ACL的原理与基本ACL的配置

ACL(Access Control List)----访问控制列表,在路由器接口上使用的规则列表。
规则:匹配数据包,实现数据包的控制(过滤或放行)–作用
动作:permit允许,deny拒绝。
ACL读取第三层(IP)和第四层(TCP/UDP)的头部信息——源ip,目标ip,源端口,目标端口,然后根据预先定义好的规则对报文进行过滤。
ACL原理:一个ACL可以有多个规则(rule),acl匹配时,按照rule的编号从小到大依次检查;只要匹配到,就不再继续向下匹配
在配置 ACL 的过程中,不同的规则条目之间的 rule 号码尽量隔开一个段空间,这样的话,便于后期 ACL 的管理,比如添加 或者 删除一个 rule ,非常方便。
ACL的特点:
1)ACL对设备本身发起的流量是不起作用的;
2)ACL 与 traffic-filter 结合使用时,最后有一个隐含的“允许所有”
ACL的原理与基本ACL的配置_第1张图片
注:华为ACL,最终默认允许。
华为基本ACL:acl编号:2000~2999,基于源IP地址做访问控制,仅仅能匹配数据包的源IP地址,匹配数据包不精确。建议:基本ACL调用尽量在距离目标设备近的接口上。
华为基本ACL配置:
1.实验要求:
禁止PC1网络访问服务器 Server1
允许其他所有访问流量
2.实验拓扑图:ACL的原理与基本ACL的配置_第2张图片
3.实验配置思路 :
1).配置AR1实现全网互通;
2).AR1配置基本ACL
3).在0/0/0/接口上过滤流量
4.实验步骤及命令:
system-view ----进入用户视图
[Huawei]sysname R1 ----更改设备名称
[R1]interface GigabitEthernet 0/0/0 ----进入端口
[R1-GigabitEthernet0/0/0]ip address 192.168.100.254 24 ----配置IP和子网掩码
[R1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1 ----进入端口
[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24 ----配置IP和子网掩码
[R1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 ----进入端口
[R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24 ----配置IP和子网掩码
[R1-GigabitEthernet0/0/2]quit ----返回上一视图
[R1]acl 2000 ----创建基本ACL
[R1-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.0(通配符) —规则拒绝源地址192.168.1.1
[R1-acl-basic-2000]rule 20 permit source any -----规则允许所有源地址通过
[R1-acl-basic-2000]quit ----返回上一视图
[R1]interface GigabitEthernet 0/0/0 ----进入端口
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 ----在出接口上调用ACL 2000
[R1-GigabitEthernet0/0/0]quit ----返回上一视图
[R1]display acl 2000 ----查看ACL
5.测试验证:ACL的原理与基本ACL的配置_第3张图片
ACL的原理与基本ACL的配置_第4张图片

你可能感兴趣的:(网络安全)