碼上歡樂
相關內容    簡體    繁體

十二、訪問控制列表ACL

本文轉載自   查看原文   2020-05-25 12:09   593    【華為|數據通信】

一、訪問控制列表ACL

  企業網絡中的設備進行通信時,需保障數據傳輸的安全可靠和網絡的性能穩定。 訪問控制列表ACL(Access Control List)可以定義一系列不同的規則,設備根據這些規則對數據包進行分類,並針對不同類型的報文進行不同的處理,從而可以實現對網絡訪問行為的控制、限制網絡流量、提高網絡性能、防止網絡攻擊等。

 

二、ACL應用

ACL應用場景

  1、ACL可以通過定義規則來允許或拒絕流量的通過。  

    

    上圖中:兩網段的數據,通過在路由器定議ACL規則,允許哪些能訪問互聯網,哪些只能訪問服務器不能上互聯網。

  2、ACL可以根據需求來定義過濾的條件以及匹配條件后所執行的動作

    

    上圖中,192.168.1.0網段的數據,不需要匹配規則都可以隨便把數據傳到外網。 但192.168.2.0網段的數據,必須進行加密才強以把數據傳到外網

 ACL分類

     

ACL規則

   每個ACL可以包含多個規則,RAT根據規則來對數據流量進行過濾 rule 5 deny source 192.168.1.0 0.0.0.255 (拒絕源地址是192.168.1.0網段的ip通過)

  rule 是規則意思、5規則步長默認為5、deny是拒絕、source源、0.0.0.255是通配符

  rule 5 permit source 192.168.1.0 0.0.0.255 (允許源地址是192.168.1.0網段的ip通過)

ACL匹配方式

  ACL配完后會生成一個ACL列表,

  列表如下: acl 2000 (規則表名,這是一個基本的 acl)

  rule 5 deny source 192.168.1.0 0.0.0.255 (規則1,絕拒源地址是192.168.1.0網段的ip通過)

  rule 10 deny source 192.168.2.0 0.0.0.255 (規則2)

  rule 15 deny source 192.16.0.0 0.0.0.255 (規則2)

  匹配順序是由上往下走,如果匹配到第一條后,下面的就不需要匹配了。

三、實驗

1、控制流量進出基本ACL配置  

  

 實驗:實驗目標1、PC1和PC2互通、PC1能通PC3  、PC2不能通PC3    

  

   1)我們首先按照圖中的設備ip配置到各設備中,保證PC1、PC2和PC3是互通

  我們PC的配置我就省略不寫,

  我們先配交換機和路由器

配置交換機LSW2
<Huawei>sys
[Huawei]sysname LSW2
[LSW2]vlan batch 10 11 20
[LSW2]int g0/0/1
[LSW2-GigabitEthernet0/0/1]port link-type access
[LSW2-GigabitEthernet0/0/1]port default vlan 10
[LSW2-GigabitEthernet0/0/1]quit
[LSW2]int vlanif 10
[LSW2-Vlanif10]ip address 192.168.10.1 24
[LSW2-Vlanif10]quit
[LSW2]int g0/0/2
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 11
[LSW2-GigabitEthernet0/0/2]quit
[LSW2]int vlanif 11
[LSW2-Vlanif11]ip address 192.168.11.1 24
[LSW2-Vlanif11]quit
[LSW2]int g0/0/24
[LSW2-GigabitEthernet0/0/24]port link-type access
[LSW2-GigabitEthernet0/0/24]port default vlan 20
[LSW2-GigabitEthernet0/0/24]quit
[LSW2]int vlanif 20
[LSW2-Vlanif20]ip add 192.168.20.2 24
[LSW2-Vlanif20]quit
[LSW2]ip route-static 0.0.0.0 0.0.0.0 192.168.20.1

配置路由器
<Huawei>sys
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.20.1 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.30.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 192.168.10.0 24 192.168.20.2
[R1]ip route-static 192.168.11.0 24 192.168.20.2

  配置完后,PC1、PC2和PC3是互通的。

  2)配置ACL規則,實現PC1能通PC3  、PC2不能通PC3     

路由器中配置ACL:
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
[R1-acl-basic-2000]rule 100 deny source any
[R1-acl-basic-2000]quit
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000   #把acl規則應用到路由器出接口

  

 

 

 

 

   

 

 

 2、高級ACL配置

   驗實1:下圖,配置要求:PC16能通PC17不能通PC13 、PC14能通PC13不能通PC17

  

    1)我們先按上圖的IP配置各設備

  2)配置路由器ACL

[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0
[Huawei-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.10.3 0.0.0.0
[Huawei-acl-adv-3000]rule permit ip
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

  [Huawei-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0
  上面命令表示:不允許讓源地址192.168.1.0網公網的ip達到192.168.10.2的主機

  如果不能讓某網段不能訪問對端服務器指定的端口,在配置acl rule時加上服務器端口就行,如:

  [Huawei-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0 destination-port eq 21

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 ACL 訪問控制列表 ora-24247 網絡訪問被訪問控制列表ACL拒絕 ORA-24247:網絡訪問被訪問控制列表(ACL)拒絕器 ZooKeeper 筆記(5) ACL(Access Control List)訪問控制列表 Linux系統之訪問控制列表 ACL訪問控制 將證書添加到受信任的根證書存儲失敗,出現以下錯誤:訪問控制列表(ACL)結構無效 Windows原理深入學習系列-訪問控制列表 負載均衡服務之HAProxy訪問控制ACL emqtt 試用(四)emq 的主題訪問控制 acl.conf
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM