锐捷睿易：acl的制定和应用

一、acl简介

在网关路由器上配置ACL访问控制功能，多用于以下场景：

◆ 实现内网不同网段之间不能互访

◆ 配置单向通信，例如：1网段无法访问2网段，但2网段可以访问1网段

◆ 禁止内网部分用户上互联网，但是允许内网互访

二、引入背景

客户一楼栋为新建办公楼，由中心机房核心交换机接入到楼栋核心机房nbr上，且为其接入端口划分为52网段。

要求：

1、新建办公楼不可访问外网

2、新建办公楼内能够互相访问

3、新建办公楼能够访问中心机房服务器192.68.8.254和192.168.8.253

三、ACL配置

此处以NBR6135-E为例做配置 ：

由中心机房接入过来的线接到NBR6135-E的WAN0口，动态获取52段地址，LAN0口接新建楼栋的核心交换机 ，开始新建项目时为LAN0口划分152网段，掩码为255.255.255.0，开启DHCP          

图形化界面配置：

        创建好后按要求做acl配置

安全认证→ACL访问列表→添加ACL列表，再按顺序添加ACE规则

1、创建扩展acl

 2、152网段能够互访                                                                                      

 3、152网段能够访问服务器地址192.168.8.254和192.18.8.253

 4、152网段禁止访问互联网

5、最后再加一条放通所有流量的ace规则，目的是让其他信息流通过，或以后有其他网段可以通过

 制定好之后

6、将ACL规则应用到接口上，安全认证→接口访问控制→添加接口访问控制，应用到接核心交换机的接口LAN0口上，分别配置in和out两个方向

 

令配置 1、创建ACL 152并调用在LAN0口

Ruijie#configure terminal

Ruijie(config)#ip access-list extended 152

Ruijie(config-ext-nacl)#10 permit udp any any range bootps bootpc //放通dhcp的UDP 67-68端口，防止内网用户获取不到地址

Ruijie(config-ext-nacl)#20 permit ip 192.168.152.0 0.0.0.255 192.168.152.0 0.0.0.255 //允许192.168.152.0/24访问192.168.152.0/24

Ruijie(config-ext-nacl)#30 permit ip 192.168.152.0 0.0.0.255 host 192.168.8.254

Ruijie(config-ext-nacl)#40 permit ip 192.168.152.0 0.0.0.255 host 192.168.8.253 //允许192.168.152.0访问服务器

Ruijie(config-ext-nacl)#50 deny ip 192.168.152.0 0.0.0.255 any //192.168.1.0/24访问所有 Ruijie(config-ext-nacl)#60 permit ip any any //最后一定要允许所有！！！

Ruijie(config-ext-nacl)#exit //退到上一级

Ruijie(config)#interface GigabitEthernet 0/0 //进入接口

Ruijie(config-if-GigabitEthernet 0/0)#ip access-group 152 in //调用在接口in方向

Ruijie(config-if-GigabitEthernet 0/0)#end //退回特权模式

Ruijie#write //保存