网络：ACL原理与配置

目录

绪论：

1 acl简述

1.1 acl主要作用

1.2 基本和高级acl划分

1.3 基本acl命令

1.4 高级acl控制命令

小结：

2 通配符

例题：

小结：

3 ACL实验环节

---

绪论：

ACL是访问控制协议，可以控制网络安全，也能控制网络服务质量

虽然划分了vlan，但是不是流量控制，只是单纯的划分了广播域，而且通过三层交换机或者单臂路由还能实现不同vlan之间的通信，

要求实现

老板---财务能够通信

开发---不能和财务通信

前段---也不能和财务实现通信

此时就需要acl

1 acl简述

1.1 acl主要作用

· 用来对数据包访问控制（要么丢弃，要么放行）

· 结合其他协议匹配范围（传输层 tcp udp），ACL可用控制协议的流量是否通过

总结：访问控制，确定流量待敌能不能通过，通过=放行，不通过：丢弃

主要配置设备：路由器和三层交换机，主要是路由器

· acl可以配置多条策略

· 根据报文进行匹配和区分

1.2 基本和高级acl划分

基本acl要尽量用在靠近目的地的端口

高级acl要尽量靠近源的端口，主要为了保护带宽

· 2000-2999 基本acl，只能匹配源IP地址

· 3000-3999 高级acl，可以匹配源ip和目标ip、源端口和目标端口、三层和四层的协议字段（三层：icmp，arp。四层：udp，tcp）

· 4000-4999 根据数据包的源mac地址和目标mac地址和802.lq优先级、二层协议

1.3 基本acl命令

在路由器：

acl number 2000 创建基本acl

配置允许和禁止的规则

rule 5 deny source 192.168.10.10 0 禁止

rule 5 deny source any 所有都不许

q 进入系统视图

int g0/0/1 出去是用out

traffic-filter outbound acl 2000 调用

想要删除策略：undo traffic-filter outbound就行了

1.4 高级acl控制命令

acl number 3000

rule deny icmp source 192.168.10.10 0 destination 192.168.0.20 0 禁止10 ping 20

用tcp协议别忘记端口号，因为传输层是端到端

rule deny tcp source 192.168.10.10 0 destination 192.168.40.40 destination-port eq 80

拒绝192.168.10.10访问对 192.168.40.40 提供的http的80服务

小结：

多条策略匹配原则：

· 有则匹配，无则放通

· 匹配到第一条之后，后续相同的将不再匹配

一个接口只能配置一个acl策略

可以既拒绝又同意，但是只能匹配第一个，策略不一样相互不影响

只是deny了tcp，没有deny icmp 策略就不同

在路由器左边的一般是inbound（入站），右边的一般是outbound（出站）

2 通配符

 0表示匹配；1表示随机分配

11000000 10101000 00000001 00000000

0.0.0.255换成2进制

00000000 00000000 00000000 11111111

前面三段0匹配，0就是固定写死，后面的8个1随机匹配可以变

前面根IP地址，后面跟着0

前面是网段，后面是0.0.0.255

例题：

1：

192.168.1.0/24 匹配奇数 1 93 5 7 9

换成二进制

11000000 10101000 00000001 00000000

11000000 10101000 00000001 00000001 192.168.1.1

11000000 10101000 00000001 00000011 192.168.1.3

11000000 10101000 00000001 00000101 192.168.1.5

11000000 10101000 00000001 00000111 192.168.1.7

所以最后一位都是1是固定的，固定的位置是0，前面的都会变，所以结果是11111110 十进制为254

结果是0.0.0.254

2：

前面的0001都不会变，所以是0000

后面的两个11都会变，所以是11

最后面的两个00都不会变，所以是00

结果是00001100，反掩码 0.0.0.12

3：

最后一段前面的七个0都可变，最后的0不可变

结果反掩码：0.0.0.254

4：

匹配  20  22  23  24 

00010100 20

00010110 22

00010111 23

00011000 24

结果：00001111 0.0.0.15

小结：

0.0.0.255 就是网段

0.0.0.0 就是固定IP地址

3 ACL实验环节

 配置：

pc1:192.168.1.10 网关：192.168.1.254

pc2：192.168.1.20 网关：192.168.1.254

客户端1：192.168.1.30 网关：192.168.1.254

pc3:192.168.2.20 网关：192.168.2.254

server：192.168.3.30 网关：192.168.3.254

命令：

要求1：允许pc1访问pc3 pc1访问192.168.2.0/24（pc1能ping通pc3，其他pc不能）

路由器：

int g0/0/0

ip add 192.168.1.254 24

int g0/0/2

ip add 192.168.2.254 24

int g0/0/1

ip add 192.168.3.254 24

q

acl number 2000

rule permit source 192.168.1.10 0

rule deny source any

pc1 ping pc3

但是此时pc2也能ping通，要在端口调用

q

int g0/0/2

traffic-filter outbound acl 2000

需求2:禁止192.168.1.0/24网络整个网段ping web服务器server（pc不能ping通server）

acl number 3000

rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.30 0

用高级acl

q

int g0/0/0

traffic-filter inbound acl 3000

需求3：允许client1访问web服务器的www服务（外网server）

http 端口号80

acl number 3001

rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port eq 80

q

int g0/0/1

traffic-filter outbound acl 3001

点击server

随机选择一个目录点击启动

点击Client

输入http：//192.168.3.30 （server的地址）   第一行显示200，表示成功

离路由器最近的端口g0/0/1，点击抓包 

三次握手四次挥手