ACL原理与配置
前言
随着网络的飞速发展,网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。
• ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
• 在本章节中,将介绍ACL的基本原理和基本作用,ACL的不同种类及特点,ACL的基本组成和匹配顺序,通配符的使用方法和ACL的相关配置。
学习目的:
1、描述ACL的基本原理和基本作用
2、区分ACL的不同种类及特点
3、描述ACL规则的基本组成结构和匹配顺序
4、掌握ACL中通配符的使用方法
5、完成ACL的基本组网配置
ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。
ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。
1、基于ACL规则定义方式的分类:
2、基于ACL标识方法的分类:
基本ACL的基础配置命令
1、创建基本ACL
使用编号(2000~2999)创建一个数字型的基本ACL,并进入基本ACL视图
2、配置基本ACL的规则
在基本ACL视图下,通过此命令来配置基本ACL的规则。
案例:使用基本ACL过滤数据流量
配置需求:
在Router上部署基本ACL后,ACL将试图穿越Router的
源地址为192.168.1.0/24网段的数据包过滤掉,并放
行其他流量,从而禁止192.168.1.0/24网段的用户访问Router右侧的服务器网络。
1、Router已完成IP地址和路由的相关配置
2、在Router上创建基本ACL,禁止192.168.1.0/24网段访问服务器网络:
![](https://img-blog.csdnimg.cn/direct/cef6f1b84275434894a391bda7f8a406.png)
3、由于从接口GE0/0/1进入Router,所以在接口GE0/0/1的入方向配置流量过滤:
高级ACL的基础配置命令 (1)
1. 创建高级ACL
使用编号(3000~3999)创建一个数字型的高级ACL,并进入高级ACL视图。
使用名称创建一个命名型的高级ACL,进入高级ACL视图。
高级ACL的基础配置命令 (2)
2. 配置基本ACL的规则
根据IP承载的协议类型不同,在设备上配置不同的高级ACL规则。对于不同的协议类型,有不同的参数组合。
当参数protocol为IP时,高级ACL的命令格式为
在高级ACL视图下,通过此命令来配置高级ACL的规则。
当参数protocol为TCP时,高级ACL的命令格式为
在高级ACL视图下,通过此命令来配置高级ACL的规则。
实操:
• 任务1:搭建拓扑并实现全网互通
• 任务2:基本ACL的配置
• 任务3:高级ACL的配置
• 任务4:ACL规则的顺序
任务1:搭建拓扑并实现全网互通
• 使用动态路由协议OSPF实现全网互通:
• 使用OSPF进程号1
• 使用路由器环回接口IP地址作为路由器ID
任务1:路由器AR1的初始配置
• AR1的初始配置
任务1:路由器AR2的初始配置
• AR2的初始配置
任务1:路由器AR3的初始配置
• AR3的初始配置
任务1:检查AR1的IP路由表
• 检查AR1 IP路由表中的OSPF路由
检查AR2的IP路由表
• 检查AR2 IP路由表中的OSPF路由
任务1:检查AR3的IP路由表
• 检查AR3 IP路由表中的OSPF路由
任务2:创建并应用基本ACL
• 在AR2的G0/0/2出方向上应用以PC1子网为源的基本ACL
[AR2]acl 2000
[AR2-acl-basic-2000]rule deny source 10.10.10.0 0.0.0.255
[AR2-acl-basic-2000]rule permit source any
[AR2-acl-basic-2000]quit
[AR2]interface GigabitEthernet 0/0/2
[AR2-GigabitEthernet0/0/2]traffic-filter outbound acl 2000• 在AR2上查看ACL
[AR2]display acl all
Total quantity of nonempty ACL number is 1
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 deny source 10.10.10.0 0.0.0.255rule 10 permit
• 从PC1向PC3发起ping测试
• 从PC1向其他IP地址发起ping测试
• 在AR2上查看ACL 2000
[AR2]display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 deny source 10.10.10.0 0.0.0.255 (5 matches)rule 10 permit (4 matches)
任务3:创建并应用高级ACL
• 在AR1的G0/0/2入方向上应用高级ACL(以PC2子网为源,PC3子网为目的)
[AR1]acl 3000
[AR1-acl-adv-3000]rule deny ip source 10.10.20.0 0.0.0.255 destination 10.10.30.0 0.0.0.255
[AR1-acl-adv-3000]quit
[AR1]interface GigabitEthernet 0/0/2
[AR1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
• 从PC2向PC3发起ping测试
任务3:查看ACL 3000匹配次数
• 在AR1上查看ACL 3000
[AR1]display acl 3000
Advanced ACL 3000, 1 ruleAcl's step is 5rule 5 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.30.0 0.0.0.255 (5 matches)
任务4:创建并应用ACL
• 在AR3的G0/0/1入方向上应用ACL
[AR3]acl 3000
[AR3-acl-adv-3000]rule deny icmp source 10.10.12.1 0 destination 3.3.3.3 0 icmp-type echo
[AR3-acl-adv-3000]rule permit tcp source 10.10.12.1 0 destination 3.3.3.3 0destination-port eq 23
[AR3-acl-adv-3000]rule deny tcp source any destination 3.3.3.3 0 destination-port eq 23
[AR3-acl-adv-3000]quit
[AR3]interface GigabitEthernet 0/0/1
[AR3-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
• 在AR3上检查ACL 3000
[AR3]display acl 3000
Advanced ACL 3000, 3 rulesAcl's step is 5rule 5 deny icmp source 10.10.12.1 0 destination 3.3.3.3 0 icmp-type echorule 10 permit tcp source 10.10.12.1 0 destination 3.3.3.3 0 destination-porteq telnetrule 15 deny tcp destination 3.3.3.3 0 destination-port eq telnet
• 在AR3上启用Telnet
[AR3]user-interface vty 0 4
[AR3-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):Huawei@123
• 从AR1上对AR3的环回接口发起ping测试
• 从AR1上对AR3的环回接口发起telnet测试
总结:
1、ACL是一种应用非常广泛的网络技术。它的基本原理是:配置了ACL的网络设备根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对匹配上的报文执行事先设定好的处理动作。这些匹配规则及相应的处理动作是根据具体的网络需求而设定的。处理动作的不同以及匹配规则的多样性,使得ACL可以发挥出各种各样的功效。
2、ACL技术总是与防火墙、路由策略、QoS、流量过滤等其他技术结合使用。
3、在本章节中,主要介绍了ACL的相关技术知识,包括:ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置及应用。