ACL访问控制列表

最新推荐文章于 2024-09-13 20:08:51 发布

博childe

最新推荐文章于 2024-09-13 20:08:51 发布

阅读量1.4k

点赞数

文章标签： p2p 网络 linux

本文链接：https://blog.csdn.net/zhao__b/article/details/122185264

版权

ACL（Access Control List）是一种网络访问控制工具，用于匹配和区分报文，实现精确的流量控制。它可以应用于 Traffic-filter、NAT、路由策略、防火墙策略和QoS等多个场景，通过permit或deny规则定义，实现网络访问行为的控制，防止攻击，并优化带宽利用率。本文以实际网络配置案例展示了ACL如何配置和工作，确保网络环境的安全和服务质量。

摘要由CSDN通过智能技术生成

ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

ACL概述

ACL是由一系列permit或deny语句组成的、有序规则的列表。
ACL是一个匹配工具，能够对报文进行匹配和区分。

ACL应用

匹配IP流量
在Traffic-filter中被调用
在NAT（Network Address Translation）中被调用
在路由策略中被调用
在防火墙的策略部署中被调用
在QoS中被调用
其他......

ACL的组成

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

ACL的分类与标识

基于ACL规则定义方式的分类

分类	编号范围	规则定义描述
基本ACL	2000~2999	仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。
高级ACL	3000~3999	可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。

基于ACL标识方法的分类

分类	规则定义描述
数字型ACL	传统的ACL标识方法。创建ACL时，指定一个唯一的数字标识该ACL。
命名型ACL	通过名称代替编号来标识ACL。

ACL的匹配机制

入站（Inbound）及出战（Outbound）方向

实验案例

Client1：
本机地址：192.168.1.1
子网掩码：255.255.255.0
网关：192.168.1.254
Client2：
本机地址：192.168.2.1
子网掩码：255.255.255.0
网关：192.168.2.254
Server1：
本机地址：192.168.3.1
子网掩码：255.255.255.0
网关：192.168.3.254
Server2：
本机地址：192.168.4.1
子网掩码：255.255.255.0
网关：192.168.4.254

SW1：

<Huawei>system-view 
[Huawei]un in en
[Huawei]sys SW1
[SW1]vlan batch 10 20 30
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]port link-type access 
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/1]int e0/0/2
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port default vlan 20
[SW1-Ethernet0/0/2]int e0/0/3
[SW1-Ethernet0/0/3]port link-type access
[SW1-Ethernet0/0/3]port default vlan 30
[SW1-Ethernet0/0/3]int vlanif 10
[SW1-Vlanif10]ip add 192.168.1.254 24
[SW1-Vlanif10]int vlanif 20
[SW1-Vlanif20]ip add 192.168.2.254 24
[SW1-Vlanif20]int vlanif 30
[SW1-Vlanif30]ip add 172.16.1.1 30
[SW1-Vlanif30]quit
[SW1]ip route-static 0.0.0.0 0 172.16.1.2
[SW1]quit
<SW1>save

SW2：

<Huawei>sys
[Huawei]un in en
[Huawei]sys SW2
[SW2]vlan batch 40 50
[SW2]int e0/0/1	
[SW2-Ethernet0/0/1]port link-type access 
[SW2-Ethernet0/0/1]port default vlan 40
[SW2-Ethernet0/0/1]int e0/0/2
[SW2-Ethernet0/0/2]port link-type access
[SW2-Ethernet0/0/2]port default vlan 50
[SW2-Ethernet0/0/2]quit
[SW2]int Vlanif 40
[SW2-Vlanif40]ip add 172.16.1.2 30
[SW2-Vlanif40]int Vlanif 50
[SW2-Vlanif50]ip add 172.16.2.1 30
[SW2-Vlanif50]quit
[SW2]ip route-static 0.0.0.0 0 172.16.2.2
[SW2]ip route-static 192.168.1.0 24 172.16.1.1
[SW2]ip route-static 192.168.2.0 24 172.16.1.1
[SW2]quit
<SW2>save

AR1：

<Huawei>system-view 
[Huawei]un in en
[Huawei]sys AR1
[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 172.16.2.2 30
[AR1-GigabitEthernet0/0/2]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.3.254 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.4.254 24
[AR1-GigabitEthernet0/0/1]quit
[AR1]ip route-static 192.168.1.0 24 172.16.2.1
[AR1]ip route-static 192.168.2.0 24 172.16.2.1
[AR1]acl 3000
[AR1-acl-adv-3000]rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.4.1 0 destination-port eq 80
[AR1-acl-adv-3000]rule 10 deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 destination-port eq 21
[AR1-acl-adv-3000]rule 15 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.1 0 destination-port eq 21
[AR1-acl-adv-3000]rule 20 deny tcp source 192.168.2.0 0.0.0.255 destination 192.168.4.1 0 destination-port eq 80
[AR1-acl-adv-3000]quit
[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
[AR1-GigabitEthernet0/0/2]quit
[AR1]quit
<AR1>save

配置完成后，先在Server1上开启FTP和HTTP，Server2跟Server1一样，都开启，这里以Server1为例