ACL 访问控制列表
一,什么是ACL(Access Control Lists )
ACL 访问控制列表是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。广泛应用于路由器和三层交换机,借助于访问空列表,可以有效的的控制用户对网络的访问,从而最大程度地保障网络安全。
二,ACL的作用
- 读取第三层 第四层包头信息
- 根据预先定义好的规则(五元素)进行过滤
五元素;源地址,协议号,目标地址,源端口,目的端口
三,ACL的分类
四,ACL的工作原理
ACL使用包过滤技术,在路由器上读取(七层模型)第三层和第四层包头中的信息。如源地址 目标地址 源端口 目标端口等根据预先定义好的规则,对包进行过滤(放通或丢弃),从而达到访问空的目的。
应用在路由器的某个接口上,对路由器接口而言有两个方向
出;已经过路由器处理,正离开路由器的数据包
入;已到达路由器接口的数据包,将被路由器处理
一个接口的一个方向只能调用一个ACL,一个ACL可配置多条规则,匹配时是从上往下依次匹配,匹配到即停止,华为设备默认方通所有
五,ACL的配置
- 配置命令
- acl number 2000 ##创建 acl 2000
- rule deny source 192.168.1.1 0 #拒绝源地址为192.168.1.1 的流量 0代表仅此一台主机,
- traffic-filter outbound acl 2000 #接口出方向调用ACL2000,outbound代表出方向,inbound代表进入方向
- 完成以下练习
- 1 仅允许PC1访问192.168.2.0 /24 网络
- 2禁止192.168.1.0/24网络ping WEB服务器
- 3 仅允许CLient1访问WEB服务器的WWW服务
1,添加各个接口ip省略
仅允许PC1访问192.168.2.0 /24 网络
在路由上设置仅PC1通过的配置
或者在调用接口上选择
分别在PC1和PC2上ping 查看结果
2,禁止192.168.1.0/24网络ping WEB服务器
在路由器创建ACL3000设置拒绝1.0网段ping 192.168.3.1主机ip
测试配置效果 使用PC1测试
3, 仅允许CLient1访问WEB服务器的WWW服务
先设置仅服务1的主机IP可到达
再拒绝其他所有服务
服务1和服务2分别测试