⭐情景说明
企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。访问控制列表ACL
(
Access Control List
)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。这里通过简单配置ACL达到限制某些主机访问服务器的目的。
⭐ACL主要分类
类型 | 编号范围 | 参数 |
基本ACL | 2000-2999 | 源IP地址等 |
高级ACL | 3000-3999 | 源IP地址、目的IP地址、 源端口、目的端口等 |
二层ACL | 4000-4999 | 源MAC地址、目的MAC地址、以太帧协议类型等 |
用户自定义ACL | 5000-5999 | 用户自定义报文的偏移位置和偏移量、从报文中提取出的相关内容等信息 |
⭐简易拓扑图
限制主机B:192.168.10.20 访问服务器A:10.10.100.10
⭐配置前:主机A和主机B访问服务器A情况
⭐配置信息
[S1]vlan batch 10 100
[S1]int vlanif 10
[S1-Vlanif10]ip add 192.168.10.1 24 //主机A、B的网关
[S1]int vlanif 100
[S1-Vlanif100]ip add 10.10.100.1 24 //服务器A的网关
[S1]int g0/0/1
[S1-GigabitEthernet0/0/1]port link-type access
[S1-GigabitEthernet0/0/1]port default vlan 10
[S1]int g0/0/2
[S1-GigabitEthernet0/0/2]port link-type access
[S1-GigabitEthernet0/0/2]port default vlan 10
[S1]int g0/0/24
[S1-GigabitEthernet0/0/24]port link-type access
[S1-GigabitEthernet0/0/24]port default vlan 100
[S1]acl 2000
[S1-acl-basic-2000]rule 5 deny source 192.168.10.20 0 //配置规则,拒绝主机B访问服务器A
[S1]int g0/0/24
[S1-GigabitEthernet0/0/24]traffic-filter outbound acl 2000 rule 5
<S1>save
⭐结果验证
⭐结论
通过配置基本ACL策略已成功限制主机B访问服务器A.说明ACL策略配置成功