态路由＝网关 [Quidway]user-interface vty 0 4 [S3026-ui-vty0-4]authentication-mode password [S3026-ui-vty0-4]set authentication-mode password simple 222 [S3026-ui-vty0-4]user privilege level 3 [Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口双工工作状态 [Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet0/1]flow-control 配置端口流控 [Quidway

一、概述 （可以直接略过此段）redis 最近做为 nosql 数据服务应用越来越广泛，其相对于 memcached 的最大优点是提供了更加丰富的数据结构，所以应用场景就更为广泛。redis 的出现可谓是广大网络应用开发者的福音，同时有大量的开源人员贡献了客户端代码，象针对 java 语言的 jedis，php 语言的 phpredis/predis 等，这些语言的 redis 库既丰富又好用，而对 C/C++ 程序员似乎就没那么幸运了，官方提供了 C 版的 hiredis 作为客户端库，很多爱好者都是基于 hiredis 进行二次封装和开发形成了 C++ 客户端库，但这些库（包括官方的 hiredis）大都使用麻烦，给使用者造成了许多出错的机会。一直想开发一个更易用的接口型的 C++ 版 redis 客户端库（注：官方提供的库基本属于协议型的，这意味着使用者需要花费很多精力去填充各个协议字段同时还得要分析服务器可能返回的不同的结果类型），但每 当看到 redis 那 150 多个客户端命令时便心生退缩，因为要给每个命令提供一个方便易用的 C++ 函数接口，则意味着非常巨大的开发工作量。 在后来的多次项目开发中被官方的 hiredis 库屡次摧残后，终于忍受不了，决定重新开发一套全新的 redis 客户端 API，该库不仅要实现这 150 多个客户端命令

原理：通过对经过该端口的请求数据包打上标记，对回复的数据包进行检测，据有该标记的数据包允许通过，否则被拒绝。 拓扑图 测试连通性 R2 telnet R4 配置命令 在检测连通性，确保无误后，配置acl r1(config)#ip access-list extended come r1(config-ext-nacl)#permit icmp any any 被允许的ICMP是不用标记即可进入内网的 r1(config-ext-nacl)#evaluate abc 其它要进入内网的，必须是标记为ab r1(config)#ip access-list extended goto r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 telnet已记为abc r1(config-ext-nacl)#permit ip any any 应用ACL r1(config)#int f0/1 r1(config-if)#ip access-group goto out 测试结果 R2 PING R4 ICMP允许通过 R2 telnet R4 可见，内网向外网发送的telnet因被标记了abc所以被允许返回了 R4 telnet R2 查看acl表 来源： https://www.cnblogs

修改防火墙名称 config# hostname xxxx 配置特权密码 config# enable password xxxx 远程登陆密码 config# password xxxx 配置接口名称 config-if # nameif xxxx 配置接口安全级别 config-if # security-level xxxx(0-100) 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是 《标准访问控制列表》 ，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL。 它的具体格式： access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask] access-list-number 为1-99 或者 1300-1999之间的数字，这个是访问列表号。 例如：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃

一、实验拓扑 F0/0 E1/0 R1 10.1.88.1 14.1.88.1 R2 10.1.88.2 / R3 10.1.88.3 / R4 / 14.1.88.4 二、配置步骤 1.配置拒绝外网主动访问内网 （1）配置允许ICMP可以不用标记就可以进入内网，其他的必须标记才返回 R1(config)#ip access-list extended come R1(config-ext-nacl)#permit icmp any any //被允许的ICMP是不用标记就可以进入内网的 R1(config-ext-nacl)#evaluate abc //其他要进入内网的，必须是标记为abc的 （2）应用ACL R1(config)#interface ethernet 1/0 R1(config-if)#ip access-group come in 2.测试结果 （1）测试外网R4的ICMP访问内网 可见ICMP是可以任意访问的 （2）测试外网R4telnet内网 可见除了ICMP之外，其他流量进入不了内网 （3）测试内网R2的ICMP访问内网 可见内网发送的ICMP包正常从外网返回 （4）测试内网R2telnet到外网 可见，除ICMP之外其他流量通过不了 配置内网向外网发起的telnet被返回 （1）配置内网出去时，telnet被记录为abc，将会被允许返回 R1

微信公众号：网络民工 获取更多精彩内容 ​组网图形 图1 使用基本ACL限制FTP访问权限组网图 ACL简介 访问控制列表ACL（Access ControlList）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤，可以配置基本ACL。 本例，就是将基本ACL应用在FTP模块中，实现只允许指定的客户端访问FTP服务器，以提高安全性。 配置注意事项 · 本例中配置的本地用户登录密码方式为irreversible-cipher，表示对用户密码采用不可逆算法进行加密，非法用户无法通过解密算法特殊处理后得到密码，安全性较高，该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码，仅能采用cipher方式，表示对用户密码采用可逆算法进行加密，非法用户可以通过对应的解密算法解密密文后得到密码，安全性较低。

扫描二维码关注微信公众号：网络民工 获取更多精彩内容 ​组网图形 图1 配置策略路由组网图 策略路由简介 传统的路由转发原理是首先根据报文的目的地址查找路由表，然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。策略路由PBR（Policy-Based Routing）就是一种依据用户制定的策略进行数据转发的机制。 在S系列交换机上，策略路由通过重定向实现，通过配置策略路由可以将到达接口的符合流分类规则的三层报文重定向到指定的下一跳地址。 在某些需要指定特定的数据流走特定的下一跳的场景下可以使用策略路由实现，例如使不同的数据流通过不同的链路进行发送，提高链路的利用效率；将数据流引流到防火墙等安全设备，进行安全过滤；在满足业务服务质量的前提下，选择费用较低的链路传输业务数据，从而降低企业数据服务的成本。 配置注意事项 · 如果设备上没有命中下一跳IP地址对应的ARP表项，设备会触发ARP学习，如果一直学习不到ARP，则报文按原始转发路径转发，重定向不生效。 · 如果通过redirectip-nexthop命令或redirect ipv6-nexthop命令配置多个下一跳时，设备按照主备方式对报文进行重定向转发。设备根据下一跳的配置顺序确定主备链路，配置在前面的下一跳IP地址优先级高