ACL,Access Control List,访问控制列表,流量工程技术
ACL编号(华为)
基本ACL(Basic),只能匹配源地址信息:2000~2999
高级ACL(Advanced),可以匹配源目的IP、端口及协议:3000~3999
二层ACL(L2),用于二层技术:4000~4999
自定义ACL(Name),属于扩展功能:5000~5999
ACL的规则结构
-
条件
安全套接字(sip、dip、sport、dport、protocol)
-
动作
deny(拒绝)、permit(允许)
路由器收到数据包的执行顺序:收包→执行入接口(ACL)→匹配路由表→执行出接口(ACL)→转发
ACL的匹配原则
根据Rule-ID进行顺序匹配,若成功,则不再对剩余的规则进行匹配;如果所有的规则都未匹配成功则视为允许通过;
①自上而下优先匹配;
②末尾隐含拒绝;
基本ACL(实验)
要求:1、PC1可以和PC2、PC3通信;
2、使用ACL,让PC2不可以和PC1通信,PC可以和PC1通信;
AR1:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.12.1 24
[Huawei]rip 1
[Huawei-rip-1]net 192.168.12.0
[Huawei-rip-1]net 192.168.1.0
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule deny source 192.168.2.2 0
[Huawei-acl-basic-2000]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000
AR2:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.12.2 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]rip 1
[Huawei-rip-1]net 192.168.12.0
[Huawei-rip-1]net 192.168.2.0
运行结果:
PC2和PC1可以通信。
PC3和PC1不能通信
高级ACL(实验)
Server1:
启动服务器,导入文件(随便一个文件夹);
Client1:
AR1:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.12.1 24
[Huawei]rip 1
[Huawei-rip-1]net 192.168.12.0
[Huawei-rip-1]net 192.168.1.0
[Huawei-GigabitEthernet0/0/1]acl 3000
[Huawei-acl-adv-3000]rule deny tcp destination-port eq 80 source 192.168.2.2 0 destination 192.168.1.1 0
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
AR2:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.12.2 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]rip 1
[Huawei-rip-1]net 192.168.12.0
[Huawei-rip-1]net 192.168.2.0
运行结果:
可以ping成功,
获取Http服务失败;
如果ping失败,获取http服务成功;
首先进入:acl 3000
查询:dis th
删除:undo rule (查询到的数字)
[Huawei-acl-adv-3000]rule deny icmp source 192.168.2.2 0 destination 192.168.1.1 0
例如: