ACL
1.概述:
访问控制列表ACL (Access Control List),是一个使用广泛的基础性工具,是由一系列permit或deny语句组成的,能够匹配报文和匹配路由。
2.分类:
- Basic ACL 2000-2999 匹配源IP地址
- Advanced ACL 3000-3999 ,能够针对数据包的源、目的IP地址、协议类型、源目的端口号等元素进行匹配。
- 二层ACL 4000-4999
- 自定义ACL 5000-5999
3.应用
- 匹配IP流量(可基于源、目IP地址、协议类型、端口号等元素)
- 在Traffic-filter中被调用
- 在NAT中被调用
- 在路由路由策略中被调用
- 在IPSec VPN中被调用
- 在防火墙的策略部署中被调用
- 在QoS中被调用
4.通配符
- 通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严 格匹配,哪些比特位则无所谓。
- 通配符通常采用类似网络掩码的点分十进制形式表示,但是含义却与网络 掩码完全不同。
ACL配置实验
实验要求:首先全网互通,再设置ACL使R3不能通信Server2的80端口,设置ACL使vlan10的PC机不能ping通vlan20的PC机
SW3:
[sw3]V B 10 20
[sw3]int e0/0/1
[sw3-Ethernet0/0/1]p l a
[sw3-Ethernet0/0/1]p d v 10
[sw3-Ethernet0/0/2]p l a
[sw3-Ethernet0/0/2]p d v 20
[sw3-Ethernet0/0/3]p l a
[sw3-Ethernet0/0/3]p d v 30
[sw3-Ethernet0/0/3]int e0/0/4
[sw3-Ethernet0/0/4]p l a
[sw3-Ethernet0/0/4]p d v 20
[sw3-Ethernet0/0/4]int e0/0/5
[sw3-Ethernet0/0/5]p l t
[sw3-Ethernet0/0/5]p t a v a
[sw3-Ethernet0/0/5]
R3:
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R3
[R3]int g0/0/0.1
[R3-GigabitEthernet0/0/0.1]ip add 192.168.1.254 24
[R3-GigabitEthernet0/0/0.1]dot1q termination vid 10
[R3-GigabitEthernet0/0/0.1]arp broadcast enable
[R3-GigabitEthernet0/0/0.1]int g0/0/0.2
[R3-GigabitEthernet0/0/0.2]ip add 192.168.2.254 24
[R3-GigabitEthernet0/0/0.2]dot1q termination vid 20
[R3-GigabitEthernet0/0/0.2]arp broadcast enable
[R3]acl 3000 //进入高级访问控制列表
[R3-acl-adv-3000]rule deny tcp source any destination 10.0.0.1 0 destination-por
t eq 80 //设置R1不能通信sever80端口
[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]traffic-filter outbound acl 3000 //在接口激活acl
[R3-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //设置vlan10不能ping通vlan20
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
[R3]ip route-static 0.0.0.0 0 20.0.0.2
R4:
[Huawei]sys R4
[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]ip add 20.0.0.2 24
[R4-GigabitEthernet0/0/0]int g0/0/1
[R4-GigabitEthernet0/0/1]ip add 10.0.0.254 24
[R4-GigabitEthernet0/0/1]q
[R4]ip route-static 192.168.1.0 24 20.0.0.1
[R4]ip route-static 192.168.2.0 24 20.0.0.1
此时,每个PC机任然能ping通server2,但是vlan10和vlan20的PC机不能通信,再在PC2上向server2的80端口发送UDP报文,分别在R3的G0/0/1和G0/0/0接口抓包数据比较,会发现在G0/0/1接口不会收到报文,从而达到实验要求
G0/0/0接口的抓包数据: