ACL 配置实例
访问控制列表 (ACL) 是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
具体了解 ACL 请参考:什么是ACL
文章目录
1、实验目标
掌握 ACL 的配置方法;在交换机或路由器上利用 ACL 实现包过滤,禁止 PC1 访问 Server ,允许 PC2 访问 Server 。
2、网络拓扑图
注:PC 和 Server 的IP地址、子网掩码及网关,点击 PC 或 Server 进入自行配置
3、配置步骤
(1)按拓扑图配置端口 IP 地址
R1:
<Huawei>system-view //进入系统视图
[Huawei]sysname R1 //重命名设备
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.1.1.1 24 //配置端口 IP 地址
[R1-GigabitEthernet0/0/1]quit
[R1]interface GigabitEthernet0/0/2
[R1-GigabitEthernet0/0/2]ip address 20.1.1.1 24 //配置端口 IP 地址
[R1-GigabitEthernet0/0/2]quit
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]ip address 40.1.1.1 24 //配置端口 IP 地址
[R1-GigabitEthernet0/0/0]quit
R2:
<Huawei>system-view //进入系统视图
[Huawei]sysname R2 //重命名设备
[R2]interface GigabitEthernet0/0/0
[R2-GigabitEthernet0/0/0]ip address 40.1.1.2 24 //配置端口 IP 地址
[R2-GigabitEthernet0/0/0]quit
[R2]interface GigabitEthernet0/0/1
[R2-GigabitEthernet0/0/1]ip address 30.1.1.1 24 //配置端口 IP 地址
[R2-GigabitEthernet0/0/1]quit
(2)配置路由实现全网路由可通达
可以采用静态路由、RIP、OSPF等
采用静态路由具体请参考 静态路由配置实例学习记录
采用 RIP 路由具体请参考 RIP 配置实例学习记录
采用 OSPF 路由具体请参考 OSPF 单区域配置实例学习记录 或 OSPF 多区域配置实例学习记录
a、配置路由操作如下:
本次实例选用 RIP 路由
R1:
[R1]rip 1 //启动 RIP
[R1-rip-1]version 2 //指定全局RIP版本
[R1-rip-1]network 10.0.0.0 //在指定网段使能RIP
[R1-rip-1]network 20.0.0.0 //在指定网段使能RIP
[R1-rip-1]network 40.0.0.0 //在指定网段使能RIP
[R1-rip-1]quit
R2:
[R2]rip 1 //启动 RIP
[R2-rip-1]version 2 //指定全局RIP版本
[R2-rip-1]network 40.0.0.0 //在指定网段使能RIP
[R2-rip-1]network 30.0.0.0 //在指定网段使能RIP
[R2-rip-1]quit
b、检查联通性
用 PC1 去 ping PC2 和 Server1 的 IP 地址,发现都可以通
用 PC2 去 ping PC1 和 Server1 的 IP 地址,发现都可以通
(3)在 R1 上配置 ACL 并作用于端口
[R1]acl number 3000 //配置 ACL 策略
[R1-acl-adv-3000]rule 10 permit ip source 10.1.1.10 0.0.0.255 destination 30.1.1.10 0.0.0.255 //允许 10.1.1.10 (PC1) 访问 30.1.1.10 (Server1),地址掩码使用反掩码
[R1-acl-adv-3000]rule 20 deny ip source 20.1.1.10 0.0.0.255 destination 30.1.1.10 0.0.0.255 //限制 20.1.1.10 (PC2) 访问 30.1.1.10 (Server1),地址掩码使用反掩码
[R1-acl-adv-3000]quit
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000 //将策略应用在本端口上
[R1-GigabitEthernet0/0/0]quit
4、测试
用 PC1 去 ping Server1 的 IP 地址,发现还是可以通的
用 PC2 去 ping Server1 的 IP 地址,就发现已经不通了
5、小结
访问控制列表 (ACL) 分类:
ACL 类型 | 适用的IP版本 | 规则定义描述 | 编号范围 |
---|---|---|---|
基本ACL | IPv4 | 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。 | 2000~2999 |
高级ACL | IPv4 | 既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。 | 3000~3999 |
二层ACL | IPv4&IPv6 | 使用报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、二层协议类型等。 | 4000~4999 |
用户自定义ACL | IPv4&IPv6 | 使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则,即以报文头为基准,指定从报文的第几个字节开始与字符串掩码进行“与”操作,并将提取出的字符串与用户自定义的字符串进行比较,从而过滤出相匹配的报文。 | 5000~5999 |
用户ACL | IPv4 | 既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。 | 6000~6031 |
基本ACL6 | IPv6 | 可使用IPv6报文的源IPv6地址、分片信息和生效时间段来定义规则。 | 2000~2999 |
高级ACL6 | IPv6 | 可以使用IPv6报文的源IPv6地址、目的IPv6地址、IPv6协议类型、ICMPv6类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。 | 3000~3999 |
访问控制列表 (ACL) 功能:
(1)限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定这种类型的数据包具有更高的优先级,同等情况下可预先被网络设备处理。
(2)提供对通信流量的控制手段。
(3)提供网络访问的基本安全手段。
(4)在网络设备接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。
文章如有错误之处,欢迎各位大佬批评指正