一、题目
高级ACL的编号范围是?
A. 6000~6031
B. 4000~4999
C. 3000-3999
D. 2000-2999
二、题目
C
三、解析
分类 | 适用的IP版本 | 规则定义描述 | 编号范围 |
基本ACL | IPv4 | 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。 | 2000~2999 |
高级ACL | IPv4 | 既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。 | 3000~3999 |
二层ACL | IPv4&IPv6 | 使用报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、二层协议类型等。 | 4000~4999 |
用户自定义ACL | IPv4&IPv6 | 使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则,即以报文头为基准,指定从报文的第几个字节开始与字符串掩码进行“与”操作,并将提取出的字符串与用户自定义的字符串进行比较,从而过滤出相匹配的报文。 | 5000~5999 |
用户ACL | IPv4 | 既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。 | 6000~6031 |
基本ACL6 | IPv6 | 可使用IPv6报文的源IPv6地址、分片信息和生效时间段来定义规则。 | 2000~2999 |
高级ACL6 | IPv6 | 可以使用IPv6报文的源IPv6地址、目的IPv6地址、IPv6协议类型、ICMPv6类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。 | 3000~3999 |
四、扩展 — ACL
基本ACL(Access Control List)是网络中常用的一种安全机制,用于限制数据流量的流入或流出。它可以帮助网络管理员实现对网络流量的控制和筛选,以提高网络的安全性和性能。
基本ACL的应用场景:
- 路由抓取:基本ACL可以用于将抓取路由用于筛选路由,以实现路由策略从而实现访问控制。
- 网络访问控制:ACL可以用于网络设备如交换机和路由器,对网络流量进行过滤和控制。例如,可以限制特定IP地址或IP地址范围的网络流量,或者根据源/目标端口和协议类型等对流量进行过滤。
- 保护网络安全:ACL在网络安全领域应用广泛,例如可以通过限制特定端口的访问,防止潜在的恶意攻击。例如,使用基本ACL限制Telnet登录权限,确保只有特定IP地址的管理员可以远程登录网络设备。
- 优化网络性能:通过ACL,可以根据业务需求对网络流量进行分类和优先级调整。例如,可以根据数据包的优先级字段或自定义分类规则,对高优先级的数据包赋予更高的优先级,从而优化网络性能。
- 实现数据过滤:ACL可以用于数据包的过滤,例如根据数据包的源IP地址、目标IP地址、协议类型等条件进行过滤。在特定的业务场景下,可以通过设置ACL来实现对特定类型数据包的过滤和阻断。
- 用于地址转换:ACL可以用于实现网络地址转换(NAT),将私有IP地址转换为公有IP地址,主要用于实现内部网络访问外部网络的功能。
基本ACL的配置方法:
- 确定要限制的流量类型:首先需要确定要限制的流量类型,如源IP地址、目的IP地址、传输协议(TCP、UDP等)或端口号。
- 创建ACL规则:根据确定的流量类型,创建相应的ACL规则。例如,如果要限制特定IP地址的访问,可以创建一个规则,指定源IP地址为该地址,并设置允许或拒绝的操作,当然默认情况下ACL规则是deny没有定义的流量的。
- 应用ACL规则:将ACL规则应用于适当的接口或设备上。这可以通过在接口或设备级别上配置ACL,或通过应用于特定流量的访问组来实现。
- 检查和修改ACL规则:定期检查ACL规则的有效性,并根据网络需求进行必要的修改。这可以包括添加、删除或修改ACL规则。
基本配置ACL规则的命令的结构如下。
rule [ rule-id ] { deny | permit } [source { source-address source-wildcard | any } | logging | time-range time-name ] |
命令中各个组成项的解释如下:
rule:标识这是一条规则。
rule-id:标识这个规则的编号。
deny | permit:这是一个二选一选项,表示与这条规则相关联的处理动作。deny表示“拒绝”;permit表示“允许”。
source:表示源IP地址信息。
source-address:表示具体的源IP地址。
source-wildcard:表示与source-address相对应的通配符。source-wildcard和source-address结合使用,可以确定出一个IP地址的集合。
any:表示源IP地址可以是任意地址。
logging:表示需要将匹配上该规则的IP报文进行日志记 录。
time-range time-name:表示该规则的生效时间段为time-name。
以下是华为设备上基本ACL配置的案例:
- 创建一个允许特定源IP地址访问目标IP地址的ACL规则:
[Switch] acl number 2001 [Switch-acl-basic-2001] rule permit source 192.168.1.10 0 [Switch-acl-basic-2001] rule deny [Switch-acl-basic-2001] quit |
在上述示例中,ACL编号为2001,第一条规则允许源IP地址为192.168.1.10的流量通过,第二条规则为默认拒绝规则。
- 将ACL规则应用于接口的入方向:
[Switch] interface GigabitEthernet0/1/0 [Switch-GigabitEthernet0/1/0] ip address 10.0.0.1 255.255.255.0 [Switch-GigabitEthernet0/1/0] traffic-filter inbound acl 2001 [Switch-GigabitEthernet0/1/0] quit |
上述示例中,ACL规则2001被应用于GigabitEthernet0/1/0接口的入方向,用于过滤该接口上的入流量。
- 创建一个允许特定端口号通过的ACL规则:
[Switch] acl number 3001 [Switch-acl-basic-3001] rule permit tcp destination-port eq 80 [Switch-acl-basic-3001] rule permit udp destination-port eq 53 [Switch-acl-basic-3001] rule deny [Switch-acl-basic-3001] quit |
在上述示例中,ACL编号为3001,第一条规则允许目标端口号为80的TCP流量通过,第二条规则允许目标端口号为53的UDP流量通过,第三条规则为默认拒绝规则。
这些示例展示了华为设备上基本ACL配置的一些常见用法。实际的ACL配置取决于网络的需求和安全策略,可以根据具体情况进行调整和扩展。