acl

ACL策略的作用 - 文档归属的局限性 - 任何人只属于三种角色：属主，属组，其他人。 - 无法实现更精细的控制 ACL访问策略 - 能够对个别用户，个别组设置独立的权限。 - 大多数挂载的EXT3/4,XFS文件系统默认以支持。 使用getfacl,setfacl命令 格式：getfacl 文档 setfacl -m u:用户名:权限类别 文档 setfacl -m g:组名:权限类别 文档 setfacl -x u:用户名 文档 （删除指定的ACL策略） setfacl -b 文档 （清空ACL策略） 例： setfacl -x u:zhangsan /test setfacl -m u:zhangsan:rwx /test setfacl -m g:zhangsan:rx /test 转载于:https://blog.51cto.com/13399294/1981847 来源： CSDN 作者： weixin_34327761 链接： https://blog.csdn.net/weixin_34327761/article/details/92719813

定义默认ACL控制策略 1)为目录 /public/ 设置ACL策略，使用户gelin01具有rwx权限 2)在 /public/ 下创建子目录gdir1、文件gfile1，分别查看其ACL策略 3)为目录 /public/ 设置可继承权限为“用户ht02具有rwx权限” 4)在 /public/ 下创建子目录gdir2、文件gfile2，分别查看其ACL策略 5)以用户ht02登入，做以下测试： 6)对/public/目录是否有写入权限 7)对/public/下的gdir2和gfile2是否有写入权限 8)对/public/下的gdir1和gfile1是否有写入权限 ACL默认策略，是一个可以继承的ACL策略。但需注意的是默认策略对目录本身是没有生效的，对于子目录子文件才开始生效。 步骤一：为目录 /public/ 设置ACL策略，使用户gelin01具有rwx权限 [root@localhost ~]# id gelin01 //测试是否有gelin01用户 uid=501(gelin01) gid=501(gelin01) 组=501(gelin01),502(tarena) [root@localhost ~]# mkdir /public //创建目录 [root@localhost ~]# getfacl /public //查看ACL策略 getfacl:

实验名称：标准访问控制列表 实验拓扑： 实验步骤： （1） 连接主机，交换机，路由器实现全网互连 （2） 配置路由器的访问控制列表 （3） 验证 实验名称：命名标准访问控制列表 实验拓扑： 实验步骤： （1） 连接主机，交换机，路由器实现全网互连 （2） 配置交换机 （3） 验证 实验名称：扩展控制访问列表 实验拓扑： 实验步骤： （1） 连接主机，交换机，路由器，服务器实现全网互连 （2） 配置第一个路由器实现 pc6 能访问服务器的 www 服务不能 ping 通服务器，这个网段的其他主机都能完全访问服务器 （3） 验证 实验名称：命名扩展控制访问列表 实验拓扑： 实验步骤： （1） 连接主机，交换机，路由器，服务器实现全网互连 （2） 配置交换机 （3） 验证 转载于:https://blog.51cto.com/fengzhankui/1540236 来源： CSDN 作者： weixin_34380948 链接： https://blog.csdn.net/weixin_34380948/article/details/91820562

ACL(访问控制列表）：是应用在路由器接口的指令列表。 其基本原理：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACL可以分为以下两种基本类型： 1、标准访问控制列表：检查数据包的源地址。其结果基于源网络/子网/主机IP地址，来决定允许还是拒绝转发数据包。它实行1~99之间的数字作为代表。 2：扩展访问控制列表：对数据包的源地址与目标地址均进行检查。它也能建厂特定的协议、端口号以及其他参数。它使用1~199之间的数字作为表号。 访问控制列表的工作原理: ACL是一簇规则的集合，它应用在路由的某个接口上。对路由器而言，访问控制列表有两个方向： 出：已经过路由的处理，正离开路由接口的数据包。 入：已到达路由器接口的数据包，将被路由处理。 如果对接口应用了访问控制列表，也就是说该组应用了一组规则，那么路由器将对数据包应用该组规则进行顺序检查。 ·如果匹配第一条规则，则不在往下检查，路由器将决定该数据包允许通过或拒绝通过。 ·如果不匹配第一条规则，则依次往下检查，知道有任何一条规则配备，路由器将决定该数据包允许通过汇拒绝通过。 ·如果没有任何一条规则匹配则路由器根据默认规则将该数据包。 数据包要么被允许，要么被拒绝。 在ACL中，规则的放置顺序是很重要的

下面的例子是vlan10 vlan20 vlan30 三个vlan在三层交换机通过做策略不能互通，但是又能够通过做策略让每个vlan里面的10这个ip能够互通。 拓扑截图： # sysname Huawei # vlan batch 10 20 30 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # diffserv domain default # acl number 3001 rule 10 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.25 5 rule 15 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.25 5 acl number 3002 rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.25 5 rule 15 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.25 acl number 3003 rule 10

ACL，主要的目的是提供传统的权限之外的细部的权限设置，它可以为每一个用户设置权限，为每一个文件或目录设置权限。 setfacl设置acl策略 -m 设置或修改文件或目录的acl规则 setfacl -m u:usera:r passwd setfacl -m m:r passwd 掩码的权限，该权限将影响用户对文件或目录的权限，即用户的有效权限会发生改变 setfacl -m d:u:userc:rwx passwd userc默认acl权限为rwx -M 从一个文件中读取acl规则并设置 -x 删除acl规则 setfacl -x u:usera passwd -X 从文件中读取acl规则并删除 -b 删除所有扩展的acl规则，基本acl规则保留 setfacl -b passwd -k 删除默认的acl策略，如果没有默认的acl规则，不提示。 默认权限的意思是用户对设置了默认权限的目录下的子目录具有默认设置的权限，而该目录对该用户扔是基本权限 --mask 从新计算有效权限，即使acl mask被明确指定 -n 不要重新计算有效权限 -d 设置默认的acl规则，只针对目录 -R 递归设置acl规则，如果希望对用户设置目录下面的子目录也有相同权限，则需要使用-R递归设置 getfacl查看acl策略 getfacl passwd 来源： CSDN 作者： IT进行曲 链接：

路由重分发 redistribution 不同路由协议之间的信息互导 分类 重分发点 单点/多点 方向 单向/双向 原理 种子度量值 seed metric 用于实现不同路由协议之间的度量转换 常见的种子度量值 RIP 默认无穷大，手工设置 EIGRP 默认无穷大，手工设置 OSPF O E2 20 O E1 20+X ISIS 0 BGP 自己没有度量值，导入多少是多少 部署： 单点双向 router rip version 2 redistribute static redistribute eigrp 100 metric 5 redistribute ospf 100 metric 5 match internal external 1 external 2 nssa-external 1 nssa-external 2 redistribute isis level-1-2 metric 3 network 10.0.0.0 no auto-summary router eigrp 100 redistribute connected redistribute static redistribute rip metric 100000 100 255 255 1500 redistribute ospf 100 metric 1 1 1 1 1 redistribute

ACL是由一个或多个用于报文过滤的规则组成的规则集合，通过在不同功能上的应用可达到不同的应用效果，如用户登录控制、网络访问控制、QoS流策略、路由信息过滤、策略路由等方面。 华为S系列交换机中，根据ACL所过滤的报文类型和功能的不同又分为多种ACL类型，如基本ACL、高级ACL、基本ACL6、高级ACL6、二层ACL、用户自定义ACL等。ACL6是基于IPv6协议的。 ACL 基础 ACL（AccessControl List，访问控制列表）是一组报文过滤规则的集合，以允许或阻止符合特定条件的报文通过。当ACL被其他功能引用时，根据设备在实现该功能时的处理方式（硬件处理或者软件处理），ACL可以被分为基于硬件的应用和基于软件的应用。 一、ACL的分类及主要应用 在华为S系列交换机中，按照创建ACL时的命名方式分数字型ACL和命名型ACL：创建ACL时如果仅指定了一个编号，则所创建的是数字型ACL；创建ACL时如果指定了一个名字，则所创建的是命名型ACL。按照ACL功能的不同，又可把ACL分为基于接口的ACL、基本ACL、基本ACL6、高级ACL、高级ACL6、二层ACL和用户自定义ACL这几类。主要区别就是所支持的过滤条件不同。 基本ACL和高级ACL只对IPv4报文生效，但基本ACL和基本ACL6、高级ACL和高级ACL6对应的编号可以相同，二者互不影响。 二

1.定义ACL控制策略 问题 1)创建账户：mike、john、kaka 2)创建文件：/data/file1.txt 3)mike对文件有读写权限，john只有读权限。其他用户没有任何权限 4)kaka具有与john相同权限 5)创建lily用户，lily对file1.txt具有读执行权限，其他用户没有任何权限 方案 并不是所有的分区都支持ACL策略设置，后续会学习怎样让一个分区支持ACL。在安装系统时划分的分区默认是支持ACL策略的，而如果该分区是在安装系统之后创建的默认是不支持的。 ACL策略应用的情况是，当所有者、所属组、其他人三个归属关系，三种身份的权限都不能满足某个用户或组的权限设置。这个时候ACL可以为这个用户或组单独设置权限，使Linux权限划分设置更加灵活。 步骤 实现此案例需要按照如下步骤进行。 步骤一：创建账户：mike、john、kaka 命令操作如下所示： [root@localhost ~]# useradd mike [root@localhost ~]# useradd john [root@localhost ~]# useradd kaka 步骤二：创建文件：/data/file1.txt 命令操作如下所示： [root@localhost ~]# touch /data/file1.txt [root@localhost ~]# ls -l

ACL（Access Control List，访问控制列表） 是路由器接口的指令列表 ， 用来控制端口进出的数据包 。 ACL适用于所有的路由协议，如IP、IPX、AppleTalk等 。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。访问控制列表使用包过滤技术，在 路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口 等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的，该技术初期仅在路由器上支持，现在已经支持三层交换机和二层交换机。ACL的定义是基于每一种协议的，如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么用户必须定义三种ACL来分别控制这三种协议的数据包。 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问网络，而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞 。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 注意，并不是越多ACL就越好，因为ACL会消耗路由器的资源，影响路由器的性能