acl访问控制列表

Posted ge_bq

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了acl访问控制列表相关的知识,希望对你有一定的参考价值。

一.acl技术

       ACL——访问控制列表
作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。

三层头部信息四层头部信息
源、目IP源、目端口号TCP/UDP协议

访问控制列表的调用的方向:

流量将要进入本地路由器,将被本地路由器处理已经被本地路由器处理过了,流量将离开本地路由器

策略做好后,在入接口调用和出接口调用的区别:

入接口调用出接口调用
对本地路由器生效对本地路由器不生效,流量将在数据转发过程中的下一台设备生效。

访问控制列表的处理原则:
1.路由条目只会被匹配一次
2.路由条目在ACL访问控制列表中匹配的顺序是从上往下四配
3.ACL访问控制列表隐含个拒绝所有
4.ACL访问控制列表至少要放行一条路由条目

访问控制列表类型:

标准访问控制列表扩展访问控制列表
只能基于源IP地址进行过滤可以根据源、目IP地址,TCP/UDP协议,源、目端口号进行过滤相比较标准,访问控制列表,流量控制的更加精准
标准访问控制列表的列表号是2000- 2999扩展访问控制列表的列表号是3000- 3999
调用原则:靠近目标调用原则:靠近源

二.设置简单的acl命令

标准访问控制列表

       如图所示拓扑结构:要让vlan10的客户机不能访问vlan20的客户机:
设置
C1:192.168.10.10 255.255.255.0 192.168.10.1 ,划分为vlan10
C2:192.168.20.10 255.255.255.0 192.168.20.1 ,划分为vlan20
C3:192.168.10.20 255.255.255.0 192.168.10.1 ,划分为vlan10
C4:192.168.20.20 255.255.255.0 192.168.20.1 ,划分为vlan20

二层交换机SW1:

[ ]vlan batch 10 20                                            //创建多个vlan
[ ]int e0/0/1                                                  //进入e0/0/1接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 10                                        //将接口划分到VLAN10
[ ]int e0/0/2                                                  //进入e0/0/2接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 20                                        //将接口划分到VLAN20
[ ]int e0/0/3                                                  //进入e0/0/3接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 10                                        //将接口划分到VLAN10
[ ]int e0/0/4                                                  //进入e0/0/4接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 20                                        //将接口划分到VLAN20
[ ]int g0/0/1                                                  //进入g0/0/1端口
[ ]port link-type trunk                                        //设置端口类型为trunk
[ ]port trunk allow-pass vlan all                              //设置白名单

路由器R1上的单臂路由命令:

[ ]int g0/0/0                                                  //进入接口g0/0/0
[ ]undo shut                                                   //开启接口
[ ]int g0/0/0.1                                                //进入子接口g0/0/0.1
[ ]dot1q termination vid 10                                    //封装方式为802.1q,g0/0/0.1划分进vlan10
[ ]ip add 192.168.10.1 24                                      //设置IP和掩码长度
[ ]arp broadcast enable                                        //开启ARP广播功能
[ ]int g0/0/0.2                                                //进入子接口g0/0/0.2
[ ]dot1q termination vid 20                                    //封装方式为802.1q,g0/0/0.2划分进vlan20
[ ]ip add 192. 168. 20.1 24                                    //设置IP和掩码长度
[ ]arp broadcast enable                                        //开启ARP广播功能

路由器R1标准访问控制列表:

[ ]acl 2000                                                    //创建标准访问控制列表,列表号为2000
[ ]rule deny source 192.168.10.0  0.0.0.255                    //拒绝192.168.10.0网段(子网掩码为反掩码)
[ ]rule permit source any                                      //放行其他路由条目
[ ]int g0/0/0.2                                                //进入子接口g0/0/0.2
[ ]traffic-filter outbound acl 2000                            //选择在出接口上调用

此时vlan10的客户机不能访问vlan20的客户机,其余都可以进行通信。

扩展访问控制列表

       如图所示拓扑结构:要让客户机C1不能访问服务器S1
设置
C1:192.168.10.10 255.255.255.0 192.168.10.1 ,划分为vlan10
C2:192.168.20.10 255.255.255.0 192.168.20.1 ,划分为vlan20
C3:192.168.10.20 255.255.255.0 192.168.10.1 ,划分为vlan10
C4:192.168.20.20 255.255.255.0 192.168.20.1 ,划分为vlan20

二层交换机SW1:

[ ]vlan batch 10 20                                            //创建多个vlan
[ ]int e0/0/1                                                  //进入e0/0/1接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 10                                        //将接口划分到VLAN10
[ ]int e0/0/2                                                  //进入e0/0/2接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 20                                        //将接口划分到VLAN20
[ ]int e0/0/3                                                  //进入e0/0/3接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 10                                        //将接口划分到VLAN10
[ ]int e0/0/4                                                  //进入e0/0/4接口
[ ]port link-type access                                       //设置接口类型
[ ]port default vlan 20                                        //将接口划分到VLAN20
[ ]int g0/0/1                                                  //进入g0/0/1端口
[ ]port link-type trunk                                        //设置端口类型为trunk
[ ]port trunk allow-pass vlan all                              //设置白名单

路由器R1:

[ ]int g0/0/0                                                  //进入接口g0/0/0
[ ]undo shut                                                   //开启接口
[ ]int g0/0/0.1                                                //进入子接口g0/0/0.1
[ ]dot1q termination vid 10                                    //封装方式为802.1q,g0/0/0.1划分进vlan10
[ ]ip add 192.168.10.1 24                                      //设置IP和掩码长度
[ ]arp broadcast enable                                        //开启ARP广播功能
[ ]int g0/0/0.2                                                //进入子接口g0/0/0.2
[ ]dot1q termination vid 20                                    //封装方式为802.1q,g0/0/0.2划分进vlan20
[ ]ip add 192. 168. 20.1 24                                    //设置IP和掩码长度
[ ]arp broadcast enable                                        //开启ARP广播功能
[ ]int g0/0/1                                                  //进入接口g0/0/1
[ ]undo shut                                                   //开启接口
[ ]ip add 12.1.1.1 24                                          //设置IP和掩码长度
[ ]ip route-static 0.0.0.0 0 12.1.1.2                          //添加默认路由目的网段0.0.0.0 ,子网掩码长度0,下一跳入接口ip12.1.1.2

路由器R2:

[ ]int g0/0/0                                                  //进入接口g0/0/0
[ ]undo shut                                                   //开启接口
[ ]ip add 12.1.1.2 24                                          //设置IP和掩码长度
[ ]int g0/0/1                                                  //进入接口g0/0/1
[ ]undo shut                                                   //开启接口
[ ]ip add 202.10.100.2 24                                      //设置IP和掩码长度
[ ]ip route-static 0.0.0.0 0 12.1.1.1                          //添加默认路由目的网段0.0.0.0 ,子网掩码长度0,下一跳入接口ip12.1.1.1

服务器S1:
本机地址:202.10.100.100 子网掩码:255.255.255.0 网关:202.10.100.2

此时四台客户机都可以访问服务器,因此继续设置:

路由器R1:

[ ]acl 3000                                                    //创建扩展访问控制列表,列表号为3000
[ ]rule deny tcp source 192.168.10.10 0 destination 202.10.100.100 0 destination-port eq 21      //禁止客户机C1访问FTP服务
[ ]rule permit tcp any destination any destination-port eq 21  //放行其他客户机访问FTP服务
[ ]rule permit ip source any destination any    //放行其他客户机的网络流量
[ ]dis this                                                    //执行
[ ]int g0/0/0.1                                                //进入子接口g0/0/0.1
[ ]traffic-filter inbound acl 3000                             //选择入接口上调用

此时客户机C1不能访问服务器,其他客户机可以访问服务器。

三.总结

       outbound ——出接口;inbound ——入接口
       默认ACL的每条语句的行号间隔5,所以可以插入语句:

[ ]rule 数字 deny source IP地址  反掩码                        //拒绝某网段(子网掩码为反掩码)

以上是关于acl访问控制列表的主要内容,如果未能解决你的问题,请参考以下文章

华为 ACL访问控制列表 (高级ACL为例)

ACL 访问控制列表

ACL标准访问控制列表

ACL访问控制列表——命名访问控制列表(实操!!!)

配置ACL访问控制列表

acl访问控制列表