1、ALC作用
1、对数据包的访问进行控制
2、对协议控制(icmp tcp)
2、ALC使用方法
配置再路由器上,数据包从接口经过的时候,接口配置acl策略,路由器会根据策略检查数据包,根据策略做出相应的处理。
配置规则:permi允许或deny拒绝组成的有序的语句,组成一个规则
ALC在接口上如何应用:
在入口:数据包从入口进入路由器,能不能进入路由器(inbound)
在出口:数据包经过路由器处理之后,数据包能不能出去(outbound)
3、ALC种类
种类有3类,一般使用2类
基本acl:2000-2009 只能匹配源ip地址。
高级 acl:3000-3999 源ip 目的ip 源端口,目的端口,三层和四层的协议都可以支持 icmp tcp
udp http https。
二层acl:基本不用。
4、ALC使用规则及语句
基本acl 尽量用在靠近目的地
高级acl 尽量使用在靠近源的地方
基本acl语句
rule 5(默认) permit source 1.1.1.0 0.0.0.255(反掩码)#数字可以自定义,可以不加默认 允许放行
rule 5(默认)deny source 1.1.1.0 0.0.0.255(反掩码) #禁止放行
acl应用规则和匹配数据:
1、一个接口同一方向只能调用一个acl。
2、一个acl当中可以有多个规则,根据规则的id从上到下依次执行。
3、数据包一旦被某个策略匹配,那么不再继续向下匹配。
4、默认是放行所有(华为设备)。
5、实验
需求:实验1、实现仅允许pc1访问192.168.2.0/24网络,即pc1访问pc3
实验2、禁止192.168.1.0/24网络ping web服务器
实验3、仅允许client1访问web服务的服务器
组图
5.1实验1
实现仅允许pc1访问192.168.2.0/24网络,即pc1访问pc3
AR1命令行
<Huawei>undo t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
#进入端口配置ip
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[Huawei-GigabitEthernet0/0/2]q
[Huawei]acl 2000 #创建ALC策略 普通acl
[Huawei-acl-basic-2000]rule permit source 192.168.1.10 0 #设置规则 允许ip地址通行
[Huawei-acl-basic-2000]rule deny source any #设置规则 禁止其他源地址通行
[Huawei-acl-basic-2000]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 #在出口调用acl 2000规则
[Huawei-GigabitEthernet0/0/1]q
实验结果ping图
pc1 可ping通
pc2 不可ping通
5.2实验2
禁止192.168.1.0/24网络ping web服务器
AR1命令行
[Huawei]acl 3000 #创建ACL策略 高级ACl
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192
.168.3.30 0 #创建规则 禁止icmp协议 源IP网段 通配符 目的IP地址 通配符0 禁止192.168.1.0/24网络ping web服务器
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 #在入口调用acl 3000规则
实验结果ping图
pc1 ping不通
pc2ping不通
Client1 ping不通
5.3实验3
仅允许client1访问web服务的服务器
AR1命令行
[Huawei]acl 3001 #创建ACL策略 高级ACl
[Huawei-acl-adv-3001]rule permit tcp source 192.168.1.30 0 destination 192.168.3
.30 0 destination-port eq 80 #设置规则 仅允许client1访问web服务的服务器 TCP协议 源IP 目的IP 目的端口
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3001 #调用规则
server服务器设置
点击HttpServer------->文件根目录选择本地任意文件夹----------->启动
client1客户端设置
AR1命令行与server服务器设置完成后,进入client1客户端设置
点击客户端信息------->点击HttpClient--------->地址输入要访问的地址ip--------->获取
出现File download弹框即可