华为网络设备实现网络安全访问,访问控制列表ACL,理论+实战

企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。

访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。

一、ACL应用场景

ACL可以通过定义规则来允许或拒绝流量的通过

华为网络设备实现网络安全访问,访问控制列表ACL,理论+实战_第1张图片

二、ACL分类

华为网络设备实现网络安全访问,访问控制列表ACL,理论+实战_第2张图片

1、一个ACL可以由多条“deny | permit”语句组成,每一条语句描述了一条规则

2、设备收到数据流量后,会逐条匹配ACL规则,看其是否匹配。如果不匹配,则匹配下一条。一旦匹配,则执行规则中定义的动作,并不再继续与后续规则进行匹配。如果找不到匹配的规则,则设备不对报文进行任何处理。

3、规则的匹配顺序决定了规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形。

4、ARG3系列路由器支持两种匹配顺序:配置顺序和自动排序。配置顺序按ACL规则编号(rule-id)从小到大的顺序进行匹配。通过设置步长,使规则之间留有一定的空间。默认步长是5。路由器匹配规则时默认采用配置顺序。自动排序使用“深度优先”的原则进行匹配,即根据规则的精确度排序。

通配符掩码:

0 ---表示匹配

1 ---表示忽略

A

CL 用于匹配流量默认隐含一条permit any, 用于匹配路由默认隐含一条deny any

三、ACL配置

华为网络设备实现网络安全访问,访问控制列表ACL,理论+实战_第3张图片

基本ACL: 针对源地址,靠近目的端配置

AR2进行配置:

华为网络设备实现网络安全访问,访问控制列表ACL,理论+实战_第4张图片

[AR2]interface GigabitEt

hernet 0/0/1

[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

 

华为网络设备实现网络安全访问,访问控制列表ACL,理论+实战_第5张图片

PC1可以访问服务器

华为网络设备实现网络安全访问,访问控制列表ACL,理论+实战_第6张图片

192.168.2.0网段无法访问服务器

华为网络设备实现网络安全访问,访问控制列表ACL,理论+实战_第7张图片

高级ACL: 一般靠近源端

[AR1]acl number 3000

[AR1-acl-adv-3000]rule 10 deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.1.100 0

[AR1-acl-adv-3000]int g 0/0/0

[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000

华为网络设备实现网络安全访问,访问控制列表ACL,理论+实战_第8张图片

[AR1]acl number 3000

[AR1-acl-adv-3000] rule 20 deny tcp source 192.168.2.1 0 destination-port eq ftp

华为网络设备实现网络安全访问,访问控制列表ACL,理论+实战_第9张图片

ACL配置成功拒绝访问FTP服务。

华为网络设备实现网络安全访问,访问控制列表ACL,理论+实战_第10张图片

你可能感兴趣的:(华为网络)