原理:网络设备通过网络管理员事先设定好的报文匹配规则对经过这台设备的流量进行匹配,如果匹配上则执行预先设定好的动作。
-
ACL功能
ACL功能:
1.访问控制:对流经设备的流量,进行匹配处理的过程
流量的流入和流出方向是一个相对的概念
处理的动作
permit---允许
deny----拒绝
2.抓取流量:ACL经常和其他协议联动使用,ACL只作抓取流量的工作,而对应的动作由其他协议完成
-
ACL匹配规则
1.自上而下,逐一匹配;一旦匹配上某条规则,则按照该条规则直接执行相应动作,不再向下匹配
2.若都没有匹配上,则执行默认动作
思科设备的ACL访问控制列表最后隐含条件为拒绝所有
华为设备的ACL访问控制列表最后隐含条件为允许所有----对未匹配的流量不做处理
-
ACL分类
1.基本ACL:基于IP报文的源IP地址对流量进行匹配
特点:编号:2000-2999
2.高级ACL:基于IP报文的源IP地址、协议字段、IP报文优先级、TCP源端口号/UDP源端口号等信息
特点:编号:3000-3999
3.二层ACL:基于以太网数据帧中的信息来定义规则,比如源MAC地址
特点:编号:4000-4999
-
基础配置
-
拓扑图
-
实验需求
需求1:PC1可以访问2.0/24网段,但PC2不可以
分析:因为仅对源IP要求,故使用基本ACL即可,并且此时的配置位置应该更加靠近目标,
以免对其他访问地址的误伤
[Huawei]acl 2000--创建基本ACl列表
[Huawei-acl-basic-2000]rule 5 ?--创建列表规则项,列表序号以5步为开销
deny--------拒绝
permit------允许
[Huawei-acl-basic-2000]rule 5 deny source 192.168.1.2 0.0.0.0
[Huawei-acl-basic-2000]rule permit source any--允许所有源IP访问
[Huawei]interface g 0/0/0--进入相应接口进行宣告
[Huawei-GigabitEthernet0/0/0]traffic-filter ?--调用时区分流量方向否则不生效
inbound---入接口
outbound--出接口
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
[Huawei]acl 2000
-
查看界面配置
查看界面配置:
[Huawei-acl-basic-2000]display this
[V200R003C00]
#
acl number 2000
rule 5 deny source 192.168.1.2 0
rule 10 permit
#
删除规则:
[Huawei-acl-basic-2000]undo rule 10
删除ACL列表:
[Huawei]undo acl 2000
查看ACL列表:
[Huawei]display acl 2000
[Huawei]display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 deny source 192.168.1.2 0 (5 matches)
rule 10 permit (87 matches)
需求2:PC1可以访问PC3,但是不能访问PC4;PC2可以访问PC3和PC4;
分析:使用高级ACL,并且为了减少不必要的数据转发,应该更加靠近源的位置。
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 5 deny ?
ip Any IP protocol
[Huawei-acl-adv-3000]rule 5 deny ip ?
source Specify source address
[Huawei-acl-adv-3000]rule 5 deny ip source 192.168.1.1 ?
0 Wildcard bits : 0.0.0.0 ( a host )
[Huawei-acl-adv-3000]rule 5 deny ip source 192.168.1.1 0 destination 192.168.2.2 0
[Huawei-acl-adv-3000]rule permit ip source any
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
需求3:PC1可以ping通R2,但是不能telnet R2
分析:因为此时是针对于不同协议进行,所以需要使用高级ACL
1.首先使用路由器来代替PC1--基本配置省略
2.
[Huawei]acl name policy 3000 ----创建编号为3000,名称为policy的列表
[Huawei-acl-adv-policy]rule deny tcp source 192.168.1.1 0 destination 12.0.0.2 0
destination-port eq telnet ---拒绝源192.168.1.1,访问目标12.0.0.2的23号端口。
[Huawei-acl-adv-policy]rule permit icmp source 192.168.1.1 0 destination 12.0.0.2 0
允许源192.168.1.1,访问12.0.0.2,通过ICMP访问。
[Huawei-acl-adv-policy]rule permit ip source any
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000