今日目标
理解ACL原理
掌握华为基本ACL的配置
掌握华为高级ACL的配置
ACL原理
什么是ACL
访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表(即规则)
读取第三层、第四层报文头信息
根据预先定义好的规则对报文进行过滤
ACL的主要类型
ACL规则
每个ACL可以包含多个规则,路由器根据规则对数据流量进行过滤
*默认规则是允许
基本ACL概述
华为基本ACL
-基于源IP地址过滤数据包
-列表号是2000~2999
基本ACL的配置案例
需求描述
--禁止PC1访问服务器Server1
--允许其他所有的访问流量
高级ACL
--基于源IP地址、目的IP地址、源端口、目的端口、协议过滤数据包
列表号是3000-3999
配置案例
需求描述
允许Client1访问Server1的WEB服务
允许Client1访问网络192.168.2.0/24
禁止Client1访问其他网络
ACL综合应用
项目概述
网络规划
--每个部门使用一个VLAN
--每个VLAN分配一个C类地址
--使用MSTP实现VLAN负载均衡
--双核心使用VRRP技术
安全规划
--网络设备只允许网管区IP登录
--部门之间不能互通,但都可以和网管区互通
--财务部不能访问Internet
--部门只能访问服务器WWW服务
--只有网络管理员才能通过远程桌面管理服务器
简化的实验要求
--交换机用路由器代替,WG主机用路由器模拟
--R1只允许WG登录
--YF和CW之间不能互通,但都可以和WG互通
--WG和YF可以访问Client1
--CW不能访问Client1
--YF和CW只能访问Server1的WWW服务
--只有WG才能访问Server1DE 所有服务
设备访问控制
--R1只允许WG登录
在R1上配置
YF主机访问控制
--YF和CW之间不能互通
--YF可以和WG\Client1互通
--YF只能访问SERVER1的WWW服务
在R2上配置
CW主机访问控制
--CW和YF、Client1之间不能互通
--CW可以和WG互通
--CW只能访问Server1的WWW服务
在R3上配置