acl的原理与配置

acl的原理与配置_第1张图片

 

ACL访问控制:

网络安全:

威胁防护 病毒防护 ,核心设备核心机房是不能对外直接提供访问的

访问控制:屏蔽,小说网站,视频网站;用来对数据包做访问控制,丢弃或者放行

设备:靠路由器来做访问控制

结合协议,用于控制的匹配范围,说白了就是精确匹配

ACL工作原理:数据包从接口经过,接口启用了ac时,路由器会对报文进行检查,然后

根据策略做出相应的处理

acl的原理与配置_第2张图片

 

ACL的种类:

基本ACL:2000-2999只能匹配源ip地址
高级ACL:3000-3999既可以匹配源ip,也可以匹配目的ip,源端口和目的端口,以及三层和四层的协议

二层ACL:4000-4999根据数据包的mac地址匹配,一般不用

ACL在接口上的应用:

  1. 在入口上:数据包从入口进入路由器,有策略就会执行
  2. 在出口上:数据包经过路由器处理后,数据包才能出去

华为设备默认是放通的,不做限制,需要人工配置策略

白名单:在名单上的才能放行,不在的一律丢弃,默认是拒绝所有的,允许个别

黑名单:在名单上的一律丢弃,不在的可以放行

ACL的应用原则:

基本acl:尽量用在靠近目的地

高级acl:尽量用在靠近源的地方

通配符(1可变0不可变)

acl的原理与配置_第3张图片

 

192.168.10

00000010

00000100

00000110

00001000

00001010

最后一位是0始终不可变

172.16.40.0/24 匹配子网当中16 20 24 28

0.0.0.

  1. 16  00010000
  2. 20  00010100
  3. 24  00011000
  4. 28  00011100

所以00001100

再例:192.168.30.0/24

0.0.0.255

192.168.30.10/24

0.0.0.0

子网掩码192.168.30.10/32

再来一题:192.168.10.0/24

10  00001010

20  00010100

30  00011110

40  00101000

0和0得0,有1的得1(1可变0不可变)

所以00111110=62

应用规则:

  1. 一个接口的同一方向,只能调用一个ACL
  2. 一个ACL里面可以有多少rule规则,按照规则ID从小到大排序,从上往下一次执行
  3. 数据包一旦被某个规则匹配,就不在继续向下匹配

acl的原理与配置_第4张图片

 

总结:ACL你有ACL,但是没有配置策略,默认就是放行所有,如果没有匹配到任何策略

也是放行

acl的原理与配置_第5张图片

acl的原理与配置_第6张图片 

 

先删除接口调用,再删除acl编号里面的规则,最后删除 acl编号。再删除acl编号里面的规则,最后删除 acl编号。再删除acl编号里面的规则,最后删除 acl编号。

调用命令:

traffic-filter outbound acl 2000

rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.30 0

rule 创建规则 固定格式

deny 拒绝

icmp 拒绝网络层ICMP协议

source:192.168.1.0

destination:目的地址 192.168.3.30

拒绝192.168.1.0整个网段不能和192.168.3.39这个ip禁用ICMP协议,ping不通。

rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port eq 80

rule :创建规则的固定格式

permit:允许 TCP

source: 192.168.1.30

destination:192.168.3.30

destination-port eq :80 http服务的默认端口。

允许192.168.1.30这个地址,可以访问192.168.3.30这个服务器器对外提供的httpd服务的80端口。

先删除接口调用,再删除acl编号里面的规则,最后删除 acl编号。

实验注意细节:

以此图为例

acl的原理与配置_第7张图片

acl的原理与配置_第8张图片 

 acl的原理与配置_第9张图片

acl的原理与配置_第10张图片 

acl的原理与配置_第11张图片 

acl的原理与配置_第12张图片 

acl的原理与配置_第13张图片 

 

 

你可能感兴趣的:(网络,智能路由器)