返回
访问控制列表-细说acl那些事儿(acl应用篇)

访问控制列表-细说acl那些事儿(acl应用篇)

ID:1977064

大小:590.01 KB

页数:13页

时间:2017-11-14

访问控制列表-细说acl那些事儿(acl应用篇)_第1页
访问控制列表-细说acl那些事儿(acl应用篇)_第2页
访问控制列表-细说acl那些事儿(acl应用篇)_第3页
访问控制列表-细说acl那些事儿(acl应用篇)_第4页
访问控制列表-细说acl那些事儿(acl应用篇)_第5页
资源描述:

《访问控制列表-细说acl那些事儿(acl应用篇)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、文档名称文档密级访问控制列表-细说ACL那些事儿(ACL应用篇)铛铛铛铛铛,小伙伴们,小编又跟大家见面了!今天小编继续给大家说说ACL那些事儿,但不再是说ACL的基本概念,也不再说抽象的ACL理论。这一期,小编将给大家呈现丰富多彩的ACL应用,为大家讲解各个业务模块应用ACL时的处理机制差异、应用方式差异,并且带领大家一起动手配置真实的ACL应用案例。1ACL应用范围通过前两期的ACL理论学习,大家知道ACL并不能单独完成控制网络访问行为或者限制网络流量的效果,而是需要应用到具体的业务模块才能实现

2、上述功能。那么ACL到底可以应用在哪些业务中呢?小编总结了一下,ACL应用的业务模块非常多,但主要分为以下四类:业务分类应用场景涉及业务模块登录控制对交换机的登录权限进行控制,允许合法用户登录,拒绝非法用户登录,从而有效防止未经授权用户的非法接入,保证网络安全性。例如,一般情况下交换机只允许管理员登录,非管理员用户不允许随意登录。这时就可以在Telnet中应用ACL,并在ACL中定义哪些主机可以登录,哪些主机不能。Telnet、SNMP、FTP、TFTP、SFTP、HTTP对转发的报文进行过滤对转

3、发的报文进行过滤,从而使交换机能够进一步对过滤出的报文进行丢弃、修改优先级、重定向、IPSEC保护等处理。例如,可以利用ACL,降低P2P下载、网络视频等消耗大量带宽的数据流的服务等级,在网络拥塞时优先丢弃这类流量,减少它们对其他重要流量的影响。QoS流策略、NAT、IPSEC对上送CPU处理的报文进行过滤对上送CPU的报文进行必要的限制,可以避免CPU处理过多的协议报文造成占用率过高、性能下降。黑名单、白名单、用户自定义流2021-6-11华为保密信息,未经授权禁止扩散第13页,共13页文档名称

4、文档密级例如,发现某用户向交换机发送大量的ARP攻击报文,造成交换机CPU繁忙,引发系统中断。这时就可以在本机防攻击策略的黑名单中应用ACL,将该用户加入黑名单,使CPU丢弃该用户发送的报文。路由过滤ACL可以应用在各种动态路由协议中,对路由协议发布和接收的路由信息进行过滤。例如,可以将ACL和路由策略配合使用,禁止交换机将某网段路由发给邻居路由器。BGP、IS-IS、OSPF、OSPFv3、RIP、RIPng、组播协议1ACL业务模块的处理机制各类ACL应用的业务模块对命中/未命中ACL的处理机

5、制是各不相同的。例如,在流策略中应用ACL时,如果ACL中存在规则但报文未匹配上,该报文仍可以正常通过;但在Telnet中应用ACL,这种情况下,该报文就无法正常通过了。再如,在黑名单中应用ACL时,无论ACL规则配置成permit还是deny,只要报文命中了规则,该报文都会被系统丢弃,其他模块却不存在这种情况。所以,大家在配置ACL规则并应用到业务模块中时,一定要格外小心。为了方便大家查阅,小编特地将常用ACL业务模块的处理机制进行了整理。业务模块匹配上了permit规则匹配上了deny规则AC

6、L中配置了规则,但未匹配上任何规则ACL中没有配置规则ACL未创建Telnetpermit(允许登录)deny(拒绝登录)deny(拒绝登录)permit(允许登录)permit(允许登录)HTTPpermit(允许登录)deny(拒绝登录)deny(拒绝登录)permit(允许登录)permit(允许登录)SNMPpermit(允许登录)deny(拒绝登录)deny(拒绝登录)permit(允许登录)permit(允许登录)FTPpermit(允许登录)deny(拒绝登录)deny(拒绝登录)p

7、ermit(允许登录)permit(允许登录)TFTPpermit(允许登录)deny(拒绝登录)deny(拒绝登录)permit(允许登录)permit(允许登录)SFTPpermit(允许deny(拒绝deny(拒绝登录)permit(允许登录)permit(允许登2021-6-11华为保密信息,未经授权禁止扩散第13页,共13页文档名称文档密级登录)登录)录)流策略流行为是permit时:permit(允许通过)流行为是deny时:deny(丢弃报文)deny(丢弃报文)permit(功能不

8、生效,按照原转发方式进行转发)permit(功能不生效,按照原转发方式进行转发)permit(功能不生效,按照原转发方式进行转发)NATpermit(进行NAT转换)permit(功能不生效,按照原转发方式进行转发)permit(功能不生效,按照原转发方式进行转发)permit(功能不生效,按照原转发方式进行转发)permit(功能不生效,按照原转发方式进行转发)IPSECpermit(数据流经过IPSec处理后再转发)不允许出现此情况permit(功能不生效,按照原转发方式进行转

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。