什么是ACL?
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
为什么使用ACL?
ACL作为一个过滤器,设备通过应用ACL来阻止和允许特定流量的流入和流出,如果没有它,任何流量都会自由流入和流出,使得网络容易受到攻击。
如下图所示,为保证财务数据安全,企业在路由设备上应用ACL可以阻止内网内部研发部门主机对财务服务器的访问,同时允许总裁办公室访问财务服务器。为了保护企业内网的安全,在路由设备上应用ACL可以封堵网络病毒常用的端口,防止Internet上的恶意流量入侵。
ACL可以做什么?
借助ACL,可以实现以下功能:
- 提供安全访问:企业重要服务器资源被随意访问,企业机密信息容易泄露,造成安全隐患。使用ACL可以指定用户访问特定的服务器、网络与服务,从而避免随意访问的情况。
- 防止网络攻击:Internet病毒肆意侵略企业内网,内网环境的安全性堪忧。使用ACL可以封堵高危端口,从而达成为外网流量的阻塞。
- 提高网络带宽利用率:网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。使用ACL实现对网络流量的精确识别和控制,限制部分网络流量从而保障主要业务的质量。
ACL的分类
随着ACL技术的发展,其种类越来越丰富,根据其不同的规则和使用场景,常用的可分为以下几类:
基本ACL
基本ACL规则只包含源IP地址,对设备的CPU消耗较少,可用于简单的部署,但是使用场景有限,不能提供强大的安全保障。
高级ACL
相较于基本ACL,高级ACL提供更高的扩展性,可以对流量进行更精细的匹配。通过配置高级ACL,可以阻止特定主机或者整个网段的源或者目标。除此之外,还可以使用协议信息(IP、ICMP、TCP、UDP)去过滤相应的流量。
二层ACL
在公司的内部网络中,想对特定的终端进行访问权限控制,这时就需要二层ACL。使用二层ACL,可以根据源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息对流量进行管控。
用户ACL
由于企业内部同部门的工作人员的终端不在同一个网段难以管理,需要将其纳入一个用户组,并对其用户组进行访问权限管理,这时候就需要用户ACL。用户ACL在高级ACL的基础上增加了用户组的配置项,可以实现对不同用户组的流量管控。
不同类型的ACL的具体组成如下表所示:
表1-1 ACL的分类
| 基本ACL | 高级ACL | 二层ACL | 用户ACL | |||
|---|---|---|---|---|---|---|
| ACL标识 | ACL编号 | 2000~2999 | 3000~3999 | 4000~4999 | 6000~6031 | |
| ACL名称 | Y | Y | Y | Y | ||
| 规则 | 规则编号 | - | Y | Y | Y | Y |
| 动作 | permit/deny | Y | Y | Y | Y | |
| 匹配项 | 生效时间段 | Y | Y | Y | Y | |
| IP协议类型 | - | Y | Y | Y | ||
| IPv4 | Y | Y | - | Y | ||
| Y | Y | - | Y | |||
| 源IP地址 | Y | Y | - | Y | ||
| 源MAC地址 | - | - | Y | - | ||
| 源端口号 | - | Y | Y | Y | ||
| 目的地址 | - | Y | - | Y | ||
| 目的MAC地址 | - | - | Y | - | ||
| 目的端口号 | - | Y | Y | Y | ||
| 用户组 | - | - | - | Y |
拓朴图:
实验需求:
(1)接入层划分vlan ,三层交换作为网关
(2)允许财务部访问WEB服务器,不允许财务部访问FTP服务器﹔
(3)允许市场部访问FTP服务器,不允许访问WEB服务器﹔
基础配置:
交换机,路由器配置:
SW1
<Huawei>
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]sys sw1
[sw1]vlan batch 10 20 30
Info: This operation may take a few seconds. Please wait for a moment...done.
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]p l a
[sw1-Ethernet0/0/1]p d v 10
[sw1-Ethernet0/0/1]q
[sw1]int e0/0/2
[sw1-Ethernet0/0/2]p l a
[sw1-Ethernet0/0/2]p d v 20
[sw1-Ethernet0/0/2]q
[sw1]int e0/0/3
[sw1-Ethernet0/0/3]p l a
[sw1-Ethernet0/0/3]p d v 30
[sw1-Ethernet0/0/3]q
[sw1]int vlan 10
[sw1-Vlanif10]ip add 192.168.1.254 24
[sw1-Vlanif10]int vlan 20
[sw1-Vlanif20]ip add 192.168.2.254 24
[sw1-Vlanif20]int vlan 30
[sw1-Vlanif30]ip add 172.16.1.1 30
[sw1-Vlanif30]q
[sw1]ip route-static 0.0.0.0 0 172.16.1.2
[sw1]q
<sw1>SW2
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]sys sw2
[sw2]v b 10 20 30 40 50
Info: This operation may take a few seconds. Please wait for a moment...done.
[sw2]int e0/0/1
[sw2-Ethernet0/0/1]p l a
[sw2-Ethernet0/0/1]p d v 40
[sw2-Ethernet0/0/1]int e0/0/2
[sw2-Ethernet0/0/2]p l a
[sw2-Ethernet0/0/2]p d v 50
[sw2-Ethernet0/0/2]q
[sw2]int vlan 50
[sw2-Vlanif50]ip add 172.16.2.1 30
[sw2-Vlanif50]int vlan 40
[sw2-Vlanif40]ip add 172.16.1.2 30
[sw2-Vlanif40]q
[sw2]ip route-static 192.168.1.0 24 172.16.1.1
[sw2]ip route-static 192.168.2.0 24 172.16.1.1
[sw2]
[sw2]ip route-static 0.0.0.0 0 172.16.2.2
[sw2]AR1
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]
[Huawei]un in en
Info: Information center is disabled.
[Huawei]
[Huawei]sys R1
[R1]
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]
[R1-GigabitEthernet0/0/0]ip add 172.16.2.2 30
[R1-GigabitEthernet0/0/0]
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]
[R1-GigabitEthernet0/0/1]ip add 192.168.3.254 24
[R1-GigabitEthernet0/0/1]
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]
[R1-GigabitEthernet0/0/2]ip add 192.168.4.254 24
[R1-GigabitEthernet0/0/2]
[R1-GigabitEthernet0/0/2]q
[R1]
[R1]ip route-static 192.168.1.0 24 172.16.2.1
[R1]
[R1]ip route-static 192.168.2.0 24 172.16.2.1
[R1]
[R1]acl 3000
[R1-acl-adv-3000]
[R1-acl-adv-3000]rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 192.
168.4.1 0 destination-port eq 80
[R1-acl-adv-3000]
[R1-acl-adv-3000]rule 10 deny tcp source 192.168.1.0 0.0.0.255 destination 192.1
68.3.1 0 destination-port eq 21
[R1-acl-adv-3000]
[R1-acl-adv-3000]rule 15 permit tcp source 192.168.2.0 0.0.0.255 destination 192
.168.3.1 0 destination-port eq 21
[R1-acl-adv-3000]
[R1-acl-adv-3000]rule 20 deny tcp source 192.168.2.0 0.0.0.255 destination 192.1
68.4.1 0 destination-port eq 80
[R1-acl-adv-3000]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/0]
实验结果:
财务部:
市场部:
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
