十二、访问控制列表ACL

一、访问控制列表ACL

  企业网络中的设备进行通信时,需保障数据传输的安全可靠和网络的性能稳定。 访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。

 

二、ACL应用

ACL应用场景

  1、ACL可以通过定义规则来允许或拒绝流量的通过。  

    十二、访问控制列表ACL_第1张图片

    上图中:两网段的数据,通过在路由器定议ACL规则,允许哪些能访问互联网,哪些只能访问服务器不能上互联网。

  2、ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作

    十二、访问控制列表ACL_第2张图片

    上图中,192.168.1.0网段的数据,不需要匹配规则都可以随便把数据传到外网。 但192.168.2.0网段的数据,必须进行加密才强以把数据传到外网

 ACL分类

     十二、访问控制列表ACL_第3张图片

ACL规则

   每个ACL可以包含多个规则,RAT根据规则来对数据流量进行过滤 rule 5 deny source 192.168.1.0 0.0.0.255 (拒绝源地址是192.168.1.0网段的ip通过)

  rule 是规则意思、5规则步长默认为5、deny是拒绝、source源、0.0.0.255是通配符

  rule 5 permit source 192.168.1.0 0.0.0.255 (允许源地址是192.168.1.0网段的ip通过)

ACL匹配方式

  ACL配完后会生成一个ACL列表,

  列表如下: acl 2000 (规则表名,这是一个基本的 acl)

  rule 5 deny source 192.168.1.0 0.0.0.255 (规则1,绝拒源地址是192.168.1.0网段的ip通过)

  rule 10 deny source 192.168.2.0 0.0.0.255 (规则2)

  rule 15 deny source 192.16.0.0 0.0.0.255 (规则2)

  匹配顺序是由上往下走,如果匹配到第一条后,下面的就不需要匹配了。

三、实验

1、控制流量进出基本ACL配置  

  十二、访问控制列表ACL_第4张图片

 实验:实验目标1、PC1和PC2互通、PC1能通PC20  、PC2不能通PC20     

  十二、访问控制列表ACL_第5张图片

   1)我们首先按照图中的设备ip配置到各设备中,保证PC1、PC2和PC20是互通

  我们PC的配置我就省略不写,

  我们先配交换机和路由器

配置交换机:
sys
[Huawei]sysname LSW1
[LSW1]vlan batch 10 11 20
[LSW1]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type access 
[LSW1-GigabitEthernet0/0/1]port default vlan 10
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]int vlanif 10
[LSW1-Vlanif10]ip add 192.168.10.1 24
[LSW1-Vlanif10]quit
[LSW1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 11
[LSW1-GigabitEthernet0/0/2]quit
[LSW1]int vlanif 11
[LSW1-Vlanif11]ip add 192.168.11.1 24
[LSW1-Vlanif11]quit
[LSW1]int g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port defaul vlan 20
[LSW1-GigabitEthernet0/0/3]quit
[LSW1]int vlanif 20
[LSW1-Vlanif20]ip add 192.168.20.2 24
[LSW1-Vlanif20]quit
[LSW1]ip route-static 0.0.0.0 0.0.0.0 192.168.20.1

配置路由器:
 sys
[Huawei]sysname AR1
[AR1-GigabitEthernet0/0/0]ip add 192.168.20.1 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.100.1 24
[AR1-GigabitEthernet0/0/1]quit
[AR1]ip route-static 192.168.10.0 24 192.168.20.21
[AR1]ip route-static 192.168.11.0 24 192.168.20.21

  配置完后,PC1、PC2和PC20是互通的。

  2)配置ACL规则,实现PC1能通PC20  、PC2不能通PC20     

路由器中配置ACL:
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
[AR1-acl-basic-2000]rule 100 deny source any
[AR1-acl-basic-2000]quit
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000   #把acl规则应用到路由器出接口

  十二、访问控制列表ACL_第6张图片

 

 

   十二、访问控制列表ACL_第7张图片

 2、高级ACL配置

十二、访问控制列表ACL_第8张图片

   验实1:下图,配置要求:PC16能通PC17不能通PC13 、PC14能通PC13不能通PC17

  十二、访问控制列表ACL_第9张图片

    1)我们先按上图的IP配置各设备

  2)配置路由器ACL

[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0
[Huawei-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.10.3 0.0.0.0
[Huawei-acl-adv-3000]rule permit ip
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

  [Huawei
-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0
  上面命令表示:不允许让源地址192.168.1.0网公网的ip达到192.168.10.2的主机

  如果不能让某网段不能访问对端服务器指定的端口,在配置acl rule时加上服务器端口就行,如:

  [Huawei-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0 destination-port eq 21

 

你可能感兴趣的:(十二、访问控制列表ACL)