基本访问控制列表编号范围

ACL命令——H3C交换机（基本ACL）展开全文ACL命令——H3C交换机（基本ACL）1、acl命令用于创建一条ACL，并进入相应的ACL视图。

undo acl命令用于删除指定的ACL，或者删除全部ACL。

ACL支持两种匹配顺序，如下所示：1、配置顺序：根据配置顺序匹配ACL规则。

2、自动排序：根据“深度优先”规则匹配ACL规则。

“深度优先”规则说明如下：1、基本ACL的深度优先以源IP地址掩码长度排序，掩码越长的规则位置越靠前。

排序时比较源IP地址掩码长度，若源IP地址掩码长度相等，则先配置的规则匹配位置靠前。

例如，源IP地址掩码为255.255.255.0的规则比源IP地址掩码为255.255.0.0的规则匹配位置靠前。

2、高级ACL的深度优先以源IP地址掩码和目的IP地址掩码长度排序，掩码越长的规则位置越靠前。

排序时先比较源IP地址掩码长度，若源IP地址掩码长度相等，则比较目的IP地址掩码长度；若目的IP地址掩码长度也相等，则先配置的规则匹配位置靠前。

例如，源IP 地址掩码长度相等时，目的IP地址掩码为255.255.255.0的规则比目的IP地址掩码为255.255.0.0的规则匹配位置靠前。

可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序（优先匹配范围小的规则），如果不指定则缺省为用户配置顺序。

用户一旦指定一条ACL的匹配顺序后，就不能再更改，除非把该ACL规则全部删除，再重新指定其匹配顺序。

ACL的匹配顺序特性只在该ACL被软件引用进行数据过滤和分类时有效。

【举例】# 定义ACL 2000的规则，并定义规则匹配顺序为深度优先顺序。

<H3C> system-viewSystem View: return to User View with Ctrl+Z.[H3C] acl number 2000 match-order auto[H3C-acl-basic-2000]2、description命令用来定义ACL的描述信息，描述该ACL的具体用途。

acl规则编号（最新版）目录1.ACL 规则简介2.ACL 规则编号的构成3.ACL 规则编号的作用4.示例正文一、ACL 规则简介ACL（Access Control List，访问控制列表）是一种用于控制网络通信访问的技术，通常用于防火墙、路由器等设备中，以限制特定网络流量的访问。

ACL 规则用于定义允许或拒绝特定网络流量的访问，从而保护网络安全和确保网络资源的合理使用。

二、ACL 规则编号的构成ACL 规则编号是由一个或多个数字组成，这些数字代表了规则的优先级和顺序。

通常，规则编号的位数越多，优先级越高。

在配置 ACL 时，需要为每个规则分配一个唯一的编号，以便设备能够正确地识别和执行这些规则。

三、ACL 规则编号的作用ACL 规则编号的主要作用是区分不同的访问控制规则。

在网络设备中，可能会有多个规则用于控制同一种网络流量的访问。

规则编号可以帮助网络设备快速地找到并执行特定的规则，从而提高访问控制的效率。

此外，规则编号还可以用于修改和删除规则。

在修改规则时，只需修改规则编号对应的条件和动作即可；在删除规则时，只需删除对应的规则编号即可。

这使得对 ACL 规则的管理变得更加简单和方便。

四、示例假设有一个网络设备需要限制外部网络访问内部网络的 SSH 服务，可以配置如下 ACL 规则：1.规则编号为 1，允许外部网络访问内部网络的 SSH 服务，目的地址为 192.168.1.1（内部网络 SSH 服务所在主机），目的地端口为 22（SSH 服务端口），动作为允许（permit）。

2.规则编号为 2，拒绝外部网络访问内部网络的其他服务，目的地址为 0.0.0.0（表示所有内部网络主机），目的地端口为任意（any），动作为拒绝（deny）。

这样，外部网络只能访问内部网络的 SSH 服务，而无法访问其他服务，从而提高了网络安全性。

思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。

分享给⼤家供⼤家参考，具体如下：⼀、ACL概述ACL (Access Control List,访问控制列表）是⼀系列运⽤到路由器接⼝的指令列表。

这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据⼀定的规则进⾏，如源地址、⽬标地址、端⼝号等。

ACL使得⽤户能够管理数据流，检测特定的数据包。

路由器将根据ACL中指定的条件，对经过路由器端⼝的数据包进⾏检査。

ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进⾏过滤。

ACL在路由器的端⼝过滤数据流，决定是否转发或者阻⽌数据包。

ACL应该根据路由器的端⼝所允许的每个协议来制定，如果需要控制流经某个端⼝的所有数据流，就需要为该端⼝允许的每⼀个协议分别创建ACL。

例如，如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。

针对IP协议，在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊（inbound)端⼝的数据流，另⼀个⽤于过滤流出（outboimd)端⼝的数据流。

顺序执⾏：—个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。

当路由器在决定是否转发或者阻⽌数据包的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。

当检测到某个指令条件满⾜的时候，就执⾏该指令规定的动作，并且不会再检测后⾯的指令条件。

ACL作⽤： * 限制⽹络流量，提⾼⽹络性能。

* 提供数据流控制。

* 为⽹络访问提供基本的安全层。

⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数，只针对源地址进⾏过滤。

2. 扩展ACL: access-list-number编号100~199之间的整数，可以同时使⽤源地址和⽬标地址作为过滤条件，还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。

ØACL基本概念ØACL基本原理ØACL配置流程ØACL配置命令•随着网络的飞速发展，网络安全和网络服务质量的问题日益突出。

网络环境的安全性和网络服务质量的可靠性是网络性能评价的重要指标。

•通过ACL可以实现对网络中报文流的精确识别和控制，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的。

•本次任务介绍ACL的基本原理及基本ACL的配置。

ØACL（访问控制列表）是由一条或多条规则组成的集合。

ACL相当于一个过滤器，而规则相当于滤芯。

设备可以根据这些规则，抓取特定的报文，并对这些报文进行控制。

示例中，公司网络的财务管理系统只希望被财务部门的主机访问，可以通过定义ACL规则并部署在相关设备上来保证通信的安全。

ØACL组成ACL由一系列规则组成。

具体包括：•编号：ACL标识，不同类型ACL的编号有特定的取值范围；•规则：用于描述报文的匹配条件及处理动作。

包括一下要素：•规则编号：标识ACL规则，可以自行配置规则编号，也可以由系统自动分配；•处理动作：允许（Permit）/拒绝（Deny）；•匹配条件：定义报文的匹配项。

ACL组成示例ØACL部署应用ACL定义之后，必须在业务模块中应用才能生效。

ACL应用的业务模块包括：•对转发的报文进行过滤：基于全局和接口，对转发的报文进行过滤，从而使设备能够进一步对过滤出的报文进行丢弃、修改优先级、重定向等处理。

•对上送CPU处理的报文进行过滤：对上送CPU的报文进行必要的限制，可以避免CPU处理过多的协议报文造成占用率过高、性能下降。

•登录控制：对设备的登录权限进行控制，允许合法用户登录，拒绝非法用户登录，从而有效防止未经授权用户的非法接入，保证网络安全性。

•路由过滤：应用在各种动态路由协议中，对路由协议发布、接收的路由信息以及组播流量进行过滤。

最基本的ACL应用方式，是在简化流策略/流策略中应用ACL，使设备能够基于全局或接口下发ACL，实现对转发报文的过滤。

ACL的应用一、概述属于IOS包过滤防火墙的一部分，但是现在不仅仅是用在这个方面。

现在可以应用在：1、data plan 通过一些对数据包的匹配，抓到数据包对数据包进行丢弃或者转发等操作（对象:数据包、数据帧）2、control plan 对路由条目的匹配，对路由条目执行策略（路由条目）二、理论以及命令全局模式下：access-list<1-99> IP标准访问控制列表<100-199>IP扩展访问控制列表<200-299>协议类型代码访问控制列表没有明确标准的应用的流量<300-399>DECnet 访问控制列表<700-799>48bit MAC地址访问控制列表<1100-1199>扩展的48bit MAC地址访问控制列表<1300-1999>IP标准访问控制列表<2000-2699>IP扩展访问控制列表这些包含了常见的IP的二层协议和三层协议1、标准只能匹配协议中的一个地址（源地址）命令access-list 1 permit（允许）/deny（拒绝）/remark hostname/x.x.x.x/any（所有主机通配符32个1）/host（一台单一主机通配符32个0）掩码：/nn&x.x.x.x log/<cr>例子access-list 1 permit 1.1.1.1访问控制列表必须在某种技术环节下调用，否则不存在任何意义。

一般调用在接口下，比较常用。

调用的时候有方向：in或者out注意：每条访问控制列表后面都有一个隐式拒绝一个编号的访问控制列表可以使用多行，默认一般都是以10 开始编号，间隔是10，最大是2147483647。

一般认为无上限。

ACL书写的时候注意，是金字塔式的，从上到下，匹配的范围越来越大。

因为ACL 一旦匹配，就会立即执行动作，不会放到后一条。

例子：first：deny 192.168.1.0Second：permit 192.168.0.0Third：deny 192.0.0.0ACL使用反掩码（标识一个子网的范围）和通配符（不连续）确定所写的网段的路由范围反掩码与通配符的不同，是通配符不用连续例子：192.168.1.0 192.168.3.0 192.168.5.0 如何用通配符匹配192.168.1.0 192.168.00000001.0192.168.3.0 192.168.00000011.0192.168.5.0 192.168.00000101.0红位标注为不一致的地方，其他均为一致的地方，一致的地方使用0标识不一致的地方使用1标识，而且匹配IP地址最后的几个比特不做严格限制，最后结果是：192.168.1.0（3.0、5.0都行最后默认都会变成1.0）0.0.6.255（通配符）网络号是匹配路由的时候使用，IP是对数据包进行匹配show ip access-lists 查询出匹配了多少包clear ip access-lists counters [acl num]/<cr>没加反掩码或者通配符的话，那么后面自动跟上0.0.0.0如果先permit any 再permit 明细的话，会报错。

高级acl编号范围
高级访问控制列表（ACL）是一种安全性技术，主要用来控制用户、组和计算机之间访问文件夹、磁盘、印刷任务和网络资源的权限。

这种技术允许网络管理员创建灵活的访问权限模式，使特定组的用户可以在网络上分享资源而无需担心安全问题。

ACL的编号范围从0到65535，分为本地编号和全球编号两部分。

本地编号范围一般由0到999,其中，0是系统为特定安全内容（包括计算机本身）分配的，2-999由网络管理员随意分配，它们一般用来指定特定用户，组或计算机的安全属性。

全球编号由1000开始，它们被分配给组织和企业使用，不仅用于本地，而且也可以用于 Internet 网络中。

因此，它们为用户和系统的安全性提供了更好的保护。

此外，ACL还支持多层级访问控制。

每一层可以设置不同的权限，以更有效地控制文件夹、磁盘、印刷任务和网络资源的访问。

系统管理员可以设置不同的安全策略，使某个文件夹的访问权限不同于另一个文件夹，这样，从更宽泛的安全角度来讲，可以增强整个网络安全性。

总之，高级访问控制列表（ACL）编号范围从0到65535，其中，本地编号从0到999，全球编号从1000开始，通过特定安全编号来控制用户、组和计算机之间对文件夹、磁盘、印刷任务和网络资源的访问权限，这样可以根据安全策略强化网络的安全性，有效保护关键资源。

ACCESS-LIST访问列表一、访问列表的介绍路由器中的访问列表可以实现网络允许或拒绝的访问请求。

相当于网络中防火墙功能。

思科路由器中的访问列表包括两种：标准型访问控制列表与扩展型访问控制列表。

通过先在全局模式下建立访问控制列表，然后再将控制列表在路由器指定接口指定数据流向上，即可完成拒绝或允许。

网络上的防火墙有两种：一种包过滤，另一种是应用层网关。

思科路由器的访问列表，属于包过滤型防火墙，其可以对数据包中的发送端地址、发送端端口、接收端端口、网络协议等进行检测与判定。

访问列表并不能完全抵御所有入侵，因此在网络中，各计算机仍需要建立相应保护措施。

二、访问列表的数据流向入站访问控制列表——通过某一个接口进入路由器的数据流，该列表会作用在该类数据流上出站访问控制列表——通过某一个接口离开路由器的数据流，访问控制列表会作用在该类数据流上。

注意在路由器的任何一个网络接口上均会存在两类访问列表即出站与入站三、路由器访问列表的两种类型从访问列表的检测项目进行分类1.标准型访问控制列表：它的访问控制列表编号范围是1—99，并且只能检测数据包中的发送端地址。

2.扩展型访问控制列表:该类访问控制列表编号范围100—199,并且该类列表可以检测,发送端目标地址\发送端与目标端端口\使用网络协议.四、访问控制列表对数据包检测方法：五、标准型访问控制列表的配置方法：1、访问控制列表的配置步骤：确保网络全部连通在路由器全局配置模式下建立标准型访问控制列表。

将在全局模式下建立的访问列表绑定到某一个指定接口的指定数据流向上。

2、访问控制列表的配置命令：在路由器全局配置模式下建立访问控制列表access-list 标准访问控制列表的编号动作源地址说明：标准访问列表的编号为1~99；动作即包括，permit 与deny,允许与拒绝源地址：指出满足该访问列表的发送端地址，格式如下：一个单独的IP——192.168.1.1 0.0.0.0一个单独的IP——host 192.168.1.1一个指定的网络——192.168.2.0 0.0.0.255一个指定的网络——192.168.3.32 0.0.0.31所有网络——0.0.0.0 255.255.255.255所有网络——any注意的是这里的后一个位置不是子网掩码，而是子网掩码通配符。

网络与信息安全管理员模拟考试题与参考答案 一、单选题（共83题，每题1分，共83分） 1.在OSI模型中，第N层和其上的N+1层关系是()。 A、N层对N+1层没有任何作用 B、N层利用N+1提供的服务 C、N层为N+1层提供服务 D、N+1 正确答案：C 2.DNS服务采用（）编码识别方式。 A、UTF-8 B、UTF-16 C、UTF-32 D、UTF-64 正确答案：A 3.交换机至少是工作在OSI参考模型的第（）层 A、3 B、1 C、2 D、4 正确答案：C 4.下列关于网络防火墙的作用叙述中，说法正确的是() A、防止黑客访问 B、防止内部信息外泄 C、防止系统感染病毒与非法访问 D、建立内部信息和功能与外部信息和功能之间的屏障 正确答案：D 5.（）门禁系统不适合数量多于50人或者人员流动性强的地方。 A、不联网门禁 B、485 C、指纹门禁 D、TCP/IP 正确答案：A 6.政府部门的Internet顶级域名是指（） A、COM B、GOV C、EDU D、NET 正确答案：B 7.下列计算机硬件设备中,只能够暂时保存数据的是(）。 A、硬盘 B、光盘 C、优盘 D、内存 正确答案：D 8.MHz和66MHz,当采用66MHz总线时钟工作于64位系统时,其数据传输速率为(）Mb/s。 A、528 B、264 C、132 D、1056 正确答案：A 9.（）是位于两个或多个网络间实施网络之间访问控制的一组组件集合 A、防火墙 B、入侵型病毒 C、杀毒软件 D、外壳型病毒 正确答案：A 10.Ping本地地址或127、0、0、1,可以确认该计算机是否正确安装了() A、路由器 B、驱动 C、交换机 D、网卡 正确答案：D 11.漏洞扫描器通常有三种形式哪一种不是其形式（） A、单一的扫描软件 B、基于客户机/服务器模式或者浏览器/服务器模式 C、其他安全产品的组件 D、FDISK 正确答案：D 12.下列计算机接口类别，可用于连接键盘和鼠标的是（） A、ID B、接口 C、US D、接口 E、并行口 F、SCSI 正确答案：B 13.下列对静态分配IP地址描述正确的是()。 A、主页地址 B、必须手工分 C、不能地址挷定 D、互联网地址 E、本机 F、不用手工分 G、不便于地址挷定 H、服务器地址 正确答案：F 14.我国生产的CPU被命名为（）。 A、龙芯 B、银河 C、曙光 D、长城 正确答案：A 15.OSI参考模型共分为7层，其中最低层是物理层，最高层是 A、会话层 B、网络层 C、传输层 D、应用层 正确答案：D 16.（）不是闪存卡。 A、S B、卡 C、C D、卡 E、硬盘 F、记忆棒 正确答案：C 17.()是根据每个主机的MAC地址划分VLAN的。A、基于MAC地址的VLAN A、基于端口的 B、基于协议的 C、基于链路的 正确答案：A 18.OSPF协议封装在（）数据包内。 A、IP B、HTTP C、UDP D、TCP 正确答案：A 19.防火墙按性能可分为百兆级防火墙和()两大类 A、万兆级防火墙 B、千兆级防火墙 C、兆级防火墙 D、芯片级防火墙 正确答案：B 20.电子邮件有关的协议主要有pop协议和() A、MTP B、SMTP C、DNS D、TCP/IP 正确答案：B 21.软件系统方面的维护一般包括()数据库服务、用户数据等各方面的维护。 A、数据结构、网络服务 B、操作系统、网络服务 C、服务系统、网络服务 D、操作系统、数据结构 正确答案：B 22.3.2命令可以给路由器配置() A、默认路由 B、动态路由 C、静态路由 D、RIP 正确答案：C 23.与普通硬盘相比，（）是固态硬盘的缺点。 A、启动快 B、不会发生机械故障 C、无噪声 D、数据损坏后难以恢复 正确答案：A 24.以下不属于VLAN划分方法的是() A、基于端口的 B、基于 C、C D、基于协议的 E、基于 正确答案：D 25.职工上班时不符合着装整洁要求的是（）。 A、夏天天气炎热时可以只穿背心 B、不穿奇装异服上班 C、保持工作服的干净和整洁 D、按规定穿工作服上班 正确答案：A 26.HTTP是()英文缩写。 A、文件传输协议 B、超文本传输协议 C、远程登陆协议 D、简单网络管理协议 E、白橙、橙、白绿、蓝、白蓝、绿、白棕、棕 F、白绿、绿、白蓝、蓝、白橙、橙、白棕、棕 G、白橙、橙、白蓝、蓝、白绿、绿、白棕、棕 H、白绿、绿、白橙、蓝、白蓝、橙、白棕、棕 正确答案：D 27.安装天网防火墙后，如果在应用某些程序时，无法访问到本地客户端，应当() A、卸载天网防火墙 B、新建 C、重设 D、重启客户端 正确答案：B 28.用户可以使用的VLANID的范围是（）。 A、0-4096 B、1-4096 C、1-4094 D、0-4095 正确答案：C 29.在下列传输介质中，不是有线传输介质的是() A、光纤 B、双绞线 C、红外线 D、同轴电缆 正确答案：C 30.Windows2000server支持的文件系统类型中不包括哪一项？（） A、文件分配表系统 B、Fat32文件系统 C、Windows D、操作系统 正确答案：D 31.下列哪一项属于交换机的硬件故障？（） A、端口故障 B、密码丢失 C、配置不当 D、系统错误 正确答案：A 32.选用网络管理软件时需要注意的事项不包括（） A、为应用软件和服务提供环境 B、以预算为中心 C、对传统的支持 D、以业务为中心 正确答案：B 33.在数据库分层结构中，处于中间层的是（）。 A、物理层 B、网络层 C、视图层 D、逻辑层 正确答案：D 34.工作认真负责是（）。 A、衡量员工职业道德水平的一个重要方面 B、提高生产效率的障碍 C、种思想保守的观念 D、胆小怕事的做法 正确答案：A 35.IPv6组播地址标志字段（Flag）取值为（）时表示该组播地址是一个永久组播地址。 A、1 B、2 C、0 D、3 正确答案：C 36.缺省情况下，DHCP服务器分配IP地址的租期为()。 A、1h B、24h C、12h D、18h 正确答案：B 37.标准访问控制列表的编号范围是() A、100~ B、100~ C、l~ D、O~99 正确答案：C 38.路由选择算法的类型包括以下几种：静态和动态路由选择算法；域内和域间路由选择算法；()和距离向量路由选择算法。 A、RIP B、NLSP C、0SP D、链接状态路由选择算法 E、路由选择算法 正确答案：B 39.-5E-A0-B1-C3。关于该MAC地址的说法正确的是（）。 A、它是一个单播MAC地址 B、它是一个广播MAC地址 C、它是一个组播MAC地址 D、它是一个非法MAC地址 正确答案：C 40.将Cisco交换机的某个端口设置为干道链路模式的命令是() A、Router(config-if)B、Router(config-if)C、Switch(config-if)D、Switch(config-if)正确答案：D 41.RSTP协议不包含以下（）端口状态。 A、Discarding B、Blocking C、Learning D、Forwarding 正确答案：B 42.扫描一个IP段或者扫描一个Windows网络发现网络拓扑的方法是()。 A、靠网络监控的方法 B、靠网管员监控的方法 C、自动发现网络拓扑的方法 D、靠网络拓扑图发现 正确答案：C 43.（）门禁系统就是通过指纹代替卡进行管理的门禁设备，具有和485门禁相同的特性。 A、不联网门禁 B、485 C、指纹门禁 D、TCP/IP 正确答案：C 44.企业诚实守信的内求是（） A、增加员工福利 B、开展员工培训 C、维护企业信誉 D、注重经济效益 正确答案：C 45.办事公道是指从业人员在进行职业活动时要做到()。 A、有求必应，助人为乐 B、勤劳节俭有利于企业增产增效 C、勤劳和节俭符合可持续发展的要求 D、勤劳是现代市场经济需要的，而节俭则不宜提倡 E、追求真理，坚持原则 F、知人善任，提拔知己 G、公私不分，一切平等 H、勤劳节俭能够促进经济和社会发展 正确答案：A 46.()可以将内部专用IP地址转换成外部公用IP地址。 A、RARP B、ARP C、NAT D、DHCP 正确答案：C 47.以太网帧最长为()个字节。数据部分1500B A、1500 B、1518 C、46 D、64

访问控制列表ACLACL简介ACL（Access Control List）是一个常用的用于流量匹配的工具，ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配，然后对匹配的数据执行相应的策略（转发、丢弃、NAT 转换、限速）1.对访问网络的流量进行过滤，实现网络的安全访问；2. 网络地址转换(NAT)；3. QOS服务质量；4. 策略路由。

策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。

一、标准ACL:匹配条件较少，只能通过源IP地址和时间段进行流量匹配，在一些需要进行简单匹配的环境中使用。

R(config)# access-list 编号策略源地址编号：标准ACL范围1--- 99策略：permit允许 | deny 拒绝源地址：要严格检查的地址（ IP+通配符掩码）通配符掩码--- 是用来限定特定的地址范围（反掩码）用0 表示严格匹配用1 表示不检查例：主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机 ---- host 172.16.1.1 任意 ---- any练习：192.168.1.64/28子网掩码：255.255.255.240子网号： 192.168.1.64/28 (剩余4个主机位，网络号是16的倍数)广播地址： 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将ACL与接口关联：R(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理)，其他不允许访问财务部。