一、ACL访问控制列表
1、概述:
访问控制列表是由一条或多条规则组成的集合、所应用的“规则”是指描述数据报文匹配的判断语句。这些条件可以是报文的原地址、目的地地址、端口号等等。。ACL本质上是一种报文过滤器、规则是过滤的滤芯。设备基于这些规则进行对报文匹配、可以过滤出特定的报文。并根据应用ACL的业务模块来处理数据是允许或阻止报文通过。
2、ACL工作原理
1、ACL是从第一条语句开始向下匹配、一旦匹配成功则执行不在进行后续匹配。
2、路由器的一个接口同一方向最多只能有一个ACL列表(2000-2999)、但是一个列表中可以有多条语句。
3、列表在调用时需要分清楚出入口、以数据流向为参照、进入接口是“in”出口是“out”在不同方向应用ACL时、是对两种不同数据流量进行过滤、分别为出口数据和入口数据。
4、ACL是一组判断语句的集合、实现对数据包进行检测并控制。
3、注意事项
1、访问控制列表对路由器本身产生的数据包不起作用。
2、只有在数据包与第一个判断条件不匹配时、他才会交给ACL中的下一个条件语句进行比较。
3、如果数据包与第一任语句不匹配、则它必须与最后隐含的拒绝或允许匹配(思科拒绝)(华为默认允许)。
4、写规则时按照从具体到普通的次序排列条目。
5、将经常发生的条件放在不经常发生的条件之前。
6、在一个接口只的一个方向中只能应用一个ACL策略。
二、基本ACL
1、基本访问控制列表
基于源IP地址过滤数据包
标准访问控制列表的访问控制列表号是2000-2999
应用ACL时尽量放在离目标更近的。
三、实验拓扑
实验要求:
1、acl基本配置
实验要求:
1、配置全网互通
2、通过配置acl实现PC1能够访问内网服务器server2、PC2访问不了
3、PC1和PC2均能访问外网服务器
4、P3无法访问外网服务器但是能访问内网server1服务器
命令诠释:
1、 配置路由器接口IP及关闭消息提示
AR3配置信息
[Huawei]undo info-center enable 关闭消息提示
interface GigabitEthernet0/0/0
ip address 192.168.20.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 134.125.17.1 255.255.255.0
#
interface GigabitEthernet2/0/0
ip address 192.168.30.1 255.255.255.0
#
2、配置静态路由
ip route-static 172.16.1.0 255.255.255.0 134.125.17.2
ip route-static 192.168.2.0 255.255.255.0 192.168.30.2
ip route-static 192.168.10.0 255.255.255.0 192.168.30.2
AR2配置信息
interface GigabitEthernet0/0/0
ip address 134.125.17.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 172.16.1.254 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 172.166.1.2
ip route-static 192.168.2.0 255.255.255.0 134.125.17.1
ip route-static 192.168.10.0 255.255.255.0 134.125.17.1
ip route-static 192.168.20.0 255.255.255.0 134.125.17.1
ip route-static 192.168.30.0 255.255.255.0 134.125.17.1
三层交换机配置信息
vlan batch 10 20 30 创建vlan
interface Vlanif10
ip address 192.168.10.254 255.255.255.0 配置vlan IP
#
interface Vlanif20
ip address 192.168.2.254 255.255.255.0
#
interface Vlanif30
ip address 192.168.30.2 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1 将vlan应用到接口 01口作为出口设置为trunk 口允许所有
vlan数据通过、本真vlan为30
port link-type trunk
port trunk pvid vlan 30
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
配置静态路由
ip route-static 134.125.17.0 255.255.255.0 192.168.30.1
ip route-static 172.16.1.0 255.255.255.0 192.168.30.1
ip route-static 192.168.20.0 255.255.255.0 192.168.30.1
3、配置基本ACL
1、通过配置acl实现PC1能够访问内网服务器server2、PC2访问不了
在路由器R3里配置基本acl2000、说明拒绝PC2主机192.168.20.3的访问
[Huawei]acl number 2000
[Huawei-acl-basic-2000]rule 2 deny source 192.168.20.3 0 deny拒绝通过
应用到数据出接口
[Huawei]interface g2/0/0
[Huawei-GigabitEthernet2/0/0]traffic-filter outbound acl 2000
4、验证配置
PC1ping——server2能通
通过抓包可以看到有数据通过
使用PC2访问服务器可以看到入口方向有请求数据
进入到路由器后因为有ACL拒绝策略数据并未经过路由器的G2/0/0口到达服务器
四、限时访问服务器ACL配置
实验要求:
在用户办公期间允许所有用户访问服务器、但是在下班期间则拒绝所有用户访问。
1、命令解释:
[Huawei]time-range A1 00:00 to 08:00 Sat 配置允许访问时间段
[Huawei]time-range A2 00:00 to 23:30 daily 配置拒绝访问时间段
[Huawei]acl number 2001 在ACL规则中添加已设定的条件
[Huawei-acl-basic-2001]rule 5 deny time-range A1
[Huawei-acl-basic-2001]rule 10 permit time-range A2