十二、访问控制列表ACL

一、访问控制列表ACL

　　企业网络中的设备进行通信时，需保障数据传输的安全可靠和网络的性能稳定。 访问控制列表ACL（Access Control List)可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。

 

二、ACL应用

ACL应用场景

　　1、ACL可以通过定义规则来允许或拒绝流量的通过。　　

　　　　

　　　　上图中：两网段的数据，通过在路由器定议ACL规则，允许哪些能访问互联网，哪些只能访问服务器不能上互联网。

　　2、ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作

　　　　

　　　　上图中，192.168.1.0网段的数据，不需要匹配规则都可以随便把数据传到外网。 但192.168.2.0网段的数据，必须进行加密才强以把数据传到外网

 ACL分类

　　　　 

ACL规则

　　 每个ACL可以包含多个规则，RAT根据规则来对数据流量进行过滤 rule 5 deny source 192.168.1.0 0.0.0.255 （拒绝源地址是192.168.1.0网段的ip通过）

　　rule 是规则意思、5规则步长默认为5、deny是拒绝、source源、0.0.0.255是通配符

　　rule 5 permit source 192.168.1.0 0.0.0.255 （允许源地址是192.168.1.0网段的ip通过）

ACL匹配方式

　　ACL配完后会生成一个ACL列表，

　　列表如下： acl 2000 (规则表名，这是一个基本的 acl）

　　rule 5 deny source 192.168.1.0 0.0.0.255 （规则1,绝拒源地址是192.168.1.0网段的ip通过）

　　rule 10 deny source 192.168.2.0 0.0.0.255 （规则2）

　　rule 15 deny source 192.16.0.0 0.0.0.255 （规则2）

　　匹配顺序是由上往下走，如果匹配到第一条后，下面的就不需要匹配了。

三、实验

1、控制流量进出基本ACL配置　　

　　

 实验：实验目标1、PC1和PC2互通、PC1能通PC3  、PC2不能通PC3    

　　

　　 1）我们首先按照图中的设备ip配置到各设备中,保证PC1、PC2和PC3是互通

　　我们PC的配置我就省略不写，

　　我们先配交换机和路由器

配置交换机LSW2
<Huawei>sys
[Huawei]sysname LSW2
[LSW2]vlan batch 10 11 20
[LSW2]int g0/0/1
[LSW2-GigabitEthernet0/0/1]port link-type access
[LSW2-GigabitEthernet0/0/1]port default vlan 10
[LSW2-GigabitEthernet0/0/1]quit
[LSW2]int vlanif 10
[LSW2-Vlanif10]ip address 192.168.10.1 24
[LSW2-Vlanif10]quit
[LSW2]int g0/0/2
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 11
[LSW2-GigabitEthernet0/0/2]quit
[LSW2]int vlanif 11
[LSW2-Vlanif11]ip address 192.168.11.1 24
[LSW2-Vlanif11]quit
[LSW2]int g0/0/24
[LSW2-GigabitEthernet0/0/24]port link-type access
[LSW2-GigabitEthernet0/0/24]port default vlan 20
[LSW2-GigabitEthernet0/0/24]quit
[LSW2]int vlanif 20
[LSW2-Vlanif20]ip add 192.168.20.2 24
[LSW2-Vlanif20]quit
[LSW2]ip route-static 0.0.0.0 0.0.0.0 192.168.20.1

配置路由器
<Huawei>sys
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.20.1 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.30.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 192.168.10.0 24 192.168.20.2
[R1]ip route-static 192.168.11.0 24 192.168.20.2

　　配置完后，PC1、PC2和PC3是互通的。

　　2）配置ACL规则，实现PC1能通PC3  、PC2不能通PC3     

路由器中配置ACL:
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
[R1-acl-basic-2000]rule 100 deny source any
[R1-acl-basic-2000]quit
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000   #把acl规则应用到路由器出接口

　　

 

 

 

 

 　　

 

 

 2、高级ACL配置

　　 验实1：下图，配置要求：PC16能通PC17不能通PC13 、PC14能通PC13不能通PC17

　　

 　  1）我们先按上图的IP配置各设备

　　2）配置路由器ACL

[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0
[Huawei-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.10.3 0.0.0.0
[Huawei-acl-adv-3000]rule permit ip
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

　　[Huawei-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0
　　上面命令表示：不允许让源地址192.168.1.0网公网的ip达到192.168.10.2的主机

　　如果不能让某网段不能访问对端服务器指定的端口，在配置acl rule时加上服务器端口就行，如：

　　[Huawei-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0 destination-port eq 21