网络访问控制列表(ACL)和基础实验

Posted 谷雨道长

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络访问控制列表(ACL)和基础实验相关的知识,希望对你有一定的参考价值。

@[TOC]

1.ACL的概念

  • ACL(Access Control Lists,缩写ACL),是存取控制列表。它读取第三层和第四层的包头信息(这里就引出了通信四元素:原地址,目标地址,源端口。目标端口),根据预先设置的规则对包进行过滤。

    1.1 ACL在接口上的应用

    在入口上:数据包从入口进路由器,就会被路由器处理
    在出口上:数据包在经过路由器处理后,才会让它从出口出去

    1.2 ACL工作原理

    当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理,其实就是从上往下一条一条的匹配,直到最后,丢弃或者发送出去。

    1.3 ACL的作用

    1)用来对数据包做访间控制(丢弃或者放行)
    2)结合其他协议,用来匹配范围

    1.4 ACL的应用原则和规则

  • 基本ACL。尽量用在靠近目的点
  • 高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
    应用规则
    1、一个接口的同一个方向,只能调用一个ACL
    2、一个ACL里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
    3、数据包一旦被某rule匹配,就不再继续向下匹配
    4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

    1.5 ACL的种类

  • 基本ACL(2000-2999):只能匹配源IP地址。
  • 高级ACL(3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段。
  • 二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1Q优先级、二层协议类型等二层信息制定规解即可),但是因为二层ACL使用MAC地址匹配,但更换主机后,规则需要重新设置,对于经常更换主机的比较麻烦,所以很少使用。
    常用的是基本ACL和高级ACL。

    2.ACL的配置实验

    需求一:仅允许PC1访问192.168.2.0/24网络

    首先设置AR1路由器的三个接口ip地址和配置各个主机和服务器的信息:

    [ar1]acl 2000
    创建acl列表2000
    [ar1-acl-basic-2000]rule permit source 192.168.1.1 0
    允许PC1的IP通过,这里最后的0是反掩码,原本是255.255.255.255 ,反掩码为0.0.0.0
    [R1-acl-basic-2000]rule deny source any
    拒绝其他所有的访问

    [R1]int g0/0/2
    进入出接口
    [R1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
    调用出接口的acl列表,outbound出方向,inbound进入方向


    需求二:禁止192.168.1.0/24网络ping Web服务器
    [R1]acl number 3000
    这里禁止ping和访问服务器,需要创建高级ACL
    [ar1]acl 3000
    [ar1-acl-adv-3000]ru
    [ar1-acl-adv-3000]rule de
    [ar1-acl-adv-3000]rule deny icm
    [ar1-acl-adv-3000]rule deny icmp sour
    [ar1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 de
    [ar1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0
    禁止网段10.0 ping 30.1
    [ar1]int g0/0/0
    [ar1-GigabitEthernet0/0/0]tra
    [ar1-GigabitEthernet0/0/0]tracert
    [ar1-GigabitEthernet0/0/0]traffic-filter in
    [ar1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
    调用出接口的acl列表,outbound出方向,inbound进入方向


    需求三:仅允许Client1访问Web服务器的WWW服务

  • 仅同意Client1访问Web服务器:
  • [AR1]ACL 3001
  • 创建3001数据池
  • [AR1-acl-adv-3001]rule permit TCP source 192.168.1.3 0 destination 192.168.3.1 0 destination-port EQ 80
    permit TCP-同意TCP协议
    source 192.168.1.3 0 destination 192.168.3.1 0-来源主机192.168.1.3 0 destination-代表目的地址
    destination-port-代表目的端口号
    eq-同样的
    80-www

  • [AR1-acl-adv-3001]rule deny tcp source ANY destination 192.168.3.1 0 destination-port EQ 80
    deny source any-代表拒绝所有访问

    [AR1]INT G0/0/1
    设置出口端口在g/0/01
    [AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 3001

以上是关于网络访问控制列表(ACL)和基础实验的主要内容,如果未能解决你的问题,请参考以下文章

ACL访问控制列表——标准IP访问列表(理论+实验)

路由交换基础——ACL访问控制列表

acl访问控制列表的一些基础知识

ACL访问控制列表——命名访问控制列表(实操!!!)

ACL 访问控制列表

网络基础-ACL访问控制列表