ACL概念及基本配置实验

什么是ACL?

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

为什么使用ACL?

ACL作为一个过滤器,设备通过应用ACL来阻止和允许特定流量的流入和流出,如果没有它,任何流量都会自由流入和流出,使得网络容易受到攻击。

如下图所示,为保证财务数据安全,企业在路由设备上应用ACL可以阻止内网内部研发部门主机对财务服务器的访问,同时允许总裁办公室访问财务服务器。为了保护企业内网的安全,在路由设备上应用ACL可以封堵网络病毒常用的端口,防止Internet上的恶意流量入侵。

ACL可以做什么?

借助ACL,可以实现以下功能:

  • 提供安全访问:企业重要服务器资源被随意访问,企业机密信息容易泄露,造成安全隐患。使用ACL可以指定用户访问特定的服务器、网络与服务,从而避免随意访问的情况。
  • 防止网络攻击:Internet病毒肆意侵略企业内网,内网环境的安全性堪忧。使用ACL可以封堵高危端口,从而达成为外网流量的阻塞。
  • 提高网络带宽利用率:网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。使用ACL实现对网络流量的精确识别和控制,限制部分网络流量从而保障主要业务的质量。

ACL的分类

随着ACL技术的发展,其种类越来越丰富,根据其不同的规则和使用场景,常用的可分为以下几类:

基本ACL

基本ACL规则只包含源IP地址,对设备的CPU消耗较少,可用于简单的部署,但是使用场景有限,不能提供强大的安全保障。

高级ACL

相较于基本ACL,高级ACL提供更高的扩展性,可以对流量进行更精细的匹配。通过配置高级ACL,可以阻止特定主机或者整个网段的源或者目标。除此之外,还可以使用协议信息(IP、ICMP、TCP、UDP)去过滤相应的流量。

二层ACL

在公司的内部网络中,想对特定的终端进行访问权限控制,这时就需要二层ACL。使用二层ACL,可以根据源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息对流量进行管控。

用户ACL

由于企业内部同部门的工作人员的终端不在同一个网段难以管理,需要将其纳入一个用户组,并对其用户组进行访问权限管理,这时候就需要用户ACL。用户ACL在高级ACL的基础上增加了用户组的配置项,可以实现对不同用户组的流量管控。

不同类型的ACL的具体组成如下表所示:

表1-1 ACL的分类

        

基本ACL

高级ACL

二层ACL

用户ACL

ACL标识

  

ACL编号

2000~2999

3000~3999

4000~4999

6000~6031

  

ACL名称

Y

Y

Y

Y

规则

规则编号

-

Y

Y

Y

Y

动作

permit/deny

Y

Y

Y

Y

匹配项

生效时间段

Y

Y

Y

Y

IP协议类型

-

Y

Y

Y

IPv4

Y

Y

-

Y

IPv6

Y

Y

-

Y

源IP地址

Y

Y

-

Y

源MAC地址

-

-

Y

-

源端口号

-

Y

Y

Y

目的地址

-

Y

-

Y

目的MAC地址

-

-

Y

-

目的端口号

-

Y

Y

Y

用户组

-

-

-

Y

拓朴图:

ACL概念及基本配置实验_第1张图片

 

实验需求:


(1)接入层划分vlan ,三层交换作为网关
(2)允许财务部访问WEB服务器,不允许财务部访问FTP服务器﹔
(3)允许市场部访问FTP服务器,不允许访问WEB服务器﹔

基础配置:

ACL概念及基本配置实验_第2张图片

 ACL概念及基本配置实验_第3张图片

 ACL概念及基本配置实验_第4张图片

 ACL概念及基本配置实验_第5张图片

交换机,路由器配置:

SW1


sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]sys sw1
[sw1]vlan batch 10 20 30 
Info: This operation may take a few seconds. Please wait for a moment...done.
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]p l a
[sw1-Ethernet0/0/1]p d v 10 
[sw1-Ethernet0/0/1]q
[sw1]int e0/0/2
[sw1-Ethernet0/0/2]p l a
[sw1-Ethernet0/0/2]p d v 20
[sw1-Ethernet0/0/2]q
[sw1]int e0/0/3
[sw1-Ethernet0/0/3]p l a
[sw1-Ethernet0/0/3]p d v 30
[sw1-Ethernet0/0/3]q
[sw1]int vlan 10
[sw1-Vlanif10]ip add 192.168.1.254 24
[sw1-Vlanif10]int vlan 20
[sw1-Vlanif20]ip add 192.168.2.254 24
[sw1-Vlanif20]int vlan 30
[sw1-Vlanif30]ip add 172.16.1.1 30
[sw1-Vlanif30]q
[sw1]ip route-static 0.0.0.0 0 172.16.1.2
[sw1]q

SW2

sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]sys sw2
[sw2]v b 10 20 30 40 50
Info: This operation may take a few seconds. Please wait for a moment...done.
[sw2]int e0/0/1
[sw2-Ethernet0/0/1]p l a
[sw2-Ethernet0/0/1]p d v 40
[sw2-Ethernet0/0/1]int e0/0/2
[sw2-Ethernet0/0/2]p l a
[sw2-Ethernet0/0/2]p d v 50
[sw2-Ethernet0/0/2]q
[sw2]int vlan 50
[sw2-Vlanif50]ip add 172.16.2.1 30
[sw2-Vlanif50]int vlan 40
[sw2-Vlanif40]ip add 172.16.1.2 30
[sw2-Vlanif40]q
[sw2]ip route-static 192.168.1.0 24 172.16.1.1
[sw2]ip route-static 192.168.2.0 24 172.16.1.1
[sw2]
[sw2]ip route-static 0.0.0.0 0 172.16.2.2
[sw2]

AR1

sys
Enter system view, return user view with Ctrl+Z.
[Huawei]
[Huawei]un in en
Info: Information center is disabled.
[Huawei]
[Huawei]sys R1
[R1]
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]
[R1-GigabitEthernet0/0/0]ip add 172.16.2.2 30
[R1-GigabitEthernet0/0/0]
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]
[R1-GigabitEthernet0/0/1]ip add 192.168.3.254 24
[R1-GigabitEthernet0/0/1]
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]
[R1-GigabitEthernet0/0/2]ip add 192.168.4.254 24
[R1-GigabitEthernet0/0/2]
[R1-GigabitEthernet0/0/2]q
[R1]
[R1]ip route-static 192.168.1.0 24 172.16.2.1
[R1]
[R1]ip route-static 192.168.2.0 24 172.16.2.1
[R1]
[R1]acl 3000
[R1-acl-adv-3000]
[R1-acl-adv-3000]rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 192.
168.4.1 0 destination-port eq 80
[R1-acl-adv-3000]
[R1-acl-adv-3000]rule 10 deny tcp source 192.168.1.0 0.0.0.255 destination 192.1
68.3.1 0 destination-port eq 21
[R1-acl-adv-3000]
[R1-acl-adv-3000]rule 15 permit tcp source 192.168.2.0 0.0.0.255 destination 192
.168.3.1 0 destination-port eq 21
[R1-acl-adv-3000]
[R1-acl-adv-3000]rule 20 deny tcp source 192.168.2.0 0.0.0.255 destination 192.1
68.4.1 0 destination-port eq 80
[R1-acl-adv-3000]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/0]
                 

实验结果:

财务部:

ACL概念及基本配置实验_第6张图片

 

 ACL概念及基本配置实验_第7张图片

市场部:

ACL概念及基本配置实验_第8张图片 ACL概念及基本配置实验_第9张图片

 

 

你可能感兴趣的:(数通学习,服务器,网络,运维,acl,ensp)