网络:ACL原理与配置

目录

绪论:

1 acl简述

1.1 acl主要作用

1.2 基本和高级acl划分

1.3 基本acl命令

1.4 高级acl控制命令

小结:

2 通配符

例题:

小结:

3 ACL实验环节


绪论:

ACL是访问控制协议,可以控制网络安全,也能控制网络服务质量

虽然划分了vlan,但是不是流量控制,只是单纯的划分了广播域,而且通过三层交换机或者单臂路由还能实现不同vlan之间的通信,

要求实现

老板---财务能够通信

开发---不能和财务通信

前段---也不能和财务实现通信

此时就需要acl

1 acl简述

1.1 acl主要作用

· 用来对数据包访问控制(要么丢弃,要么放行)

· 结合其他协议匹配范围(传输层 tcp udp),ACL可用控制协议的流量是否通过

总结:访问控制,确定流量待敌能不能通过,通过=放行,不通过:丢弃

主要配置设备:路由器和三层交换机,主要是路由器

· acl可以配置多条策略

· 根据报文进行匹配和区分

1.2 基本和高级acl划分

基本acl要尽量用在靠近目的地的端口

高级acl要尽量靠近源的端口,主要为了保护带宽

· 2000-2999 基本acl,只能匹配源IP地址

· 3000-3999 高级acl,可以匹配源ip和目标ip、源端口和目标端口、三层和四层的协议字段(三层:icmp,arp。四层:udp,tcp)

· 4000-4999 根据数据包的源mac地址和目标mac地址和802.lq优先级、二层协议

1.3 基本acl命令

在路由器:

acl number 2000 创建基本acl

配置允许和禁止的规则

rule 5 deny source 192.168.10.10 0 禁止

rule 5 deny source any 所有都不许

q 进入系统视图

int g0/0/1 出去是用out

traffic-filter outbound acl 2000 调用

想要删除策略:undo traffic-filter outbound就行了

1.4 高级acl控制命令

acl number 3000

rule deny icmp source 192.168.10.10 0 destination 192.168.0.20 0 禁止10 ping 20

用tcp协议别忘记端口号,因为传输层是端到端

rule deny tcp source 192.168.10.10 0 destination 192.168.40.40 destination-port eq 80

拒绝192.168.10.10访问对 192.168.40.40 提供的http的80服务

小结:

多条策略匹配原则:

· 有则匹配,无则放通

· 匹配到第一条之后,后续相同的将不再匹配

一个接口只能配置一个acl策略

可以既拒绝又同意,但是只能匹配第一个,策略不一样相互不影响

只是deny了tcp,没有deny icmp 策略就不同

在路由器左边的一般是inbound(入站),右边的一般是outbound(出站)

2 通配符

网络:ACL原理与配置_第1张图片

 0表示匹配;1表示随机分配

11000000 10101000 00000001 00000000

0.0.0.255换成2进制

00000000 00000000 00000000 11111111

前面三段0匹配,0就是固定写死,后面的8个1随机匹配可以变

前面根IP地址,后面跟着0

前面是网段,后面是0.0.0.255

例题:

1:

192.168.1.0/24 匹配奇数 1 93 5 7 9

换成二进制

11000000 10101000 00000001 00000000

11000000 10101000 00000001 00000001 192.168.1.1

11000000 10101000 00000001 00000011 192.168.1.3

11000000 10101000 00000001 00000101 192.168.1.5

11000000 10101000 00000001 00000111 192.168.1.7

所以最后一位都是1是固定的,固定的位置是0,前面的都会变,所以结果是11111110 十进制为254

结果是0.0.0.254

2:

网络:ACL原理与配置_第2张图片

前面的0001都不会变,所以是0000

后面的两个11都会变,所以是11

最后面的两个00都不会变,所以是00

结果是00001100,反掩码 0.0.0.12

3:

网络:ACL原理与配置_第3张图片

最后一段前面的七个0都可变,最后的0不可变

结果反掩码:0.0.0.254

4:

匹配  20  22  23  24 

00010100 20

00010110 22

00010111 23

00011000 24

结果:00001111 0.0.0.15

小结:

0.0.0.255 就是网段

0.0.0.0 就是固定IP地址

3 ACL实验环节

网络:ACL原理与配置_第4张图片

 配置:

pc1:192.168.1.10 网关:192.168.1.254

pc2:192.168.1.20 网关:192.168.1.254

客户端1:192.168.1.30 网关:192.168.1.254

pc3:192.168.2.20 网关:192.168.2.254

server:192.168.3.30 网关:192.168.3.254

命令:

要求1:允许pc1访问pc3 pc1访问192.168.2.0/24(pc1能ping通pc3,其他pc不能)

路由器:

int g0/0/0

ip add 192.168.1.254 24

int g0/0/2

ip add 192.168.2.254 24

int g0/0/1

ip add 192.168.3.254 24

q

acl number 2000

rule permit source 192.168.1.10 0

rule deny source any

pc1 ping pc3

但是此时pc2也能ping通,要在端口调用

q

int g0/0/2

traffic-filter outbound acl 2000

需求2:禁止192.168.1.0/24网络整个网段ping web服务器server(pc不能ping通server)

acl number 3000

rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.30 0

用高级acl

q

int g0/0/0

traffic-filter inbound acl 3000

需求3:允许client1访问web服务器的www服务(外网server)

http 端口号80

acl number 3001

rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port eq 80

q

int g0/0/1

traffic-filter outbound acl 3001

点击server

网络:ACL原理与配置_第5张图片

随机选择一个目录点击启动

点击Client

网络:ACL原理与配置_第6张图片

输入http://192.168.3.30 (server的地址)   第一行显示200,表示成功

离路由器最近的端口g0/0/1,点击抓包 

网络:ACL原理与配置_第7张图片

三次握手四次挥手

你可能感兴趣的:(网络,安全)