一、访问控制列表ACL
企业网络中的设备进行通信时,需保障数据传输的安全可靠和网络的性能稳定。 访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。
二、ACL应用
ACL应用场景
1、ACL可以通过定义规则来允许或拒绝流量的通过。
上图中:两网段的数据,通过在路由器定议ACL规则,允许哪些能访问互联网,哪些只能访问服务器不能上互联网。
2、ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作
上图中,192.168.1.0网段的数据,不需要匹配规则都可以随便把数据传到外网。 但192.168.2.0网段的数据,必须进行加密才强以把数据传到外网
ACL分类
ACL规则
每个ACL可以包含多个规则,RAT根据规则来对数据流量进行过滤 rule 5 deny source 192.168.1.0 0.0.0.255 (拒绝源地址是192.168.1.0网段的ip通过)
rule 是规则意思、5规则步长默认为5、deny是拒绝、source源、0.0.0.255是通配符
rule 5 permit source 192.168.1.0 0.0.0.255 (允许源地址是192.168.1.0网段的ip通过)
ACL匹配方式
ACL配完后会生成一个ACL列表,
列表如下: acl 2000 (规则表名,这是一个基本的 acl)
rule 5 deny source 192.168.1.0 0.0.0.255 (规则1,绝拒源地址是192.168.1.0网段的ip通过)
rule 10 deny source 192.168.2.0 0.0.0.255 (规则2)
rule 15 deny source 192.16.0.0 0.0.0.255 (规则2)
匹配顺序是由上往下走,如果匹配到第一条后,下面的就不需要匹配了。
三、实验
1、控制流量进出基本ACL配置
实验:实验目标1、PC1和PC2互通、PC1能通PC20 、PC2不能通PC20
1)我们首先按照图中的设备ip配置到各设备中,保证PC1、PC2和PC20是互通
我们PC的配置我就省略不写,
我们先配交换机和路由器
配置交换机:sys [Huawei]sysname LSW1 [LSW1]vlan batch 10 11 20 [LSW1]int g0/0/1 [LSW1-GigabitEthernet0/0/1]port link-type access [LSW1-GigabitEthernet0/0/1]port default vlan 10 [LSW1-GigabitEthernet0/0/1]quit [LSW1]int vlanif 10 [LSW1-Vlanif10]ip add 192.168.10.1 24 [LSW1-Vlanif10]quit [LSW1]int g0/0/2 [LSW1-GigabitEthernet0/0/2]port link-type access [LSW1-GigabitEthernet0/0/2]port default vlan 11 [LSW1-GigabitEthernet0/0/2]quit [LSW1]int vlanif 11 [LSW1-Vlanif11]ip add 192.168.11.1 24 [LSW1-Vlanif11]quit [LSW1]int g0/0/3 [LSW1-GigabitEthernet0/0/3]port link-type access [LSW1-GigabitEthernet0/0/3]port defaul vlan 20 [LSW1-GigabitEthernet0/0/3]quit [LSW1]int vlanif 20 [LSW1-Vlanif20]ip add 192.168.20.2 24 [LSW1-Vlanif20]quit [LSW1]ip route-static 0.0.0.0 0.0.0.0 192.168.20.1 配置路由器: sys [Huawei]sysname AR1 [AR1-GigabitEthernet0/0/0]ip add 192.168.20.1 24 [AR1-GigabitEthernet0/0/0]int g0/0/1 [AR1-GigabitEthernet0/0/1]ip add 192.168.100.1 24 [AR1-GigabitEthernet0/0/1]quit [AR1]ip route-static 192.168.10.0 24 192.168.20.21 [AR1]ip route-static 192.168.11.0 24 192.168.20.21
配置完后,PC1、PC2和PC20是互通的。
2)配置ACL规则,实现PC1能通PC20 、PC2不能通PC20
路由器中配置ACL: [AR1]acl 2000 [AR1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255 [AR1-acl-basic-2000]rule 100 deny source any [AR1-acl-basic-2000]quit [AR1]int g0/0/1 [AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 #把acl规则应用到路由器出接口
2、高级ACL配置
验实1:下图,配置要求:PC16能通PC17不能通PC13 、PC14能通PC13不能通PC17
1)我们先按上图的IP配置各设备
2)配置路由器ACL
[Huawei]acl 3000 [Huawei-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0 [Huawei-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.10.3 0.0.0.0 [Huawei-acl-adv-3000]rule permit ip [Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3000
[Huawei-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0
上面命令表示:不允许让源地址192.168.1.0网公网的ip达到192.168.10.2的主机
如果不能让某网段不能访问对端服务器指定的端口,在配置acl rule时加上服务器端口就行,如:
[Huawei-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0 destination-port eq 21