ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制数据的流入与流出.
NAT 网络地址转换(Network Address Translation),是一个互联网工程任务组的标准,它可以实现内部私有IP地址和公网IP地址的转换,能够起到节约公网IP地址的作用,以下将介绍NAT的三种方式,静态转换、动态转换和端口复用技术.
华为ACL访问控制
路由器接口的访问控制取决于应用在其上的ACL,数据在进出网络前,路由器会根据ACL对其进行匹配,匹配成功将对数据进行过滤或者是转发,匹配失败则丢弃数据包,目前主要有三种ACL控制,标准ACL,扩展ACL,命名ACL,我们只介绍前两种.
在路由器上应用ACL时,可以为每种协议,每个端口,每个方向,和每个接口,配置一个ACL,一般称为3p原则.
标准ALCL只能通过源地址进行访问过滤与控制,因此只能阻止/允许来自指定IP地址的访问请求.
拓扑图如下:配置路由器:接着配置路由器,开启路由器的Eth0/0/0和Eth0/0/1端口,并配置上网关地址.
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 192.168.2.254 255.255.255.0
[Huawei-GigabitEthernet0/0/0] quit
[Huawei]interfaceGigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] ip addres 192.168.1.254 255.255.255.0
[Huawei-GigabitEthernet0/0/1] quit
配置拒绝ACL规则: 这里我们在路由器上配置一条标准的ACL规则,禁止PC1访问Server1服务器.
[Huawei] acl 2000 // 指定一个序号 2000-2999
[Huawei-acl-basic-2000] rule deny source 192.168.1.1 0.0.0.0 // 拒绝源地址访问
[Huawei-acl-basic-2000] rule deny source 192.168.1.1 0.0.0.255 // 拒绝整个网段
[Huawei-acl-basic-2000] rule permit source 192.168.1.1 0.0.0.0 // 允许源地址访问
[Huawei-acl-basic-2000] quit
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 2000 // 在出口方向应用规则
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2000 // 在入口方向应用规则
测试互通性:
此时PC1无法访问Server 而PC2可以正常访问。
这里需要注意一点,如果你有两个路由器相连,那么ACL规则应该设置在距离限制的目标较近的路由器上,否则可能会出现有效数据在到达目标之前就被过滤掉了.
标准ACL只能使用源地址作为匹配条件,无法对访问进行精确的控制,为了解决这一问题,可以采用扩展ACL来对数据加以限制,接下来我们将配置扩展ACL,其拓扑结构图还是使用上图.
配置路由器: 接着配置路由器,开启路由器的G0/0/0和G0/0/1端口,并配置上网关地址.
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 192.168.2.254 255.255.255.0
[Huawei-GigabitEthernet0/0/0] quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] ip address 192.168.1.254 255.255.255.0
[Huawei-GigabitEthernet0/0/1] quit
配置禁止ICMP: 禁止192.168.1.1访问192.168.2.1的icmp协议.
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule deny icmp source 192.168.1.1 0 destination 192.168.2.1 0
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000
[Huawei-GigabitEthernet0/0/1] quit
[Huawei] display acl all
Total quantity of nonempty ACL number is 1
rule 5 deny icmp source 192.168.1.1 0 destination 192.168.2.1 0 (27 matches)
禁止指定端口: 禁止TCP协议,的源地址192.168.1.1至目标地址192.168.2.1,端口号80的协议.
system-view
[Huawei] acl 3000
[Huawei-acl-3000] rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq 80
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000
[Huawei]display acl all
Total quantity of nonempty ACL number is 1
rule 5 deny icmp source 192.168.1.1 0 destination 192.168.2.1 0 (27 matches)
测试过滤效果: 配置完规则以后,我们测试一下效果,使用PC1无法访问Server1服务器而是用PC2则可以访问.
与标准ACL相比,扩展ACL能够更加精确的匹配和过滤数据包,因此扩展ACL的放置位置应该离源地址越近越好,这样才能够有效的提高链路的使用效率.