欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

ACL访问控制列表实战

程序员文章站 2024-03-20 23:38:10
...

访问控制列表

访问控制列表和可以定义一系列不同的规则,设备根据这些跪着对数据包进行分类,针对不同类型的报文进行不同的处理,
从而实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

ACL 应用场景:
ACL可以通过定义规则来允许或拒绝流量的通过
ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作

ACL分类
基本ACL 2000-2999  源IP地址
高级ACL 3000-3999  源IP地址、目的IP地址、源端口、目的端口等
二层ACL 4000-4999  源MAC地址、目的MAC地址、以太帧协议类型

ACL 规则

每个ACL可以包含多个规则,RTA根据规则来对数据流量进行过滤。
一个ACL可以有多条"deny|permit" 语句组成,每条语句描述了一条规则。
ACL中定义的规则可能存在重复或矛盾的地方,规则的匹配顺序决定了规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形。

匹配顺序有两种:配置排序和自动排序

ACL访问控制列表实战

#客户端的192.168.1.10 gw=192.168.1.254,192.168.2.10 gw=192.168.2.254
#客户端的172.16.1.11,172.16.1.12 gw=172.16.1.254

 

#AR1 
interface GigabitEthernet0/0/0
 ip address 192.168.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/0
 ip address 192.168.2.254 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 172.16.10.1 255.255.255.0 
#set默认路由
ip route-static 0.0.0.0 0.0.0.0 172.16.10.2


#AR2
interface GigabitEthernet0/0/0
 ip address 172.16.10.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 172.16.1.254 255.255.255.0 
#set默认路由
ip route-static 0.0.0.0 0.0.0.0 172.16.10.1

三P原则

在路由器上应用ACL时,可以为每种协议(Per Protocol)、每个方向(Per Direction)

和每个接口(Per Interface)配置一个ACL,一般称为“3P原则”。

(1)一个ACL只能基于一种协议,因此每种协议都需要配置单独的ACL。

(2)经过路由器接口的数据有进(ln)和出(Out)两个方向,因此在接口上配置访问控制列表也有进(In)和出(Out)两个方向。每个接口可以配置进方向的ACL,也可以配置出方向的ACL,或者两者都配置,但是一个ACL只能控制一个方向。

(3)一个ACL只能控制一个接口上的数据流量,无法同时控制多个接口上的数据流量。


##基础访问列表配置
1.禁止192.168.1.0 访问172.16.1.0
##在AR2上配置

acl number 2000  
 rule 5 deny source 192.168.1.0 0.0.0.255
##进入接口
 interface GigabitEthernet0/0/1
 traffic-filter outbound acl 2000
#查看配置
[AR2]display traffic-filter applied-record
-----------------------------------------------------------
Interface                   Direction  AppliedRecord       
-----------------------------------------------------------
GigabitEthernet0/0/1        outbound   acl 2000
-----------------------------------------------------------
[AR2]disp acl all
 Total quantity of nonempty ACL number is 1

Basic ACL 2000, 1 rule
Acls step is 5
 rule 5 deny source 192.168.1.0 0.0.0.255 (18 matches)

##测试无法ping通


##高级ACL配置

 

[AR2]display traffic-filter applied-record
-----------------------------------------------------------
Interface                   Direction  AppliedRecord       
-----------------------------------------------------------
GigabitEthernet0/0/1        outbound   acl 3000
-----------------------------------------------------------
[AR2]dis acl all
 Total quantity of nonempty ACL number is 2

Basic ACL 2000, 1 rule
Acls step is 5
 rule 5 deny source 192.168.1.0 0.0.0.255

Advanced ACL 3000, 3 rules
Acls step is 5
 rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.1.11 0 destinat
ion-port eq telnet
## 0.0.0.255 是255台机器,0 是一台机器
 rule 10 deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.1.12 0
 rule 15 permit ip (93 matches)

[AR2]

 

ACL应用-NAT

要求:
通过ACL实现主机A和主机B分别使用不同的公网地址池来进行NAT转换。
 

Enter system view, return user view with Ctrl+Z.
[AR2]acl 2001
[AR2-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255
[AR2-acl-basic-2001]acl 2002
[AR2-acl-basic-2002]rule permit source 192.168.2.0 0.0.0.255
[AR2-acl-basic-2002]q
[AR2]nat address-group 1 202.110.10.8 202.110.10.15
[AR2]nat address-group 2 202.115.60.2 202.115.60.16
[AR2]inter g 0/0/1
[AR2-GigabitEthernet0/0/1]di th
[V200R003C00]
#
interface GigabitEthernet0/0/1
 ip address 172.16.1.254 255.255.255.0
#
return
[AR2-GigabitEthernet0/0/1]nat outbound 2001 address-group 1
[AR2-GigabitEthernet0/0/1]nat outbound 2002 address-group 2
[AR2-GigabitEthernet0/0/1]

 

 

 

 

相关标签: 华为设备