企業網路中的裝置進行通訊時,需保障資料傳輸的安全可靠和網路的效能穩定。 訪問控制列表acl(access control list)可以定義一系列不同的規則,裝置根據這些規則對資料報進行分類,並針對不同型別的報文進行不同的處理,從而可以實現對網路訪問行為的控制、限制網路流量、提高網路效能、防止網路攻擊等。
acl應用場景
1、acl可以通過定義規則來允許或拒絕流量的通過。
上圖中:兩網段的資料,通過在路由器定議acl規則,允許哪些能訪問網際網路,哪些只能訪問伺服器不能上網際網路。
2、acl可以根據需求來定義過濾的條件以及匹配條件後所執行的動作
上圖中,192.168.1.0網段的資料,不需要匹配規則都可以隨便把資料傳到外網。 但192.168.2.0網段的資料,必須進行加密才強以把資料傳到外網
acl分類
acl規則
每個acl可以包含多個規則,rat根據規則來對資料流量進行過濾 rule 5 deny source 192.168.1.0 0.0.0.255 (拒絕源位址是192.168.1.0網段的ip通過)
rule 是規則意思、5規則步長預設為5、deny是拒絕、source源、0.0.0.255是萬用字元
rule 5 permit source 192.168.1.0 0.0.0.255 (允許源位址是192.168.1.0網段的ip通過)
acl匹配方式
acl配完後會生成乙個acl列表,
列表如下: acl 2000 (規則表名,這是乙個基本的 acl)
rule 5 deny source 192.168.1.0 0.0.0.255 (規則1,絕拒源位址是192.168.1.0網段的ip通過)
rule 10 deny source 192.168.2.0 0.0.0.255 (規則2)
rule 15 deny source 192.16.0.0 0.0.0.255 (規則2)
匹配順序是由上往下走,如果匹配到第一條後,下面的就不需要匹配了。
實驗:實驗目標1、pc1和pc2互通、pc1能通pc3 、pc2不能通pc3
1)我們首先按照圖中的裝置ip配置到各裝置中,保證pc1、pc2和pc3是互通
我們pc的配置我就省略不寫,
我們先配交換機和路由器
配置交換機lsw2
sys[huawei]sysname lsw2
[lsw2]vlan batch 10 11 20
[lsw2]int g0/0/1
[lsw2-gigabitethernet0/0/1]port link-type access
[lsw2-gigabitethernet0/0/1]port default vlan 10
[lsw2-gigabitethernet0/0/1]quit
[lsw2]int vlanif 10
[lsw2-vlanif10]ip address 192.168.10.1 24
[lsw2-vlanif10]quit
[lsw2]int g0/0/2
[lsw2-gigabitethernet0/0/2]port link-type access
[lsw2-gigabitethernet0/0/2]port default vlan 11
[lsw2-gigabitethernet0/0/2]quit
[lsw2]int vlanif 11
[lsw2-vlanif11]ip address 192.168.11.1 24
[lsw2-vlanif11]quit
[lsw2]int g0/0/24
[lsw2-gigabitethernet0/0/24]port link-type access
[lsw2-gigabitethernet0/0/24]port default vlan 20
[lsw2-gigabitethernet0/0/24]quit
[lsw2]int vlanif 20
[lsw2-vlanif20]ip add 192.168.20.2 24
[lsw2-vlanif20]quit
[lsw2]ip route-static 0.0.0.0 0.0.0.0 192.168.20.1
配置路由器
sys[huawei]sysname r1
[r1]int g0/0/0
[r1-gigabitethernet0/0/0]ip add 192.168.20.1 24
[r1-gigabitethernet0/0/0]int g0/0/1
[r1-gigabitethernet0/0/1]ip add 192.168.30.1 24
[r1-gigabitethernet0/0/1]quit
[r1]ip route-static 192.168.10.0 24 192.168.20.2
[r1]ip route-static 192.168.11.0 24 192.168.20.2
配置完後,pc1、pc2和pc3是互通的。
2)配置acl規則,實現pc1能通pc3 、pc2不能通pc3
路由器中配置acl:[r1]acl 2000[r1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255[r1-acl-basic-2000]rule 100deny source any
[r1-acl-basic-2000]quit
[r1]int g0/0/1[r1-gigabitethernet0/0/1]traffic-filter outbound acl 2000 #
把acl規則應用到路由器出介面
驗實1:下圖,配置要求:pc16能通pc17不能通pc13 、pc14能通pc13不能通pc17
1)我們先按上圖的ip配置各裝置
2)配置路由器acl
[huawei]acl 3000[huawei-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0[huawei-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.10.3 0.0.0.0[huawei-acl-adv-3000]rule permit ip[huawei-gigabitethernet0/0/1]traffic-filter outbound acl 3000
[huawei如果不能讓某網段不能訪問對端伺服器指定的埠,在配置acl rule時加上伺服器端口就行,如:-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0
上面命令表示:不允許讓源位址192.168.1.0網公網的ip達到192.168.10.2的主機
[huawei-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.10.2 0.0.0.0destination-port eq 21
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...
ACL訪問控制列表
技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...
訪問控制列表 ACL
訪問控制列表的條件引數都在ip包中,協議號和ip位址 源位址和目的位址 都在ip包頭部分,埠號在ip包的資料部分,也就是第四層頭部。訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些資料報可以接收 哪些資料報需要拒絕。訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網...