ACL原理与配置

最新推荐文章于 2023-06-06 19:05:25 发布

Yuzhang2046

最新推荐文章于 2023-06-06 19:05:25 发布

阅读量257

点赞数 1

文章标签：网络

本文链接：https://blog.csdn.net/Yuzhang2046/article/details/128979854

版权

ACL：访问控制列表属于网络层

ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为，防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

目标：

1.描述ACL的基本原理和基本作用

2.区分ACL的不同种类和特点

3.描述ACL规则的基本组成结构和匹配顺序

4.掌握ACL通配符的使用方法

5.完成ACL的基本组网配置

ACL是由一系列permit（允许）或deny（拒绝）语句组成的有序规则的列表

ACL是一个匹配工具，能够对报文进行匹配和区分

traffic-filter：调用命令【配置在接口上】

ACL的组成：

通配符：通配符是一个32比特长度的数值，用于指示IP地址中哪些需要严格匹配，哪些比特位无需匹配；通配符通常采用类似网络掩码的点分十进制形式表示，但是含义与网络掩码完全不同

匹配规则：“0”表示严格匹配；“1”表示随机匹配（与子网掩码完全相反，又叫反子网掩码）

例如：

192.168.3.30 0 （0是通配符）代表指向固定的ip；192.168.3.30 0.0.0.255（相当于192.168.3.30/24 指向整个网段）

ACL的分类和标识：

基本ACL范围：2000-2999 允许拒绝一个源端口ip 用基本ACL

命令：rule permit source 192.168.1.10 0 (允许）

rule deny source 192.168.1.20 0（拒绝）

traffic-filter outbound acl 2000 （进入接口后调用基本acl 2000 ） 基本acl尽量设置在靠近目的的接口

高级ACL范围：3000-3999 涉及协议，端口的用高级ACL

命令： rule permit tcp source 192.168.1.10 0 destination 192.168.2.20 0 （地址到地址）

rule deny icmp source 192.168.1.10 0 destination 192.168.2.20 0

rule deny icmp source 192.168.1.10 0.0.0.255 destination 192.168.2.20 0 destination-port eq 80 （整个网段指向服务器端口）

traffic-filter inbound/outbound acl 3000 【进入接口后调用高级acl 3000】高级ACL设置尽量设置在靠近源的接口，也可以设置在靠近目的的接口

ACL匹配机制：

例题：

第一步对路由器AR1三个端口进行地址设置
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 192.168.3.254 24 【对路由器三个端口地址设置】
[Huawei-GigabitEthernet0/0/2]q

第二步实现只能PC1访问pc3（基本ACL用outbound)
[Huawei]acl number 2000 【只涉及pc之间通信所以创建基本acl 2000】
[Huawei-acl-basic-2000]rule permit source 192.168.1.10 0 【允许源ip通过 acl 2000】
[Huawei-acl-basic-2000]rule deny 【禁止其他源ip通过 acl 2000】

[Huawei-acl-basic-2000]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000【进入g0/0/1端口调用acl 2000】
[Huawei-GigabitEthernet0/0/1]q

第三步禁止192.168.1.0/24网络访问ping web服务器
[Huawei]acl 3000 【访问web 服务器涉及传输协议要用高级acl 3000】
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192
.168.3.30 0 【拒绝源ip 整个网段访问web服务器】
[Huawei-acl-adv-3000]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000【进入g0/0/0端口调用acl 3000】

第四步仅允许client1 访问web服务器
[Huawei]undo acl 3000 【之前设置的acl 3000是禁止所有终端访问服务器的要删除】
[Huawei]acl 3001 【创建acl 3001】
[Huawei-acl-adv-3001]rule permit tcp source 192.168.1.30 0 destination 192.168.3
.30 0 destination-port eq 80 【允许源ip访问web服务器访问形式通过端口80访问】
[Huawei-acl-adv-3001]rule deny icmp source 192.168.1.10 0 destination 192.168.3.
30 0 【拒绝pc1 访问 web服务器】
[Huawei-acl-adv-3001]rule deny icmp source 192.168.1.20 0 destination 192.168.3
.30 0 【拒绝pc2访问web服务器】
[Huawei-GigabitEthernet0/0/0]int g0/0/2
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3001 【进入g0/0/2端口调用 acl 3000】