当前位置：首页 > news >正文

华为路由器ACL操作SSH接口

news 2025/9/11 14:15:11

ACL的定义

访问控制列表（Access Control Lists，ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

ACL作用

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

应用设备—路由器

访问控制列表（Access Control Lists,ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

ACL的工作原理

基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

ACL的功能

功能：网络中的节点有资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

ACL的方向

ACL是一组规则的集合，它应用在路由器的某个接口，对路由器接口而言，ACL有两个方向。

出：已经过路由器的处理，正离开路由器的数据包。
入：已到达路由器接口的数据包，将被路由器处理，

分类编号范围参数
基本ACL   2000~2999   源IP地址等
高级ACL   3000~3999   源IP地址，目的IP地址，源端口，目的端口，协议类型等
二层ACL   4000~4999   源MAC地址，目的MAC地址，以太帧协议类型等
用户ACL   6000~6031   源IP地址，目的IP地址，源端口，目的端口，协议类型等

示例操作

[R1]acl ?INTEGER<2000-2999>  Basic access-list(add to current using rules)INTEGER<3000-3999>  Advanced access-list(add to current using rules)INTEGER<4000-4999>  Specify a L2 acl groupipv6                ACL IPv6 name                Specify a named ACLnumber              Specify a numbered ACL
[R1]acl 2000
[R1-acl-basic-2000]?
acl-basic interface view commands:arp-ping     ARP-pingbackup       Backup  informationclear        Cleardescription  Specify ACL descriptiondialer       Dialerdisplay      Display informationmtrace       Trace route to multicast sourceping         <Group> ping command groupquit         Exit from current mode and enter prior modereset        <Group> reset command groupreturn       Enter the privileged moderule         Specify an ACL rulestep         Specify step of ACL sub rule IDtest-aaa     Accounts testtracert      <Group> tracert command groupundo         Negate a command or set its defaults
[R1-acl-basic-2000]ru	
[R1-acl-basic-2000]rule ?INTEGER<0-4294967294>  ID of ACL ruledeny                   Specify matched packet denypermit                 Specify matched packet permit#不允许源地址为192.168.1.0整段通过
[R1-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255   #把上面这条应用到接口GigabitEthernet0/0/0
[R1-acl-basic-2000]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter  inbound acl 2000

通配符掩码：0 —表示匹配，1 —表示忽略，ACL 用于匹配流量默认隐含一条permit any，用于匹配路由默认隐含一条deny any。

查看全文

http://www.lryc.cn/news/269607.html