基礎過濾工具——ACL控制訪問列表（Access Control List）

基礎知識

　　路由器為了過濾數據包，需要配置一系列的規則，以決定什么樣的數據包能夠通過，這些規則就是通過訪問控制列表ACL（Access Control List）定義的。訪問控制列表是由permit | deny語句組成的一系列有順序的規則，這些規則根據數據包的源地址、目的地址、端口號等來描述。ACL通過這些規則對數據包進行分類，這些規則應用到路由器接口上，路由器根據這些規則判斷哪些數據包可以接收，哪些數據包需要拒絕。

　　總之，ACL是通過定義規則來允許或拒絕流量的通過。

華為的ACL分類：

 在思科路由器里，標准的訪問控制列表使用 1～99 以及1300～1999之間的數字作為表號，擴展的訪問控制列表使用 100～199以及2000～2699之間的數字作為表號。

華為路由器

一個ACL可以由多條“deny/permit”語句組成，Rule-ID默認步長為5，匹配順序按照ACL

的Rule-ID順序，從小到大進行匹配。

 

在企業中OSPF和ACL應用特別廣泛， 

現在我們在eNSP上，做個華為的OSPF多區域與ACL綜合應用實例，，

來理解和掌握ACL

實驗拓撲：

 

 

 實驗的要求（內容）：

1.企業內網運行OSPF路由協議，區域規划如圖所示；
2.財務和研發所在的區域不受其他區域鏈路不穩定性影響；
3.R1、R2、R3只允許被IT登錄管理；
4.YF和CW之間不能互通，但都可以與IT互通；
5.IT和YF可以訪問Client1，但CW不能訪問Client1；
6.YF和CW只能訪問Server1的WWW服務；

 分析：

CW財務：

1.YF和CW之間不能互通，但都可以與IT互通；
2.CW不能訪問Client1；
3.CW只能訪問Server1的WWW服務；

YF研發：

1.YF和CW之間不能互通，但都可以與IT互通；
3.YF只能訪問Server1的WWW服務；

 

IT：

1.R1、R2、R3只允許被IT登錄管理；
2.IT可以訪問Client1；

實驗步驟：

1.項目在配置ospf時一定要注意特殊區域的配置要完整；

2.在配置acl時要主要序列號和源、目標ip地址配置正確。

　　1.配置基本網絡

　　按照拓撲圖上，給各終端添上ip和網關，各路由器上的端口，文字標識配置一下就行

 　　2.配置OSPF，路由通告，

R1

 0是0.0.0.0 的縮寫　　　　

第二處標記，注意OSPF，在聲明網段的時候，后面跟網段的反掩碼

 

R2

 配置完全末梢區域（stub no-summary）：如果一個ospf內部的區域被配置成了完全末梢區域的話，那么該區域只接收LSA1.2還有一條就是指向域外的一條默認路由。

R3

 IT

 　　3.配置ACL，滿足企業要求：

財經部ACL設置：

R3

 第一次標記：進入到vty 終端，在華為的交換機里，vty就是人家用telnet遠程進入到你交換機的界面，最多有五個，所以說你可以vty 0   vty 1  vty... vty 4交換機最多可以允許五個人同時在線進到交換機里去配置命令的。vty0 4 就是說把這五個界面一起配置了，這五個界面進去的話，都是使用以下的配置。

第二處是：想對CW進行控制，而CW只有一個R3的進接口，，所有進入g0/0/1，

traffic-filter inbound（進接口調用）名為cw的acl

rule  x  permit/deny ip source（來源，，源地址）  xxxx  反掩碼  destination（目的地、終點，，目的地址）　　xxxx 反掩碼

 

研發部ACL配置

R2

acl number 2000
rule 10 permit source 192.168.10.0 0.0.0.255
user-interface vty 0 4
acl 2000 inbound
authentication-mode password
123
acl name yf
rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule 20 permit tcp source 192.168.20.0 0.0.0.255 destination 192.168.40.1 0 destination-port eq www
rule 30 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
interface GigabitEthernet0/0/2
traffic-filter inbound acl name yf

研發部的配置和財務部差不多。

 

IT部ACL設置
R1

acl number 2000
rule 10 permit source 192.168.10.0 0.0.0.255
user-interface vty 0 4
acl 2000 inbound
authentication-mode password
123
acl number 3000
rule 10 permit tcp source 1.1.1.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 destination-port eq www
rule 20 deny ip source 1.1.1.0 0.0.0.255 destination 192.168.40.1 0
interface GigabitEthernet0/0/1
traffic-filter inbound acl 3000

配置完成，

驗證：財務

先在Server1上啟動HTTPServer服務，

標記處2在選擇文件夾的時候，，先去創建一個有.html(記事本改后綴的就行)的文件夾

財務可以訪問server1服務器的web服務

 

 但無法ping通Server1服務器

 

 驗證：研發

 

 但無法ping通server1服務器

 

 驗證：R1、R2、R3只允許被IT登錄管理，

IT可以登入R1、2、3，，

其他的和R3一樣

 

R1不可以登入R3

 所以項目要求驗證成功。