基础和高级的ACL的基础配置和原理

基础和高级的ACL的基础配置和原理

需求

  • 如图配置设备的IP地址
  • 售后服务部不允许访问财务部服务器,但是可以访问其他的网段

拓扑图

基础和高级的ACL的基础配置和原理_第1张图片

配置思路

  • 配置终端设备

    • 终端PC
    • 服务器
  • 配置网络设备

    • 交换机
    • 路由器
  • 配置策略

    • 确定配置策略的设备
    • 创建ACL
    • 确定调用ACL的端口和方向
    • 调用ACL
    • 验证ACL
  • 验证终端互访是否满足项目要求

配置命令

  • 基础配置
PC1:
192.168.1.1
255.255.255.0
192.168.1.254

PC2:
192.168.2.1
255.255.255.0
192.168.2.254

Server1:
192.168.3.1
255.255.255.0
192.168.3.254

SW1:
undo terminal monitor
system-view
sysname SW1
vlan 10
quit
interface gi0/0/1
port link-type access
port default vlan 10 
quit
interface gi0/0/2
port link-type access
port default vlan 10 
quit

SW2:
undo terminal monitor
system-view
sysname SW2
vlan 20
quit
interface gi0/0/1
port link-type access
port default vlan 20 
quit
interface gi0/0/2
port link-type access
port default vlan 20 
quit


R1:

undo terminal monitor
system-view
sysname R1
interface gi0/0/0
ip address 192.168.12.1 24
quit

interface gi0/0/1
ip address 192.168.1.254 24
quit
ip route-static 192.168.2.0 24  192.168.12.2 // 路由不能忘
ip route-static 192.168.3.0 24  192.168.12.2


R2:
undo terminal monitor
system-view
sysname R2
interface gi0/0/0
ip address 192.168.12.2 24
quit

interface gi0/0/1
ip address 192.168.2.254 24
quit

interface gi0/0/2
ip address 192.168.3.254 24
quit

ip route-static 192.168.1.0 24  192.168.12.1  // 路由不能忘
  • ACL 设置
 R2:
 acl 2001
  rule 10 deny source 192.168.1.1 0.0.0.0
  //该“规则”表示的是:
    检查数据包的“源IP地址”(因为写了source)的4个字节(因为通配符是 0.0.0.0)
    数据包的源IP地址必须是 192.168.1.1 (因为规则中写了 192.168.1.1)
    数据匹配住以后,直接执行“拒绝动作”(因为规则中写了 deny)
  quit 
  
 interface gi0/0/2
   traffic-filter outbound acl 2001  // 华为设备  ACL 与 traffic-filter 连用 默认允许所有
   // 对于该端口而言,要进行流量过滤(因为写了 traffic-filter)
                          仅仅对于出方向的流量起作用(因为写了 outbound)
                          在出方向的流量中,存在很多流量,但是仅仅关注ACL2000匹配的流量
                          如果匹配成功的,则拒绝“出去”。                                
   quit

验证

  • 添加ACL之前
    基础和高级的ACL的基础配置和原理_第2张图片

  • 添加ACL之后
    基础和高级的ACL的基础配置和原理_第3张图片

  • 验证ACL

display acl all -> 查看设备上创建的所有的ACL
display traffic-filter applied-record -> 查看ACL在接口上的调用情况

基础和高级的ACL的基础配置和原理_第4张图片

总结

ACL 类型
  1. 2层ACL
    • 这种类型的ACL,只能检查数据的2层头部
    • 表示ACL,如果通过ID表示的话,那么取值范围是 4000 ~ 4999
    • 基本ACL只能匹配数据的源IP地址,所以匹配数据非常的不精准
    • 为了实现精确的数据匹配,在使用基本ACL时,尽量调用在距离目标设备近的地方
  2. 3层ACL
    • 这种类型的ACL,可以检查数据的3层头部以及4层头部
    • 基本ACL:只能检查数据的3层头部的源IP地址
      • 表示ACL,如果通过ID表示的话,那么取值范围是 2000 ~ 2999
    • 高级ACL:可以检查数据的3层头部的源IP地址、目标IP地址、协议号以及4层头部的源端口和目标端口号
      • 表示ACL,如果通过ID表示的花,那么取值范围是 3000~3999
        ACL,称之为 access control list ,即访问 控制 列表 。

该列表中,包含了很多的“规则”。

每个规则都对应着一个动作,这个动作通常就分为两种:允许(permit) 和 拒绝(deny)

如果数据和这个规则描述的相同,称之为匹配住了该规则,此时才能执行“动作”

如果数据和这个规则描述的不同,称之为没有匹配住规则,此时不能执行“动作”

但是,每个“列表”中,通常都会存在一个 默认规则

你可能感兴趣的:(网通,网络,智能路由器,vlan)