华为路由交换课程笔记14-ACL

一、简介

1、ACL(Access Control List)访问控制列表可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等待。

  2、ACL可以通过定义规则来允许或拒绝流量的通过,可以根据需求来定义过滤的条件已经匹配条件后所执行的动作。

 

分类

编号范围

参数

基本ACL

2000-2999

源IP地址

高级ACL

3000-3999

源IP地址、目的IP地址、源端口、目的端口等

二层ACL

4000-4999

源MAC地址、目的MAC地址、以太帧协议类型等

3、每个ACL可以可以包含多个规则,RTA根据规则来对数据流量进行过滤,Rule-id用于决定规则的优先级,处理规则之间的重复或者矛盾。如果不匹配,则匹配下一条,一旦找到一条匹配的规则,则执行规则中定义的动作,并不再继续与后续规则进行匹配,如果找不到匹配的规则,则设备不对报文进行任何处理。

二、基本ACL配置

基本ACL尽量配置在靠近目的的端口位置

相关命令示例:

acl 2000                   //设置编号,也可以直接命名,但需要指定为基本类型,如acl name test basic,其中basic表示基本类型

  rule deny source 192.168.1.0 0.0.0.255   //拒绝192.168.1.0/24网段的源主机访问,rule-id自动为5,间隔默认为5,也可以在rule后面手动指定。

int g0/0/0

  traffic-filter outboud acl 2000  //在端口出方向上绑定ACL,阻止来自192.168.1.0/24网段的主机信息从该端口发出。

display acl all                    //查看ACL

display acl 2000                  

display traffic-filter applied-record    //查看ACL绑定记录



acl 2001

   rule 5 permit source 192.168.100.0 0.0.0.255   //允许192.168.100.0/24网段主机访问

   rule 10 deny source any                     //拒绝任意网段主机访问

user-interface vty 0 4

   acl 2001 inbound                 //在用户接口下,对登录绑定ACL,只允许 192.168.100.0/24网段的主机远程登录。   

 

三、高级ACL配置

高级ACL能够根据源/目的IP地址、源/目的端口号、网络层及传输层协议以及IP流量分类和TCP标记值等各种参数(SYN|ACK|FIN等)进行报文过滤。高级ACL尽量配置在靠近源的端口位置。

相关命令示例:

acl 3000        //设置编号,也可以使用命名,如acl name test advance

  rule deny tcp source 192.168.1.1 0 destination 172.16.10.1 0 destination-port eq ftp  //拒绝192.168.1.1主机访问172.16.10.1的ftp端口

int g0/0/1

   traffic-filter inbound acl 3000   

 

ACL应用-NAT

nat address-group 1 202.100.1.100 202.100.1.110   //创建NAT地址池

nat address-group 2 202.100.1.111 202.100.1.120

acl 2000                                            //创建ACL用于指定源地址

  rule 5 permit source 192.168.1.0 0.0.0.255

acl 2001

  rule 5 permit source 192.168.2.0 0.0.0.255

int g0/0/1

    nat outbound 2000 address-group 1        //在端口下,将地址池和ACL绑定实现NAT转换,这是默认的端口转换

    nat outbound 2001 address-group 2

   

 

 

 

你可能感兴趣的:(华为路由交换课程笔记,华为,ACL)