如何用ACL限制外网访问?
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何用ACL限制外网访问?相关的知识,希望对你有一定的参考价值。
就是限制ISP端进行访问,只允许ISP端的www访问内网,其他一概拒绝,应该怎么配置?
只允许ISP端的www访问内网,其他一概拒绝。这一条也同时说明内网所有人都可以和这台服务器互访,简单,直接在mawson lakes上写个ACL抓取访问到目的IP地址的流量允许就可以了,其他的全部deny掉。 参考技术A 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。高级ACL根据源IP地址、目的地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。与基本ACL相比,高级ACL提供了更准确、丰富、灵活的规则定义方法。
例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。就是将高级ACL应用在流策略模块,使设备可以对外网用户访问内网中服务器的报文进行过滤,达到限制外网用户访问该服务器权限的目的。
配置步骤如下
1.配置高级ACL和基于ACL的流分类,使设备可以基于ACL,对用户访问服务器的报文进行过滤,从而禁止外网用户访问该服务器。
2.配置流行为,允许匹配上ACL的permit规则的报文通过。
3. 配置并应用流策略,使ACL和流行为生效。
ACL流量控制 公司访问外网时限制与控制
二.设置WG(网管)
<Huawei>undo terminal monitor
<Huawei>sys
[Huawei]sysn wg
[wg-GigabitEthernet0/0/0]ip address 192.168.10.1 24
设默认路由
[wg]ip route-static 0.0.0.0 0.0.0.0 192.168.10.254
三.设置R2的IP地址和路由表
<Huawei>undo terminal monitor
<Huawei>sys
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.10.254 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip address 192.168.20.254 24
[R2-GigabitEthernet0/0/2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.12.1 30
[R2]ip route-static 192.168.13.0 24 192.168.12.2
[R2]ip route-static 1.1.1.0 24 192.168.12.2
[R2]ip route-static 192.168.30.0 24 192.168.12.2
[R2]ip route-static 192.168.1.0 24 192.168.12.2
四.设置R2的ACL
[R2]acl 3000
[R2-acl-adv-3000]rule 5 permit ip source 192.168.20.1 0 destination 192.168.10.1
[R2-acl-adv-3000]rule 10 permit ip source 192.168.20.1 0 destination 1.1.1.1 0
[R2-acl-adv-3000]rule 15 permit tcp source 192.168.20.1 0 destination 192.168.1.
[R2-acl-adv-3000]rule 20 deny ip source any
[R2-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
五.设置R2的IP地址和路由表
<Huawei>undo terminal monitor
<Huawei>sys
[Huawei]sysn R3
[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]ip address 192.168.30.254 24
[R3-GigabitEthernet0/0/1]int g0/0/2
[R3-GigabitEthernet0/0/2]ip address 192.168.1.254 24
[R3-GigabitEthernet0/0/2]int g0/0/0
[R3-GigabitEthernet0/0/0]ip address 192.168.13.1 30
[R3]ip route-static 1.1.1.0 24 192.168.13.2
[R3]ip route-static 192.168.12.0 24 192.168.13.2
[R3]ip route-static 192.168.10.0 24 192.168.13.2
[R3]ip route-static 192.168.20.0 24 192.168.13.2
六.设置R2的ACL
[R3]acl 3000
[R3-acl-adv-3000]rule 5 permit ip source 192.168.30.1 0 destination 192.168.10.1 0
[R3-acl-adv-3000]rule 10 permit tcp source 192.168.30.1 0 destination 192.168.1.1 0 destination-port eq 80
[R3-acl-adv-3000]rule 15 deny ip source any
七.设置R1的IP地址和路由表
<Huawei>undo terminal m
[Huawei]sysn R1
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.12.2 30
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.13.2 30
[R1-GigabitEthernet0/0/2]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 1.1.1.254 24
[R1]ip route-static192.168.10.0 24 192.168.12.1 ^
[R1]ip route-static 192.168.10.0 24 192.168.12.1
[R1]ip route-static 192.168.20.0 24 192.168.12.1
[R1]ip route-static 192.168.30.0 24 192.168.13.1
[R1]ip route-static 192.168.40.0 24 192.168.13.1
[R1]ip route-static 192.168.1.0 24 192.168.13.1
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.10.1 0.0.0.0
[R1-acl-basic-2000]rule 10 deny source any
[R1]user-interface vty 0 4
[R1-ui-vty0-4]acl 2000 inbound
[R1-ui-vty0-4]authentication-mode aaa
[R1-ui-vty0-4]aaa
[R1-aaa]local-user plpl password cipher 123
[R1-aaa]local-user plpl service-type telnet
验证
CW和YF不通
以上是关于如何用ACL限制外网访问?的主要内容,如果未能解决你的问题,请参考以下文章