时间:2023-04-27 09:17
人气:
作者:admin
一、ACL的概述
ACL:访问控制列表
※是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;
※ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能(此功能侧面可以说明ACL可以提高网络的安全性),针对AC所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调令ACL来进行报文过滤),ACL只是一个匹配用的工具;
※ACL除了能够对报文进行匹配,还能够用于匹配路由;
※主要应用于流量过滤,实际上是一条一条规则的集合,是一种工具,可以应用在任何场合
二、ACL是什么
ACL能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具;ACL还能够用于匹配路由条目。说了这么多,那么ACL到底是什么呢?下面就让我们从ACL的配置深入了解它吧。
1、ACL的标识种类
①:利用数字标识
②:利用名称标识
具体分为以下四类
2、ACL的匹配顺序
Rule:代表第一条,第二条
5:步长
permit:允许
deny:拒绝
这里需要提一点的是,为什么一般rule 5步长写5,而不是从1/2/3开始,这个没有固定的数字,以上图举例,如果说步长写5,临时想在中间插入一个不允许访问192.168.1.4,就可以在中间插入,如果是rule1/2/3,就没办法中间插入。
3、ACL的配置
创建ACL:
aclnum编号范围是2000~2999
创建一个规则
rule5(permit/deny)sourcesrc-addresswildcard source:源;wildcare:通配符
查看acl信息
displayaclnum
激活需进出口接口:
traffic-filteroutbound/inboundaclnum outbound:出的流量接口;inbound:进的流量接口
允许/不允许所有通过
rulepermit/denysourceany
4、wildcare:通配符
这里要说明一个wildcare(通配符)的概念:
通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特为需要严格匹配,哪些比特位则无所谓
通配符通常采用类似网络掩码的点分十进制形式表示,但是汉语却与网络掩码完全不同
如上图,0:表示需匹配;1:表示无所谓
再举个通俗易懂的例子:
有两个特殊的通配符
192.168.1.1 0.0.0.0 =192.168.1.1 0
0.0.0.0 255.255.255.255 = any
三、实验加深理解
1、实验要求:允许PC2通过数据
只有pc2可以访问
先配置网关
[Huawei]intg0/0/0 [Huawei-GigabitEthernet0/0/0]ipadd192.168.1.25424 [Huawei-GigabitEthernet0/0/0]intg0/0/1 [Huawei-GigabitEthernet0/0/1]ipadd192.168.2.25424 [Huawei-GigabitEthernet0/0/1]intg0/0/2 [Huawei-GigabitEthernet0/0/2]ipadd10.0.0.25424
先创建列表
[Huawei]acl2000
定义规则
ruledenysource192.168.1.00.0.0.255**阻挡1.0网段的所有访问**
查看acl 2000信息
[Huawei-acl-basic-2000]disacl2000
这时候是可以ping通的,配置了接口但是还没有激活所以可以ping通
然后激活接口
[Huawei]intg0/0/2先进要激活的接口
对于接口而言,有出的流量接口(outbound),也有进的流量接口(inbound)
[Huawei-GigabitEthernet0/0/2]traffic-filteroutboundacl2000
然后查看下信息
这时候pc1就无法ping通了
pc2可以ping通
1.2实验一的基础上发生更改,改为:仅允许1.0可以通过。
先断掉之前配置的rule 5
创建acl
[Huawei]acl2000
允许192.168.1.0网段
[Huawei-acl-basic-2000]rulepermitsource192.168.1.00.0.0.255
阻断所有网段
[Huawei-acl-basic-2000]ruledenysourceany
ping发现pc1可以ping通,pc2不可以
1.3、在实验一的基础上,更改实验要求:若允许1.1可以ping通pc3,但是2.1不能ping通pc3。
在g0/0/2出接口配置outbound
创建acl
[Huawei]acl3000**有源有目标地址,acl等级要3000**
允许源地址192.168.1.0访问目的地址10.0.0.1网段
[Huawei-acl-adv-3000]rulepermitipsource192.168.1.10destination10.0.0.10
不允许源地址192.168.2.0访问目的地址10.0.0.1网段
[Huawei-acl-adv-3000]ruledenyipsource192.168.2.10destination10.0.0.10
查看一下
然后激活acl 3000之前需要先询关闭掉acl2000的
[Huawei-GigabitEthernet0/0/2]undotraffic-filteroutbound
进入接口g0/0/2 ,激活acl 3000
[R1-acl-adv-3000]intg0/0/2 [Huawei-GigabitEthernet0/0/2]traffic-filteroutboundacl3000
达成结果,1.1可以ping通,1.2无法ping通
实验二、
①、首先实现全网互通
sw1 [Huawei]sysSW1 [SW1]vlanbatch1020 [SW1]inte0/0/1 [SW1-Ethernet0/0/1]pla [SW1-Ethernet0/0/1]pdv10 [SW1-Ethernet0/0/1]inte0/0/2 [SW1-Ethernet0/0/2]pla [SW1-Ethernet0/0/2]pdv20 [SW1-Ethernet0/0/2]inte0/0/3 [SW1-Ethernet0/0/3]pla [SW1-Ethernet0/0/3]pdv10 [SW1-Ethernet0/0/3]inte0/0/4 [SW1-Ethernet0/0/4]pla [SW1-Ethernet0/0/4]pdv20 [SW1-Ethernet0/0/4]inte0/0/5 [SW1-Ethernet0/0/5]plt [SW1-Ethernet0/0/5]ptava R1 [Huawei]sysR1 [R1]intg0/0/0.1 [R1-GigabitEthernet0/0/0.1]ipadd192.168.1.25424 [R1-GigabitEthernet0/0/0.1]dtv10 [R1-GigabitEthernet0/0/0.1]abe [R1-GigabitEthernet0/0/0.1]intg0/0/0.2 [R1-GigabitEthernet0/0/0.2]ipadd192.168.2.25424 [R1-GigabitEthernet0/0/0.2]dtv20 [R1-GigabitEthernet0/0/0.2]abe [R1]intg0/0/1 [R1-GigabitEthernet0/0/1]ipadd12.1.1.124 [R1]iproute-static0.0.0.00.0.0.012.1.1.2 R2 [R2]intg0/0/0 [R2-GigabitEthernet0/0/0]ipadd12.1.1.224 [R2-GigabitEthernet0/0/0]intg0/0/1 [R2-GigabitEthernet0/0/1]ipadd100.1.1.25424 [R2]iproute-static192.168.1.02412.1.1.1 [R2]iproute-static192.168.2.02412.1.1.1
全网ping通,实现全网互通
②、配置ACL使得vlan10和vlan20不通
阻止vlan10和vlan20,需要阻止192.168.10.0的方向
rulepermitsourceany:允许所有通过 [R1]acl2000 [R1-acl-basic-2000]rulepermitsourceany [R1-GigabitEthernet0/0/0.2]traffic-filteroutboundacl2000
结果如下图,已实现
③、配置ACL使R1不能访问webserver
[R1]acl3000 [R1-acl-adv-3000]ruledenytcpsource192.168.1.00.0.0.255destination10.1.1.2 0destination-porteq80
display acl 3000 查看一下配置是否正确
审核编辑:刘清
关注微信