华为---ACL配置

Posted 2023-04-03 辻ᝰ弌

       ACL概念：

 

随着网络的飞速发展，网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。 ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

       ACL是由一系列permit或deny语句组成的、有序规则的列表。

       ACL是一个匹配工具，能够对报文进行匹配和区分。

       ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

ACL分类：

基于ACL规则定义方式的分类：

基本ACL              2000---2999

高级ACL              3000---3999

二层ACL              4000---4999

用户自定义ACL   5000---5999

用户ACL              6000---6999

基于ACL标识方法的分类：

数字型ACL

命名型ACL

ACL基本命令配置：

1.创建基本ACL
         [Huawei] acl [ number ] acl-number [ match-order config ]
         使用编号(2000～2999)创建一个数字型的基本ACL，并进入基本ACL视图。
         [Huawei] acl name acl-name ( basic | acl-number) [ match-order config ]
         使用名称创建一个命名型的基本ACL，并进入基本ACL视图。
 2.配置基本ACL的规则
         [Huawei-acl-basic-2000] rule [ rule-id］( deny | permit) [ source ( source-address source-               wildcard | any  time-range time-name ]
        在基本ACL视图下，通过此命令来配置基本ACL的规则。

3.配置基本ACL的规则
       根据IP承载的协议类型不同，在设备上配置不同的高级ACL规则。对于不同的协议类型，有不          同的参数组合。

高级ACL命令：

1.创建高级ACL

[Huawei] acl [ number ] acl-number [ match-order config ]

使用编号（3000～3999）创建一个数字型的高级ACL，并进入高级ACL视图。

[Huawei] acl name acl-name advance | acl-number [ match-order config ]

使用名称创建一个命名型的高级ACL，进入高级ACL视图

2.当参数protocol为IP时，高级ACL的命令格式为
rule [ rule-id] deny permit ip [ destination  destination-address destination-wildcard | any |   source source-address source-wildcard| any | time-range time-name  [ dscp dscp| [ tos tos precedenceprecedence]]
在高级ACL视图下，通过此命令来配置高级ACL的规则。
3.当参数protocol为TCP时，高级ACL的命令格式为
rule [ rule-id] ( deny | permit) protocol-number| tcp [ destination  destination-address destination-wildcard | any | destination-port  eq port | gt port | lt port | range port-start port-end | source  source-address source- wildcard | any | source-port  eq port | gt port  It port | range port-start port-end   | tcp-flag  ack | fin | syn *|time-range time-name ]*
在高级ACL视图下，通过此命令来配置高级ACL的规则。

ACL实验项目：

项目一实验：

 

 实验结果：

PC1无法ping通服务器

项目二实验：

实验结果：

PC1与PC2无法相互访问，

PC1可以与其他设备互通，不能与PC2互通

PC2可以与其他设备互通，不能与PC1互通

华为交换机ACL配置

华为交换机ACL配置

• 一、网络环境
• • 1.网络拓扑
  • 2.网络互通链接
• 二、ACL要求
• 三、ACL实施
• • 1.部门A禁止访问部门B
  • 2.服务器区域ACL配置
  • 3.部门D不能访问部门C

一、网络环境

1.网络拓扑

2.网络互通链接

中小型局域网规划实战案例

二、ACL要求

1.要求部门A不能访问部门B
2.要求所有部门不可以ping通服务器区域，但能访问web服务器
3.部门D不能访问部门C

三、ACL实施

1.部门A禁止访问部门B

[SW2]acl 3001
[SW2-acl-adv-3001]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168
.20.0 0.0.0.255
[SW2-acl-adv-3001]quit	
[SW2-GigabitEthernet0/0/3]traffic-filter inbound acl

PC>ping 192.168.20.222

Ping 192.168.20.222: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 192.168.20.222 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

2.服务器区域ACL配置

[SW2]acl 3002	
[SW2-acl-adv-3002]rule deny ip source any destination 172.16.10.0 0.0.0.255

[SW2-acl-adv-3002]rule permit ip source 192.168.10.222 0 destination 172.16.10.2
50 0                                                                          
[SW2-acl-adv-3002]rule permit tcp destination 172.16.10.250 0 destination-port e
q 80
[SW2-acl-adv-3002]quit
[SW2]interface GigabitEthernet 0/0/6
[SW2-GigabitEthernet0/0/6]traffic-filter inbound acl 3002
[SW2-GigabitEthernet0/0/6]

3.部门D不能访问部门C

[SW2]acl 3003	
[SW2-acl-adv-3003]rule deny ip source 192.168.40.0 0.0.0.255 des	
[SW2-acl-adv-3003]rule deny ip source 192.168.40.0 0.0.0.255 destination 192.168
.30.0 0.0.0.255
[SW2-acl-adv-3003]quit
[SW2]interface GigabitEthernet 0/0/5
[SW2-GigabitEthernet0/0/5]traffic-filter inbound acl 3003