关键字:华为ACL配置、Cisco ACL配置、Vlan ACL配置
ACL一般有两种应用场景:应用到交换机物理端口和应用到Vlan。
场景一:应用到交换机物理端口
网络拓扑:PC连接在交换机的Gig0/0/1端口
实现目的:禁止在PC上能够访问any的80和443端口
解析:
站在PC侧(站在哪里看很重要)看交换机,PC的数据包是要进入交换机,那么ACL就要应用到交换机物理端口Gig0/0/1的inbound方向上。ACL配置如下:
acl name test
rule 5 deny tcp destination-port eq 443
rule 10 deny tcp destination-porteq www
interface GigabitEthernet0/0/1
traffic-filter inbound acl name test
场景二:应用到vlan
实现目的:只允许此vlanA中的IP与vlanB中的10.10.10.89通讯,其他禁止。
解析:
把vlan的网关看作交换机的大门。
在交换机内部,报文在vlan间是由交换机L3转发引擎转发,不受ACL控制,所以vlanA发送到vlanB的报文,ACL是无法控制的。我们只能控制进入vlanA的报文,或者控制出vlanB的报文。
第一种方法:ACL应用于vlanA的in方向。
ACL配置如下,应用于VlanA的inbound方向:
Permit ip destination 10.10.10.89 0 //允许访问内网中的此IP,下面三条是禁止访问内网IP
Deny ip destination 10.0.0.0 0.255.255.255
Deny ip destination 172.16.0.0 0.25.255.255
Deny ip destination 192.168.0.0 0.0.255.255
Permit ip destination any //允许访问外网
第二种方法:应用到vlanB的out方向。
报文已经进入了交换机,我们控制的是出来的报文。因为正常通信的建立需要对方回包,相当于小偷已经进到客厅了,但我们不让它从后门出去。
Permit source 10.10.10.89 0 //允许源地址为此IP的包出去
Deny source 10.0.0.0 0.255.255.255
Deny source172.16.0.0 0.25.255.255
Deny source 192.168.0.0 0.0.255.255
Permit any //允许源地址为外网IP的包出去