概述
访问控制列表ACL(Access Control List)
功能:对经过网络设备的报文进行过滤处理,首先通过报文匹配过程来实现对报文的分类识别,然后根据报文的分诶信息
和相关的执行动作判断哪些报文可以放行,哪些报文不能放行,从而实现对特定报文的过滤。
一个ACL可以由多条“deny/permit"语句组成,每条语句描述一条规则,每条规则有一个Rule-ID。
Rule-ID可以由用户定义也可以由系统根据步长自动生成,默认步长为5,Rule-ID默认按照配置先后顺序分配0、5、15、以此类推
匹配顺序按照ACL的Router-ID的顺序,从小到大依次进行匹配。
ACL分类:1.基本访问控制列表 --- 编号范围2000-2999。
2.高级访问控制列表 --- 编号范围3000-3999
3.二层访问控制列表 --- 编号范围4000-4999
4.用户自定义访问控制列表 --- 编号范围5000-5999
实验案例:模拟一个简单的公司网络
基本组成:一台Ftp-Server,一台Web-Server,一台HR部门的终端PC1,一台SALES部门的终端PC2,一台IT部门的终端PC3,一台路由和一台交换机。
最终需求:1.禁止HR部门和SALES部门之间互访
2.只允许SALES部门访问Web-Server,不允许访问Ftp-server。
3.只允许S1的 VLANIF 1 接口的IP地址作为源地址远程登录R1,实现对R1的远程控制和管理。
实验拓扑:
基本配置:
R1配置:
<Huawei>sys
[Huawei}sysname R1
[R1]vlan batch 10 20 30
[R1]int vlan 1
[R1-Vlanif1]ip address 192.168.1.254 255.255.255.0
[R1-Vlanif1]int vlan 10
[R1-Vlanif10]ip address 172.16.1.254 255.255.255.0
[R1-Vlanif10]int vlan 20
[R1-Vlanif20]ip address 172.16.2.254 255.255.255.0
[R1-Vlanif20]int vlan 30
[R1-Vlanif30]ip address 172.16.3.254 255.255.255.0
[R1-Vlanif30]q
[R1]
[R1]int e0/0/0
[R1-Ethernet0/0/0]port link-type access
[R1-Ethernet0/0/0]port default vlan 10
[R1-Ethernet0/0/0]int e0/0/1
[R1-Ethernet0/0/1]port link-type access
[R1-Ethernet0/0/1]port default vlan 20
[R1-Ethernet0/0/1]int e0/0/2
[R1-Ethernet0/0/2]port link-type access
[R1-Ethernet0/0/2]port default vlan 30
[R1-Ethernet0/0/2]int e0/0/3
[R1-Ethernet0/0/3]port link-type access
[R1-Ethernet0/0/3]port default vlan 1
[R1-Ethernet0/0/3]q
[R1]
S1配置
<Huawei>sys
[Huawei}sysname R1
[S1]int vlan 1
[S1-Vlanif1]ip address 192.168.1.1 255.255.255.0
[S1-Vlanif1]q
[S1]int e0/0/1
[S1-Ethernet0/0/1]port link-type access
[S1-Ethernet0/0/1]port default vlan 1
[S1-Ethernet0/0/1]q
[S1]
1.开启R1的域间防火墙 --- 禁止HR部门和SALES部门之间互访
[R1]
[R1]firewall zone HR(区分大小写) (配置名字HR的安全域)
[R1-zone-HR]priority 12 (配置域安全级别为12)
[R1-zone-HR]q
[R1]firewall zone SALES (配置名字SALES的安全域)
[R1-zone-SALES]priority 10 (配置域安全级别为10)
[R1-zone-SALES]q
[R1]int vlan 10 (进入Vlanif 10接口)
[R1-Vlanif10]zone HR (将接口加入到安全域HR中)
[R1-Vlanif10]int vlan 20 (进入Vlanif 20接口)
[R1-Vlanif20]zone SALES (将接口加入到安全域SALES中)
[R1-Vlanif20]q
[R1]firewall interzone SALES HR
[R1-interzone-HR-SALES]firewall enable (启用域间防火墙)
(域间防火墙规则:安全级别高的区域可以访问安全级别低的区域,安全级别低的区域禁止访问安全级别高的区域)
(因此开启HR和SALES域间防火墙后,禁止SALES部门访问HR部门,HR部门还可以访问SALES部门,因此通过ACL过滤禁止HR部门访问SALES部门)
[R1]acl 3000
[R1-acl-adv-3000]step 10
[R1-acl-adv-3000]rule deny ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255
[R1-acl-adv-3000]firewall interzone SALES HR
[R1-interzone-HR-SALES]packet-filter 3000 outbound(HR安全域级别高于SALES安全域,因此定义acl3000过滤HR安全域到SALES安全域流量方向方向为outbound)
2.只允许SALES部门访问Web-Server,不允许访问Ftp-server。
因为上面已经配置过安全域SALES,此处只需要新增安全域trust。
[R1]
[R1]firewall zone trust(区分大小写) (配置名字HR的安全域)
[R1-zone-trust]priority 14 (配置域安全级别为14;安全级别1-15,15默认分配给local区域,可以配置的安全级别为1-14)
[R1-zone-trust]q
[R1]acl 3001
[R1-acl-adv-3001]rule 5 permit ip source 172.16.2.0 0.0.0.255 destination 192.168.1.30 0 (配置规则5,源地址为172.16.2.0的网段,目的地址192.168.30.1(web服务器地址)通配符为0表示精确匹配到地址,动作为允许访问)
[R1-acl-adv-3001]firewall interzone SALES trust
[R1-interzone-trust-SALES]firewall enable (开启域间防火墙)
[R1-interzone-trust-SALES]packet-filter 3001 inbound (配置域间过滤只允许SALES部门所属网段172.16.2.0 访问web服务器,因为SALES安全域低于trust安全域所以过滤方向为inbound)
[R1-interzone-trust-SALES]q
[R1]
验证结果:PC2只能ping通Web-Server,不能ping通Ftp-Server。
3.只允许S1的 VLANIF 1 接口的IP地址作为源地址远程登录R1,实现对R1的远程控制和管理。
配置R1的telnet服务
[R1]
[R1]user-interface vty 0 4
[R1-ui-vty0-4]protocol inbound telnet
[R1-ui-vty0-4]authentication-mode aaa
[R1-ui-vty0-4]q
[R1]aaa
[R1-aaa]local-user huawei password cipher huawei
[R1-aaa]local-user huawei privilege 15
[R1-aaa]local-user huawei service-type telnet
[R1-aaa]q
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.1 0
[R1-acl-basic-2000]q
[R1]user-interface vty 0 4
[R1-ui-vty0-4]acl 2000 inbound (配置vty通过acl过滤只允许源地址为192.168.1.1的主机通过telnet 登录到R1)
[R1-ui-vty0-4]q
[R1]
验证结果:S1通过telnet管理R1
<S1>telnet 192.168.1.254
Trying 192.168.1.254 ...
Press CTRL+K to abort
Connected to 192.168.1.254 ...
Login authentication
Username:
输入用户名密码即可管理R1路由器
155
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
