ENSP|华为ensp.访问控制列表(ACL)(关于基本ACL和高级ACL————访问的代码基础讲解(允许或禁止访问))

ACL 目的:为了在设备进行通信时,保障传输的数据足够的安全可靠和网络的型能稳定。
访问控制列表((ACL)Access Coutrol List): 通过定义一些规则,根据规则对数据包进行分类,并针对不同的报文进行不同处理,从而可以实现对网络访问的控制.限制网络流量,提高网络性能,为了防止网络攻击等等。

ACL分类
分类 编号范围 参数
基本ACL
2000-2999
【ENSP|华为ensp.访问控制列表(ACL)(关于基本ACL和高级ACL————访问的代码基础讲解(允许或禁止访问))】源IP地址等
高级ACL
3000-3999
源IP地址、目的IP地址、 源端口、目的端口等
二层ACL
4000-4999
源MAC地址、目的MAC地址、以太帧协议类型等





应用案例1:通过基本ACL代码进行允许或禁止流量的通过
ENSP|华为ensp.访问控制列表(ACL)(关于基本ACL和高级ACL————访问的代码基础讲解(允许或禁止访问))
文章图片

案例分析:通过基本ACL实现可以使PC1能够访问PC3,PC2 则不能访问PC3。
(实则是不同的网段,进行不同的处理。192.168.1.0 可以通过该路径最后到达PC3进行访问,192.168.2.0则不可以通过该路径到达PC3进行访问)
代码配置:
PC端:

ENSP|华为ensp.访问控制列表(ACL)(关于基本ACL和高级ACL————访问的代码基础讲解(允许或禁止访问))
文章图片

交换机配置:
//交换机的三个接口,没有一个是两个交换机相连所以都为access interface GigabitEthernet 0/0/1 port link-type access interface GigabitEthernet 0/0/2 port link-type access interface GigabitEthernet 0/0/3 port link-type access //创建VLAN 并且设置Vlanif的值 vlan batch 2 3 4 interface vlanif 2 ip address 192.168.1.100 24 interface vlanif 3 ip address 192.168.2.100 24 interface vlanif 4 ip address 10.0.12.1 24//把三个接口加入各自的vlan中interface GigabitEthernet 0/0/1 port default vlan 2 interface GigabitEthernet 0/0/2 port default vlan 3 interface GigabitEthernet 0/0/3 port default vlan 4//路由表中没有PC3网段,设置静态路由,把网段加入的路由中ip route-static 192.168.3.0 255.255.255.0 10.0.12.100

配置路由器
一:
//给路由器的两个端口设置ip,并且路由器的GE 0/0/0 和 交换机GE0/0/3的IP在同一网段上interface GigabitEthernet 0/0/0 ip address 10.0.12.100 24 interface GigabitEthernet 0/0/1 ip address 192.168.3.100 24//设置静态路由使网络可达 iproute-static 192.168.1.0 255.255.255.0 10.0.12.1 ip route-static 192.168.2.0 255.255.255.0 10.0.12.1

pc1
ENSP|华为ensp.访问控制列表(ACL)(关于基本ACL和高级ACL————访问的代码基础讲解(允许或禁止访问))
文章图片

pc2
ENSP|华为ensp.访问控制列表(ACL)(关于基本ACL和高级ACL————访问的代码基础讲解(允许或禁止访问))
文章图片

二:设置基本ACl完成本次案例的对网络访问行为的控制
[Huawei]acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.0 0.0.0.255 [Huawei-acl-basic-2000]rule 10 permit source 192.168.2.0 0.0.0.255 [Huawei-acl-basic-2000]quit [Huawei]interface GigabitEthernet 0/0/1 [Huawei-GigabitEthernet0/0/1]traffic-filter outboundacl 2000 [Huawei-GigabitEthernet0/0/1]quit [Huawei]displayacl2000 Basic ACL 2000, 2 rules Acl's step is 5 rule 5 deny source 192.168.1.0 0.0.0.255 rule 10 permit source 192.168.2.0 0.0.0.255

PC1,PC2都如下图一样是ping的ip不同。
ENSP|华为ensp.访问控制列表(ACL)(关于基本ACL和高级ACL————访问的代码基础讲解(允许或禁止访问))
文章图片

而高级ACL则是在基本ACL的基础上更加的具体化,实例化实例的目的更加的明确,
以上介绍的的基本的ACL的使用方法其中的步骤繁琐是通过VLAN的方法去做这些的问题,但是可以更好的方便的记忆,而且它的范围更广满足当两个pc端在不同网段时的访问
接下来通过一种新的方法,但是有一个掣肘它的地方,就是两个端必须在同一个网段上,才可以实现此方法。而且路由器的两个端口的ip必须包括各自左右的网段
例如:pc1:192.168.1.1 /24pc2:192.168.2.1 /24那GE 0/0/0 的ip在这个两个的IP之外,要包括这两个ip 例如:192.168.0.1 /16 那它最后形成的路由表为192.168.0.0 /16所以pc端才可以访问或通过该路由。
案例2:
ENSP|华为ensp.访问控制列表(ACL)(关于基本ACL和高级ACL————访问的代码基础讲解(允许或禁止访问))
文章图片

此次案例最终要实现的是:pc1 可以访问server2,但不可以访问server1
pc2 可以访问server1 , 但不可以访问server2
前提(通过高级ACL)实现此次案例:
代码如下:
通过此次方法无需配置交换机,直接跨过,只需配置路由器即可。前提:两个pc在一个网段上,两个server在一个网段上。
AR1
sys Enter system view, return user view with Ctrl+Z. [Huawei]interface GigabitEthernet 0/0/0 [Huawei-GigabitEthernet0/0/0]ip address 192.168.0.1 16 [Huawei-GigabitEthernet0/0/0] Dec 30 2020 20:56:06-08:00 Huawei %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP on the interface GigabitEthernet0/0/0 has entered the UP state. [Huawei-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1 [Huawei-GigabitEthernet0/0/1]ip address 172.168.0.1 16 Dec 30 2020 20:56:19-08:00 Huawei %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IP on the interface GigabitEthernet0/0/1 has entered the UP state. [Huawei-GigabitEthernet0/0/1]quit [Huawei]acl 3000 [Huawei-acl-adv-3000]rule 2 deny icmp source 192.168.1.0 0.0.0.255 destination 1 72.168.1.1 0.0.0.0 [Huawei-acl-adv-3000]rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 1 72.168.2.1 0.0.0.0 [Huawei-acl-adv-3000]rule permit ip [Huawei-acl-adv-3000]quit [Huawei]interface GigabitEthernet 0/0/0 [Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

PC端:IP在拓扑图中有展示,网关为路由器G0/0/0的ip(注意:为什么这样,已在上面红色字体中有此讲解)
SERVER端:IP在拓扑图中有展示,网关为路由器G0/0/1的ip:(同样的原因)
执行:
在PC端访问server服务器结果如
[Huawei-acl-adv-3000]rule 2 deny icmp source 192.168.1.0 0.0.0.255 destination 1 72.168.1.1 0.0.0.0 [Huawei-acl-adv-3000]rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 1 72.168.2.1 0.0.0.0

PC1能访问server2,不能访问server1
PC2能访问server1,不能访问server2
结果与代码相对应说明配置成功。
注意:此次博客以禁止为例(deny),也能允许(意思就是说只有***才能访问,其他则不可以)permit,只要把ACL中的配置把deny改为permit即可。

    推荐阅读