ACL 目的:为了在设备进行通信时,保障传输的数据足够的安全可靠和网络的型能稳定。
访问控制列表((ACL)Access Coutrol List): 通过定义一些规则,根据规则对数据包进行分类,并针对不同的报文进行不同处理,从而可以实现对网络访问的控制.限制网络流量,提高网络性能,为了防止网络攻击等等。
分类 | 编号范围 | 参数 |
基本ACL |
2000-2999 |
【ENSP|华为ensp.访问控制列表(ACL)(关于基本ACL和高级ACL————访问的代码基础讲解(允许或禁止访问))】源IP地址等 |
高级ACL |
3000-3999 |
源IP地址、目的IP地址、 源端口、目的端口等 |
二层ACL |
4000-4999 |
源MAC地址、目的MAC地址、以太帧协议类型等 |
应用案例1:通过基本ACL代码进行允许或禁止流量的通过
文章图片
案例分析:通过基本ACL实现可以使PC1能够访问PC3,PC2 则不能访问PC3。
(实则是不同的网段,进行不同的处理。192.168.1.0 可以通过该路径最后到达PC3进行访问,192.168.2.0则不可以通过该路径到达PC3进行访问)
代码配置:
PC端:
文章图片
交换机配置:
//交换机的三个接口,没有一个是两个交换机相连所以都为access
interface GigabitEthernet 0/0/1
port link-type access
interface GigabitEthernet 0/0/2
port link-type access
interface GigabitEthernet 0/0/3
port link-type access //创建VLAN 并且设置Vlanif的值
vlan batch 2 3 4
interface vlanif 2
ip address 192.168.1.100 24
interface vlanif 3
ip address 192.168.2.100 24
interface vlanif 4
ip address 10.0.12.1 24//把三个接口加入各自的vlan中interface GigabitEthernet 0/0/1
port default vlan 2
interface GigabitEthernet 0/0/2
port default vlan 3
interface GigabitEthernet 0/0/3
port default vlan 4//路由表中没有PC3网段,设置静态路由,把网段加入的路由中ip route-static 192.168.3.0 255.255.255.0 10.0.12.100
配置路由器
一:
//给路由器的两个端口设置ip,并且路由器的GE 0/0/0 和 交换机GE0/0/3的IP在同一网段上interface GigabitEthernet 0/0/0
ip address 10.0.12.100 24
interface GigabitEthernet 0/0/1
ip address 192.168.3.100 24//设置静态路由使网络可达
iproute-static 192.168.1.0 255.255.255.0 10.0.12.1
ip route-static 192.168.2.0 255.255.255.0 10.0.12.1
pc1
文章图片
pc2
文章图片
二:设置基本ACl完成本次案例的对网络访问行为的控制
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 5 deny source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000]rule 10 permit source 192.168.2.0 0.0.0.255
[Huawei-acl-basic-2000]quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter outboundacl 2000
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]displayacl2000
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 deny source 192.168.1.0 0.0.0.255
rule 10 permit source 192.168.2.0 0.0.0.255
PC1,PC2都如下图一样是ping的ip不同。
文章图片
而高级ACL则是在基本ACL的基础上更加的具体化,实例化实例的目的更加的明确,
以上介绍的的基本的ACL的使用方法其中的步骤繁琐是通过VLAN的方法去做这些的问题,但是可以更好的方便的记忆,而且它的范围更广满足当两个pc端在不同网段时的访问
接下来通过一种新的方法,但是有一个掣肘它的地方,就是两个端必须在同一个网段上,才可以实现此方法。而且路由器的两个端口的ip必须包括各自左右的网段
例如:pc1:192.168.1.1 /24pc2:192.168.2.1 /24那GE 0/0/0 的ip在这个两个的IP之外,要包括这两个ip 例如:192.168.0.1 /16 那它最后形成的路由表为192.168.0.0 /16所以pc端才可以访问或通过该路由。
案例2:
文章图片
此次案例最终要实现的是:pc1 可以访问server2,但不可以访问server1
pc2 可以访问server1 , 但不可以访问server2
前提(通过高级ACL)实现此次案例:
代码如下:AR1
通过此次方法无需配置交换机,直接跨过,只需配置路由器即可。前提:两个pc在一个网段上,两个server在一个网段上。
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.0.1 16
[Huawei-GigabitEthernet0/0/0]
Dec 30 2020 20:56:06-08:00 Huawei %%01IFNET/4/LINK_STATE(l)[0]:The line protocol
IP on the interface GigabitEthernet0/0/0 has entered the UP state.
[Huawei-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 172.168.0.1 16
Dec 30 2020 20:56:19-08:00 Huawei %%01IFNET/4/LINK_STATE(l)[1]:The line protocol
IP on the interface GigabitEthernet0/0/1 has entered the UP state.
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 2 deny icmp source 192.168.1.0 0.0.0.255 destination 1
72.168.1.1 0.0.0.0
[Huawei-acl-adv-3000]rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 1
72.168.2.1 0.0.0.0
[Huawei-acl-adv-3000]rule permit ip
[Huawei-acl-adv-3000]quit
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
PC端:IP在拓扑图中有展示,网关为路由器G0/0/0的ip(注意:为什么这样,已在上面红色字体中有此讲解)
SERVER端:IP在拓扑图中有展示,网关为路由器G0/0/1的ip:(同样的原因)
执行:
在PC端访问server服务器结果如
[Huawei-acl-adv-3000]rule 2 deny icmp source 192.168.1.0 0.0.0.255 destination 1
72.168.1.1 0.0.0.0
[Huawei-acl-adv-3000]rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 1
72.168.2.1 0.0.0.0
PC1能访问server2,不能访问server1
PC2能访问server1,不能访问server2
结果与代码相对应说明配置成功。
注意:此次博客以禁止为例(deny),也能允许(意思就是说只有***才能访问,其他则不可以)permit,只要把ACL中的配置把deny改为permit即可。