当前位置:网站首页>ACL 配置实例学习记录
ACL 配置实例学习记录
2022-07-23 05:47:00 【业余幻想家】
ACL 配置实例
访问控制列表 (ACL) 是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
具体了解 ACL 请参考:什么是ACL
文章目录
1、实验目标
掌握 ACL 的配置方法;在交换机或路由器上利用 ACL 实现包过滤,禁止 PC1 访问 Server ,允许 PC2 访问 Server 。
2、网络拓扑图
注:PC 和 Server 的IP地址、子网掩码及网关,点击 PC 或 Server 进入自行配置
3、配置步骤
(1)按拓扑图配置端口 IP 地址
R1:
<Huawei>system-view //进入系统视图
[Huawei]sysname R1 //重命名设备
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.1.1.1 24 //配置端口 IP 地址
[R1-GigabitEthernet0/0/1]quit
[R1]interface GigabitEthernet0/0/2
[R1-GigabitEthernet0/0/2]ip address 20.1.1.1 24 //配置端口 IP 地址
[R1-GigabitEthernet0/0/2]quit
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]ip address 40.1.1.1 24 //配置端口 IP 地址
[R1-GigabitEthernet0/0/0]quit
R2:
<Huawei>system-view //进入系统视图
[Huawei]sysname R2 //重命名设备
[R2]interface GigabitEthernet0/0/0
[R2-GigabitEthernet0/0/0]ip address 40.1.1.2 24 //配置端口 IP 地址
[R2-GigabitEthernet0/0/0]quit
[R2]interface GigabitEthernet0/0/1
[R2-GigabitEthernet0/0/1]ip address 30.1.1.1 24 //配置端口 IP 地址
[R2-GigabitEthernet0/0/1]quit
(2)配置路由实现全网路由可通达
可以采用静态路由、RIP、OSPF等
采用静态路由具体请参考 静态路由配置实例学习记录
采用 RIP 路由具体请参考 RIP 配置实例学习记录
采用 OSPF 路由具体请参考 OSPF 单区域配置实例学习记录 或 OSPF 多区域配置实例学习记录
a、配置路由操作如下:
本次实例选用 RIP 路由
R1:
[R1]rip 1 //启动 RIP
[R1-rip-1]version 2 //指定全局RIP版本
[R1-rip-1]network 10.0.0.0 //在指定网段使能RIP
[R1-rip-1]network 20.0.0.0 //在指定网段使能RIP
[R1-rip-1]network 40.0.0.0 //在指定网段使能RIP
[R1-rip-1]quit
R2:
[R2]rip 1 //启动 RIP
[R2-rip-1]version 2 //指定全局RIP版本
[R2-rip-1]network 40.0.0.0 //在指定网段使能RIP
[R2-rip-1]network 30.0.0.0 //在指定网段使能RIP
[R2-rip-1]quit
b、检查联通性
用 PC1 去 ping PC2 和 Server1 的 IP 地址,发现都可以通
用 PC2 去 ping PC1 和 Server1 的 IP 地址,发现都可以通
(3)在 R1 上配置 ACL 并作用于端口
[R1]acl number 3000 //配置 ACL 策略
[R1-acl-adv-3000]rule 10 permit ip source 10.1.1.10 0.0.0.255 destination 30.1.1.10 0.0.0.255 //允许 10.1.1.10 (PC1) 访问 30.1.1.10 (Server1),地址掩码使用反掩码
[R1-acl-adv-3000]rule 20 deny ip source 20.1.1.10 0.0.0.255 destination 30.1.1.10 0.0.0.255 //限制 20.1.1.10 (PC2) 访问 30.1.1.10 (Server1),地址掩码使用反掩码
[R1-acl-adv-3000]quit
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000 //将策略应用在本端口上
[R1-GigabitEthernet0/0/0]quit
4、测试
用 PC1 去 ping Server1 的 IP 地址,发现还是可以通的
用 PC2 去 ping Server1 的 IP 地址,就发现已经不通了
5、小结
访问控制列表 (ACL) 分类:
| ACL 类型 | 适用的IP版本 | 规则定义描述 | 编号范围 |
|---|---|---|---|
| 基本ACL | IPv4 | 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。 | 2000~2999 |
| 高级ACL | IPv4 | 既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。 | 3000~3999 |
| 二层ACL | IPv4&IPv6 | 使用报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、二层协议类型等。 | 4000~4999 |
| 用户自定义ACL | IPv4&IPv6 | 使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则,即以报文头为基准,指定从报文的第几个字节开始与字符串掩码进行“与”操作,并将提取出的字符串与用户自定义的字符串进行比较,从而过滤出相匹配的报文。 | 5000~5999 |
| 用户ACL | IPv4 | 既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。 | 6000~6031 |
| 基本ACL6 | IPv6 | 可使用IPv6报文的源IPv6地址、分片信息和生效时间段来定义规则。 | 2000~2999 |
| 高级ACL6 | IPv6 | 可以使用IPv6报文的源IPv6地址、目的IPv6地址、IPv6协议类型、ICMPv6类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。 | 3000~3999 |
访问控制列表 (ACL) 功能:
(1)限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定这种类型的数据包具有更高的优先级,同等情况下可预先被网络设备处理。
(2)提供对通信流量的控制手段。
(3)提供网络访问的基本安全手段。
(4)在网络设备接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。
文章如有错误之处,欢迎各位大佬批评指正
边栏推荐
- OSPF的链路扩展配置
- 路由与接口技术——直连网络总结
- Delete node in binary sort tree
- Hcip ---- relevant knowledge points of GRE protocol, mGRE environment and OSPF Protocol
- In depth analysis of replication in redis
- Knowledge points and skills of Wireshark network analysis is so simple
- Analysis of inheritablethreadlocal and Alibaba's transmittablethreadlocal design ideas
- HCIP---HCIA知识回顾(一)
- 路由与交换技术——静态路由
- HCIP---条件匹配和OSPF协议
猜你喜欢
Pod 拓扑约束
Nas里搭建Frpc客户端【超级无脑】
即时通讯WebSocket
MySQL性能优化,索引优化
HCIP---OSPF细节讲解
Unity3d:ugui source code eventsystem input system FAQ
Hcip--- BGP related configuration (Federal chapter)
学习日记——(路由与交换技术)网络地址转换 NAT技术
[Reading Notes "Phoenix architecture" - a large-scale distributed system with reliable architecture. Zhou Zhiming] (I)
路由与接口技术——直连网络总结
随机推荐
C custom queue set
Hcip ---- relevant knowledge points of GRE protocol, mGRE environment and OSPF Protocol
HCIP-HCIA知识回顾(二)
Hcip--- BGP related configuration
Unity3d+moba+ skill indicator (II)
The correspondence between the concept of go ability and the concept of software development ability
OSPF的链路扩展配置
Explain various network protocols in detail
Learning diary - (routing and switching technology) ACL access control list
C: stack stack source code, array stack, chain stack
[AUTOSAR storage stack NVM]
Learning diary (routing and switching technology) -- floating static routing and default routing
学习日记——(路由与交换技术)三层交换机
详解TCP的交互数据流和成块数据流
学习日记(路由与交换技术)——浮动静态路由和缺省路由
Hcip--- BGP related configuration (Federal chapter)
DHCP second experiment
Gameframework: resource hot code analysis, check version information, download version files, verify version files, get the number of updated files, download files, taskpool
Integer times integer overflow
读《凤凰架构》- RPC的历史与知识