admin管理员组文章数量:1635840
文章目录
- 一、ACL
- 二、基本ACL实验配置
- 1.配置需求:
- 2.配置步骤:
- 3.配置命令
- 三、高级ACL案例
- 总结:
一、ACL
1、ACL的作用:
- 匹配数据包,实现数据包的控制(过滤或放行)
2、组成:
- 规则:即匹配数据包的各种条件;
- 动作:permit 和 deny ;
3、基本ACL
- 表示方式:ID,取值控制为:2000~2999
- 仅仅能匹配数据包的源IP地址,匹配数据包不精确
- 建议:
在调用时,尽量调用在距离目标设备近的地方;
4、高级ACL
- 表示方式:ID,取值控制为:3000~3999
- 可以同时匹配数据包的源IP地址、目标IP地址、协议、源端口、目标端口;匹配数据更加的精确
- 建议:
在调用时,尽量调用在距离源设备近的地方;
5、ACL的工作原理:
- 一个ACL可以同时包含多个条目(rule)
- 进行ACL的检查的时候,按照 rule 号码的大小,从小到大依次检查;
- 如果一个 rule 能匹配住,就不会检查后续的其他 rule 。
- 建议:
在配置 ACL 的过程中,不同的规则条目之间的 rule 号码尽量隔开一个段空间,这样的话,便于后期 ACL 的管理,比如添加 或者 删除一个 rule ,非常方便。
6、ACL的特点:
- ACL对设备本身发起的流量是不起作用的;
- ACL 与 traffic-filter 结合使用时,最后有一个隐含的“允许所有”。
- 其他情况下的ACL,最后包含的都是“拒绝所有”。
二、基本ACL实验配置
1.配置需求:
- pc2(袁强)不能访问server1(草榴社区),其他设备可用访问server1
2.配置步骤:
- 创建ACL
acl 2000
rule 10 deny sourece 10.1.10.1 0.0.0.0 - 调用ACL
interface g0/0/0
traffic-filter inbound acl 2000 - 验证与测试
[R1]display acl 2000 查看设备ACL2000
用PC-1:ping 10.1.30.1 ,应该是不通的
3.配置命令
<Huawei>undo terminal monitor
<Huawei>system-view
[Huawei]sysname R1
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip a 10.1.10.254 24
[R1-GigabitEthernet0/0/0]q
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip a 10.1.20.254 24
[R1-GigabitEthernet0/0/1]q
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip a 10.1.30.254 24
[R1-GigabitEthernet0/0/2]q
[R1]acl 2000
[R1-acl-basic-2000]rule 10 deny source 10.1.10.1 0.0.0.0 //设置规则10 拒绝源 10.1.10.1
[R1-acl-basic-2000]q
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 //在接口0/0/2的入方向上做流量过滤调用ACL 2000
配置完后会发现一个问题:
配置完acl,并且在在g0/0/0口调用acl规则后,PC-1和PC-2也不通了,所以由实验得出一个结论:应该在g0/0/2上进行配置;
方案修改如下:
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]undo traffic-filter inbound
[R1-GigabitEthernet0/0/0]q
[R1]interface g0/0/2
[R1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
总结:基本acl应在离目标近的地方调用;
三、高级ACL案例
条件:
- 允许client1(小明)可用访问server1的web服务,但是不能ping通server1
- 允许client1(小明)可用访问pc1及(10.1.2.0/24整个网段)
- 拒绝client1(小明)访问其他任何网络)
实验拓扑:
R1配置:
<Huawei>system-view
[Huawei]sysname R1
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip a 192.168.1.1 24
[R1-GigabitEthernet0/0/0]q
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip a 10.1.1.254 24
[R1-GigabitEthernet0/0/1]q
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.2
R2配置:
<Huawei>system-view
[Huawei]sysname R2
[R2]interface g0/0/0
[R2-GigabitEthernet0/0/0] ip a 192.168.2.1 24
[R2-GigabitEthernet0/0/0]q
[R2]interface g0/0/1
[R2-GigabitEthernet0/0/1]ip a 192.168.1.2 24
[R2-GigabitEthernet0/0/1]q
[R2]interface g0/0/2
[R2-GigabitEthernet0/0/2]ip a 10.1.2.254 24
[R2-GigabitEthernet0/0/2]q
[R2]ip route-static 10.1.1.0 255.255.255.0 192.168.1.1
[R2]ip route-static 10.1.3.0 255.255.255.0 192.168.2.2
R3配置:
<Huawei>system-view
[Huawei]sysname R3
[R3]interface g0/0/0
[R3-GigabitEthernet0/0/0]ip a 10.1.3.254 24
[R3-GigabitEthernet0/0/0]q
[R3]interface g0/0/1
[R3-GigabitEthernet0/0/1]ip a 192.168.2.2 24
[R3-GigabitEthernet0/0/1]q
[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.2.1
高级ACL配置:
[R1]acl 3000
[R1-acl-adv-3000]rule 10 permit tcp source 10.1.1.1 0.0.0.0 destination 10.1.3.1
0.0.0.0 destination-port eq 80
[R1-acl-adv-3000]rule 20 permit ip source 10.1.1.1 0.0.0.0 destination 10.1.2.1
0.0.0.255
[R1-acl-adv-3000]rule 30 deny ip source 10.1.1.1 0.0.0.0 destination any
[R1-acl-adv-3000]q
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
案例2:
需求:
- 仅能SW1远程R3;
- 其他设备都不可以远程,
- 同时,要保证SW1 可以ping 通 R3
- 其他类型的流量都可以互通(10.1.1.1->telnet->R3 tcp:23);
原来的基础上把client替换成SW1,删除AR1原来的acl配置,进行新的配置;
SW1配置:
<Huawei>sys
[Huawei]sys SW1
[SW1]int Vlanif 1
[SW1-Vlanif1]ip a 10.1.1.1 24
[SW1-Vlanif1]q
[SW1]ip route-static 0.0.0.0 0 10.1.1.254
R1配置:
[R1]acl name telnet-R3
[R1-acl-adv-telnet-R3] rule 10 permit tcp source 10.1.1.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
[R1-acl-adv-telnet-R3] rule 20 permit tcp source 10.1.1.1 0.0.0.0 destination 10.1.3.254 0.0.0.0 destination-port eq 23
[R1-acl-adv-telnet-R3] rule 30 deny tcp destination 192.168.2.2 0.0.0.0 destination-port eq 23
[R1-acl-adv-telnet-R3] rule 40 deny tcp destination 10.1.3.254 0.0.0.0 destination-port eq 23
[R1-acl-adv-telnet-R3]q
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl name telnet-R3
方式二:
如果接口比较多的情况可用以下方式:
- 首先关闭R1的acl:
[R1]undo acl 3998
- 在R3上配置telnet
[R2]user-interface vty 0 4
[R2-ui-vty0-4]q
[R2]acl 2000
[R2-acl-basic-2000]rule 10 permit source 10.1.1.1 0.0.0.0
[R2-acl-basic-2000]q
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode password ***
[R2-ui-vty0-4]return
总结:
ACL的配置思路
- 确定配置设备
- 确定配置接口
- 确定数据方向
- 创建ACL
- 调用ACL
- 验证与测试
版权声明:本文标题:访问控制列表(ACL) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1729217835a1190628.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论