ACL简介
访问控制列表ACL(Access Control List)是由一系列规则组成的集合,ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。
网络中的设备相互通信时,需要保障网络传输的安全可靠和性能稳定。例如:
1、防止对网络的攻击,例如IP(Internet Protocol)报文、TCP(Transmission Control Protocol)报文、ICMP(Internet Control Message Protocol)报文的攻击。
2、对网络访问行为进行控制,例如企业网中内、外网的通信,用户访问特定网络资源的控制,特定时间段内允许对网络的访问。
3、限制网络流量和提高网络性能,例如限定网络上行、下行流量的带宽,对用户申请的带宽进行收费,保证高带宽网络资源的充分利用。
ACL的出现,有效地解决了上述问题,切实保障了网络传输的稳定性和可靠性。
ACL的规则匹配
报文到达设备时,设备从报文中提取信息,并将该信息与ACL中的规则进行匹配,只要有一条规则和报文匹配,就停止查找,称为命中规则。查找完所有规则,如果没有符合条件的规则,称为未命中规则。
ACL的规则分为“permit”(允许)规则和“deny”(拒绝)规则。
综上所述,ACL可以将报文分成三类:
1、命中“permit”规则的报文
2、命中“deny”规则的报文
3、未命中规则的报文
ACL的分类
分类 | 规则定义描述 | 编号范围 |
---|---|---|
基本ACL | 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。 | 2000~2999 |
高级ACL | 既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。 | 3000~3999 |
二层ACL | 使用报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、二层协议类型等。 | 4000~4999 |
实验拓扑
SW1
<Huawei>sys
[Huawei]un in en
[Huawei]sys sw1
[sw1]vlan batch 10 20 30
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]p l a
[sw1-Ethernet0/0/1]p d v 10
[sw1-Ethernet0/0/1]int e0/0/2
[sw1-Ethernet0/0/2]p l a
[sw1-Ethernet0/0/2]p d v 20
[sw1-Ethernet0/0/2]int e0/0/3
[sw1-Ethernet0/0/3]p l a
[sw1-Ethernet0/0/3]p d v 30
[sw1-Ethernet0/0/3]int vlan 10
[sw1-Vlanif10]ip add 192.168.1.254 24
[sw1-Vlanif10]int vlan 20
[sw1-Vlanif20]ip add 192.168.2.254 24
[sw1-Vlanif20]int vlan 30
[sw1-Vlanif30]ip add 172.16.1.1 30
[sw1-Vlanif30]q
[sw1]ip route-static 0.0.0.0 0 172.16.1.2
[sw1]q
SW2
<Huawei>sys
[Huawei]un in en
[Huawei]sys sw2
[sw2]v b 10 20 30 40 50
[sw2]int e0/0/1
[sw2-Ethernet0/0/1]p l a
[sw2-Ethernet0/0/1]p d v 40
[sw2-Ethernet0/0/1]int e0/0/2
[sw2-Ethernet0/0/2]p l a
[sw2-Ethernet0/0/2]p d v 50
[sw2-Ethernet0/0/2]q
[sw2]int vlan 50
[sw2-Vlanif50]ip add 172.16.2.1 30
[sw2-Vlanif50]int vlan 40
[sw2-Vlanif40]ip add 172.16.1.2 30
[sw2-Vlanif40]q
[sw2]ip route-static 0.0.0.0 0 172.16.2.2
[sw2]ip route-static 192.168.1.0 24 172.16.1.1
[sw2]ip route-static 192.168.2.0 24 172.16.1.1
R1
<Huawei>sys
[Huawei]
[Huawei]un in en
[Huawei]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 172.16.2.2 30
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]
[R1-GigabitEthernet0/0/1]ip add 192.168.3.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.4.254 24
[R1-GigabitEthernet0/0/2]q
[R1]ip route-static 192.168.1.0 24 172.16.2.1
[R1]ip route-static 192.168.2.0 24 172.16.2.1
[R1]acl 3000
[R1-acl-adv-3000]rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 192.
168.4.1 0 destination-port eq 80
[R1-acl-adv-3000]rule 10 deny tcp source 192.168.1.0 0.0.0.255 destination 192.1
68.3.1 0 destination-port eq 21
[R1-acl-adv-3000]rule 15 permit tcp source 192.168.2.0 0.0.0.255 destination 192
.168.3.1 0 destination-port eq 21
[R1-acl-adv-3000]rule 20 deny tcp source 192.168.2.0 0.0.0.255 destination 192.1
68.4.1 0 destination-port eq 80
[R1-acl-adv-3000]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
实验结果
从结果可以看出财务部可以访问WEB服务器,但不可以访问FTP服务器;
市场部可以放FTP服务器,但不可以访问WEB服务器。