ACL、NAT以及PAT的配置及应用

访问控制列表(ACL)

访问控制列表概述
读取第三层,第四层包头信息
根据预先定义好的规则对包进行过滤
访问控制列表的工作原理
访问控制列表在接口应用的方向
出:已经过路由器的处理,正离开路由器接口的数据包
入:已经到达路由器接口的数据包,将被路由器处理
访问控制列表的处理过程
当数据包从接口通过时,由于接口启用了ACL,此时路由器会对报文进行检查,做出相应的处理,若匹配到允许方通,则放行;若匹配到拒绝,则丢弃;若未匹配到,则匹配下一条。
ACL种类
基本ACL(2000-2999):只能匹配源ip地址
高级ACL(3000-3999):可以匹配源IP,目标IP,源端口,目标端口等三层四层的字段
二层ACL(4000-4999):根据数据包的源MAC地址,目的MAC地址,802.1q优先级,二层协议类型等二层信息制定规则。
ACL的应用原则:
基本ACL尽量用在靠近目的点
高级ACL尽量用在靠近源的地方(可以保护带宽和其他资源)
ACL应用规则
一个接口的同一方向只能调用一个ACL
一个ACL里可以有多个rule规则,按照从小到大,从上往下的规则依次执行,一旦匹配到则不再向下匹配
ACL实例
1.仅允许PC1访问192.168.2.0/24网络
2.禁止192.168.1.0/24网络ping web服务器
3.仅允许Client1访问Web服务器的ww服务
ACL、NAT以及PAT的配置及应用_第1张图片
AR1设置

The device is running!
########################
<Huawei>
<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable 
Info: Information center is disabled.
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24	
[R1-GigabitEthernet0/0/0]undo  shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.3.254 24
[R1-GigabitEthernet0/0/1]undo  shutdown 
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/2]undo  shutdown 
Info: Interface GigabitEthernet0/0/2 is not shutdown.
[R1-GigabitEthernet0/0/2]q
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.1 0
[R1-acl-basic-2000]rule deny 
[R1-acl-basic-2000]q
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
[R1]acl 3000
[R1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168
.3

你可能感兴趣的:(网络,acl)