路由器“保安”----ACL(访问控制类表)

ACL

一、ACL是什么?

1.1、概念

访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全,这里就引出了通信四元素:源地址,目标地址,源端口。目标端口,根据预先设置的规则对包进行过滤。

1.2、应用/作用

路由器“保安”----ACL(访问控制类表)

  1. 在入口上:数据包从入口进路由器,就会被路由器处理
  2. 在出口上:数据包在经过路由器处理后,才会让它从出口出去
    ACL两种作用:
    1.用来对数据包做访问控制(丢弃或者放行)
    2.结合其他协议,用来匹配范围

1.3、工作原理

路由器“保安”----ACL(访问控制类表)
PS:华为默认规则为放行所有

一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行

1.4、ACL的种类

基本acl (2000-2999) :只能匹配源ip地址。
高级acl (3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段(协议)。
*二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1Q优先级、二层协议类型等二层信息制定规解即可),
但是因为二层ACL使用MAC地址匹配,实际使用中会根据环境更换路由器,规则就要重设,所以常用的是基本和高级ACL

1.5、ACL的应用原则:

基本ACL,尽量用在靠近目的点
高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)

应用规则
1、一个接口的同一个方向,只能调用一个ACL
2、一个ACL里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

二、配置实验

路由器“保安”----ACL(访问控制类表)
通过ACL配置需求为:仅PC1可访问PC3;禁止192网段ping Server 1,允许client访问Server的Http(www)服务

配置如下:
先在R1添加各个接口对应网关,使全网互通
配置第一个需求:仅PC1访问PC3
[R1]acl number 2000
//创建基础ACL
[R1-acl-basic-2000]rule permit source 192.168.10.10 0
//允许PC1的IP地址通过 “0”为255.255.255.255反掩码(仅允许这个IP地址通过 不是允许网段 所以用32位子网掩码的反掩码)
[R1-acl-basic-2000]rule deny source any
//拒绝其他所有访问

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
//基本ACL在出接口引用
测试:
路由器“保安”----ACL(访问控制类表)
配置需求二:禁止192.168.10.0 网段ping Server,允许 Client 1访问 Server1的Http服务
[R1]acl 3000
//创建高级ACL规则
[R1-acl-adv-3000]rule deny icmp source 192.168.10.0 0.0.0.255 destination 192.16
8.30.10 0
//禁止192.168.10.0网段ping 192.168.30.10
[R1-acl-adv-3000]rule permit tcp source 192.168.10.30 0 destination 192.168.30.1
0 0 destination-port eq www
//允许client访问server的http服务,www对应的接口是80,使用destination-port eq 80 也可以
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
//在入接口引入高级ACL规则

最后测试:
路由器“保安”----ACL(访问控制类表)
PS:关于 一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
ACL里的第一个配置rule默认值为5;第二个为10,依次递进
路由器“保安”----ACL(访问控制类表)
如果需要在两条rule之间添加另一条,加上两条rule之间的数字即可
例如:rule 7 deny source 10.0.10.1 0

上一篇:ACL访问控制列表


下一篇:十一、ACL与PAT相关知识