ACL的基本原理与配置

目录

  • 一、ACL概述
    • 1.ACL的工作原理
  • 二、ACL的组成
    • 1.规则编号
    • 2.通配符
  • 二、ACL的分类与标签
  • 三、基本ACL与高级ACL
  • 四、ACL的匹配机制
  • 五、ACL的匹配顺序及匹配结果
    • 1.ACL的匹配位置
    • 2.入站(Inbound)及出站(Outbound)方向
  • 六、ACL的实验配置


一、ACL概述

ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。

  • ACL是由一系列permit或deny语句组成的、有序规则的列表。
  • ACL是一个匹配工具,能够对报文进行匹配和区分。
    ACL的基本原理与配置_第1张图片

1.ACL的工作原理

ACL的工作原理:当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。

二、ACL的组成

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。
ACL的基本原理与配置_第2张图片

1.规则编号

ACL的基本原理与配置_第3张图片

ACL的基本原理与配置_第4张图片

2.通配符

ACL的基本原理与配置_第5张图片

  • 子网掩码:1的含义是精确匹配,0的含义是忽略匹配
  • 通配符掩码:1的含义是忽略匹配,0的含义是精确匹配
    ACL的基本原理与配置_第6张图片

二、ACL的分类与标签

ACL的基本原理与配置_第7张图片

三、基本ACL与高级ACL

ACL的基本原理与配置_第8张图片

四、ACL的匹配机制

ACL的基本原理与配置_第9张图片

五、ACL的匹配顺序及匹配结果

  • 配置顺序(config模式)
    ACL的基本原理与配置_第10张图片

1.ACL的匹配位置

ACL的基本原理与配置_第11张图片
ACL在接口上的应用:
在入口上:数据包从入口进路由器,就会被路由器处理。
在出口上:数据包在经过路由器处理后,才会让它从出口出去。

ACL的应用原则:
基本ACL,尽量用在靠近目的点。
高级ACL,尽量用在靠近源的地方。

应用规则
1、一个接口的同一个方向,只能调用一个ACL
2、一个ACI里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

2.入站(Inbound)及出站(Outbound)方向

ACL的基本原理与配置_第12张图片

  1. 有测匹配,无则放行
  2. 接口响应配置,要被调用

六、ACL的实验配置

一、实现第一个目标:仅允许PC1访问192.168.2.0/24网络(即仅允许PC1访问PC3)
ACL的基本原理与配置_第13张图片
ACL的基本原理与配置_第14张图片

<Huawei>sys	
[Huawei]sysname AR1
[AR1]int g0/0/0	
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.3.254 24
[AR1-GigabitEthernet0/0/1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[AR1-GigabitEthernet0/0/2]q
[AR1]acl 2000	
[AR1-acl-basic-2000]rule permit source 192.168.1.10 0 	
[AR1-acl-basic-2000]rule deny 
[AR1-acl-basic-2000]q
[AR1]int g0/0/2	
[AR1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
[AR1-GigabitEthernet0/0/2]q

ACL的基本原理与配置_第15张图片
ACL的基本原理与配置_第16张图片

1、配置路由器R1
2、配置PC机
3、分别在PC1和PC2上ping PC3
4、发现只有PC1可以Ping同PC3,PC2不能ping同PC3,实验目的实现

二、禁止192.168.1.0/24网络ping Web服务器
ACL的基本原理与配置_第17张图片

[AR1]acl 3000	
[AR1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.16
8.3.30 0
[AR1-acl-adv-3000]q
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000
[AR1-GigabitEthernet0/0/1]q

ACL的基本原理与配置_第18张图片

ACL的基本原理与配置_第19张图片
ACL的基本原理与配置_第20张图片

1、配置路由器R1上的acl功能
2、配置服务器
3、用PC1和PC2 ping 服务器,发现不能接通,实验目的达到
4、为什么PC3也不能连通客户端,因为一开始完成目的一时,创建的acl2000是配置在G0/0/2端口上的,所以客户端 的请求不能达到PC3,所以不能接通。

三、仅允许Client1访问WEB服务器的www服务
ACL的基本原理与配置_第21张图片

ACL的基本原理与配置_第22张图片

<AR1>sys
[AR1]acl 3001	
[AR1-acl-adv-3001]rule permit tcp source 192.168.1.30 0 destination 192.168.3.30
 0 destination-port eq 80
[AR1-acl-adv-3001]rule deny icmp source 192.168.1.10 0 destination 192.168.3.30 
0
[AR1-acl-adv-3001]rule deny icmp source 192.168.1.20 0 destination 192.168.3.30 
0
[AR1-acl-adv-3001]q
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
[AR1-GigabitEthernet0/0/0]q

1、配置路由器R1,此时注意配置acl时有端口号配置,所以需要用高级acl功能
2、配置服务器和客户端,获取文件

你可能感兴趣的:(网络,服务器,linux)