ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
ACL概述
- ACL是由一系列permit或deny语句组成的、有序规则的列表。
- ACL是一个匹配工具,能够对报文进行匹配和区分。
ACL应用
- 匹配IP流量
- 在Traffic-filter中被调用
- 在NAT(Network Address Translation)中被调用
- 在路由策略中被调用
- 在防火墙的策略部署中被调用
- 在QoS中被调用
- 其他......
ACL的组成
ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。
ACL的分类与标识
基于ACL规则定义方式的分类
分类 | 编号范围 | 规则定义描述 |
基本ACL | 2000~2999 | 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。 |
高级ACL | 3000~3999 | 可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。 |
基于ACL标识方法的分类
分类 | 规则定义描述 |
数字型ACL | 传统的ACL标识方法。创建ACL时,指定一个唯一的数字标识该ACL。 |
命名型ACL | 通过名称代替编号来标识ACL。 |
ACL的匹配机制
入站(Inbound)及出战(Outbound)方向
实验案例
Client1:
本机地址:192.168.1.1
子网掩码:255.255.255.0
网关:192.168.1.254
Client2:
本机地址:192.168.2.1
子网掩码:255.255.255.0
网关:192.168.2.254
Server1:
本机地址:192.168.3.1
子网掩码:255.255.255.0
网关:192.168.3.254
Server2:
本机地址:192.168.4.1
子网掩码:255.255.255.0
网关:192.168.4.254
SW1:
<Huawei>system-view
[Huawei]un in en
[Huawei]sys SW1
[SW1]vlan batch 10 20 30
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/1]int e0/0/2
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port default vlan 20
[SW1-Ethernet0/0/2]int e0/0/3
[SW1-Ethernet0/0/3]port link-type access
[SW1-Ethernet0/0/3]port default vlan 30
[SW1-Ethernet0/0/3]int vlanif 10
[SW1-Vlanif10]ip add 192.168.1.254 24
[SW1-Vlanif10]int vlanif 20
[SW1-Vlanif20]ip add 192.168.2.254 24
[SW1-Vlanif20]int vlanif 30
[SW1-Vlanif30]ip add 172.16.1.1 30
[SW1-Vlanif30]quit
[SW1]ip route-static 0.0.0.0 0 172.16.1.2
[SW1]quit
<SW1>save
SW2:
<Huawei>sys
[Huawei]un in en
[Huawei]sys SW2
[SW2]vlan batch 40 50
[SW2]int e0/0/1
[SW2-Ethernet0/0/1]port link-type access
[SW2-Ethernet0/0/1]port default vlan 40
[SW2-Ethernet0/0/1]int e0/0/2
[SW2-Ethernet0/0/2]port link-type access
[SW2-Ethernet0/0/2]port default vlan 50
[SW2-Ethernet0/0/2]quit
[SW2]int Vlanif 40
[SW2-Vlanif40]ip add 172.16.1.2 30
[SW2-Vlanif40]int Vlanif 50
[SW2-Vlanif50]ip add 172.16.2.1 30
[SW2-Vlanif50]quit
[SW2]ip route-static 0.0.0.0 0 172.16.2.2
[SW2]ip route-static 192.168.1.0 24 172.16.1.1
[SW2]ip route-static 192.168.2.0 24 172.16.1.1
[SW2]quit
<SW2>save
AR1:
<Huawei>system-view
[Huawei]un in en
[Huawei]sys AR1
[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 172.16.2.2 30
[AR1-GigabitEthernet0/0/2]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.3.254 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.4.254 24
[AR1-GigabitEthernet0/0/1]quit
[AR1]ip route-static 192.168.1.0 24 172.16.2.1
[AR1]ip route-static 192.168.2.0 24 172.16.2.1
[AR1]acl 3000
[AR1-acl-adv-3000]rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.4.1 0 destination-port eq 80
[AR1-acl-adv-3000]rule 10 deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 destination-port eq 21
[AR1-acl-adv-3000]rule 15 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.1 0 destination-port eq 21
[AR1-acl-adv-3000]rule 20 deny tcp source 192.168.2.0 0.0.0.255 destination 192.168.4.1 0 destination-port eq 80
[AR1-acl-adv-3000]quit
[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
[AR1-GigabitEthernet0/0/2]quit
[AR1]quit
<AR1>save
配置完成后,先在Server1上开启FTP和HTTP,Server2跟Server1一样,都开启,这里以Server1为例
接下来我们去用Client1去访问,我们允许它访问WEB,拒绝访问FTP,当出现下面,说明我们这个做成功了
同样,这个跟上面那个一样,只不过这个是允许访问FTP,拒绝访问WEB