acl的原理与配置

 

ACL访问控制：

网络安全：

威胁防护 病毒防护 ，核心设备核心机房是不能对外直接提供访问的

访问控制：屏蔽，小说网站，视频网站；用来对数据包做访问控制，丢弃或者放行

设备：靠路由器来做访问控制

结合协议，用于控制的匹配范围，说白了就是精确匹配

ACL工作原理：数据包从接口经过，接口启用了ac时，路由器会对报文进行检查，然后

根据策略做出相应的处理

 

ACL的种类：

基本ACL：2000-2999只能匹配源ip地址
高级ACL：3000-3999既可以匹配源ip，也可以匹配目的ip，源端口和目的端口，以及三层和四层的协议

二层ACL：4000-4999根据数据包的mac地址匹配，一般不用

ACL在接口上的应用：

1. 在入口上：数据包从入口进入路由器，有策略就会执行
2. 在出口上：数据包经过路由器处理后，数据包才能出去

华为设备默认是放通的，不做限制，需要人工配置策略

白名单：在名单上的才能放行，不在的一律丢弃，默认是拒绝所有的，允许个别

黑名单：在名单上的一律丢弃，不在的可以放行

ACL的应用原则：

基本acl:尽量用在靠近目的地

高级acl：尽量用在靠近源的地方

通配符（1可变0不可变）

 

192.168.10

00000010

00000100

00000110

00001000

00001010

最后一位是0始终不可变

172.16.40.0/24 匹配子网当中16 20 24 28

0.0.0.

1. 16  00010000
2. 20  00010100
3. 24  00011000
4. 28  00011100

所以00001100

再例：192.168.30.0/24

0.0.0.255

192.168.30.10/24

0.0.0.0

子网掩码192.168.30.10/32

再来一题：192.168.10.0/24

10  00001010

20  00010100

30  00011110

40  00101000

0和0得0，有1的得1（1可变0不可变）

所以00111110=62

应用规则：

1. 一个接口的同一方向，只能调用一个ACL
2. 一个ACL里面可以有多少rule规则，按照规则ID从小到大排序，从上往下一次执行
3. 数据包一旦被某个规则匹配，就不在继续向下匹配

 

总结：ACL你有ACL，但是没有配置策略，默认就是放行所有，如果没有匹配到任何策略

也是放行

 

 

先删除接口调用，再删除acl编号里面的规则，最后删除 acl编号。再删除acl编号里面的规则，最后删除 acl编号。再删除acl编号里面的规则，最后删除 acl编号。

调用命令：

traffic-filter outbound acl 2000

rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.30 0

rule 创建规则 固定格式

deny 拒绝

icmp 拒绝网络层ICMP协议

source：192.168.1.0

destination：目的地址 192.168.3.30

拒绝192.168.1.0整个网段不能和192.168.3.39这个ip禁用ICMP协议，ping不通。

rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port eq 80

rule ：创建规则的固定格式

permit：允许 TCP

source: 192.168.1.30

destination:192.168.3.30

destination-port eq :80 http服务的默认端口。

允许192.168.1.30这个地址，可以访问192.168.3.30这个服务器器对外提供的httpd服务的80端口。

先删除接口调用，再删除acl编号里面的规则，最后删除 acl编号。

实验注意细节:

以此图为例