ACL详解

  企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

如图所示,通过规则实现192.168.1.0/24访问internet,不能访问服务器,而192.168.2.0/24可以访问服务器,不能访问internet,就可以用ACL控制实现。

Acl的作用:本身没有过滤的功能,主要依靠数据包中里面的五元素(SIP、 DIP 、Sport 、 Dport 、 协议)进行抓取流量过滤。ACL是一个流量匹配工具 本身没有过滤作用,真正有过滤作用的一般是策略生效。

同一个流量的概念:( SIP 、  DIP 、 Sport 、 Dport 、 协议)进行抓取数据流,5个条件一定要是一摸一样  才可以算得上同一个数据流。

华为HCIP认证-ACL控制技术详解(樊胜民)

一、      ACL分类

基本AC(一般是SIP与DIP)与高级ACL(一般是5元素)以及二层ACL。

基本acl 这块匹配不是很精确。序列号,默认是5,步长是5,例如rule 5 、rule 10 、rule 15 。匹配原则是从小到大,如果都匹配不上,acl允许所有通过。

华为HCIP认证-ACL控制技术详解(樊胜民)

二、      看图分析:

通过基本ALC配置实现,192.168.1.0/24不能访问internet,

华为HCIP认证-ACL控制技术详解(樊胜民)

以上图片解释:

A,        首先进入acl 2000.

B,        Rule deny source 192.168.1.0 0.0.0.255  //rule 后一般跟上序号,不写的话默认是5,deny是拒绝的意思,192.168.1.0 0.0.0.255 的意思是拒绝该网段从RTA路由器出去。

C,        一般情况下是在进口拒绝,这个例子是在出口拒绝。

总之:一句话概括,就是先定规则,进入接口匹配规则。

配置结果确认截图:

华为HCIP认证-ACL控制技术详解(樊胜民)

2、匹配原则(规则匹配原则是从上到下,只要前面匹配就执行)

华为HCIP认证-ACL控制技术详解(樊胜民)

三、基本acl配置实战

1)、拓扑图

 实现PC1能正常访问服务器(192.168.2.20),而PC2不能访问服务器。

华为HCIP认证-ACL控制技术详解(樊胜民)

2)、基本配置

2.1、PC1  192.168.1.1/24  192.168.1.254

2.2、PC2  192.168.1.2/24  192.168.1.254

2.3、R1的基本配置(IP以及静态路由)

sys

[Huawei]sy R1

[R1]int g 0/0/0

 [R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24

 [R1-GigabitEthernet0/0/0]int g 0/0/2

 [R1-GigabitEthernet0/0/2]ip address 192.168.2.1 24

[R1]dis ip int brief

Interface                         IP Address/Mask      Physical   Protocol 

GigabitEthernet0/0/0              192.168.1.254/24     up         up       

GigabitEthernet0/0/1              192.168.3.1/24       up         up       

[R1]ip route-static 192.168.2.0 24 192.168.3.2//配置静态路由

[R1]dis ip routing-table protocol static

Route Flags: R - relay, D - download to fib

--------------------------------------------------------------------

   192.168.2.0/24  Static  60   0          RD   192.168.3.2    

2.4、R2的基本配置(IP以及静态路由)

sys

 [Huawei]sy R2

[R2]int g 0/0/0

 [R2-GigabitEthernet0/0/0]ip address 192.168.3.2 24

 [R2-GigabitEthernet0/0/0]int g 0/0/1

[R2-GigabitEthernet0/0/1]ip address 192.168.2.1 24

 [R2]DIS IP INT brief

Interface                         IP Address/Mask      Physical   Protocol 

GigabitEthernet0/0/0              192.168.3.2/24       up         up       

GigabitEthernet0/0/1              192.168.2.1/24       up         up       

[R2]ip route-static 192.168.1.0 24 192.168.3.1//配置静态路由

[R2]dis ip routing-table protocol static

    192.168.1.0/24  Static  60   0          RD   192.168.3.1    

3)、联通行测试

3.1、PC1(192.168.1.1)与服务器(192.168.2.20)

PC>ping 192.168.2.20

Ping 192.168.2.20: 32 data bytes, Press Ctrl_C to break

Request timeout!

From 192.168.2.20: bytes=32 seq=2 ttl=126 time=63 ms

From 192.168.2.20: bytes=32 seq=3 ttl=126 time=62 ms

From 192.168.2.20: bytes=32 seq=4 ttl=126 time=78 ms

From 192.168.2.20: bytes=32 seq=5 ttl=126 time=78 ms

3.2、PC1(192.168.1.2)与服务器(192.168.2.20)

PC>ping 192.168.2.20

From 192.168.2.20: bytes=32 seq=2 ttl=126 time=63 ms

From 192.168.2.20: bytes=32 seq=3 ttl=126 time=78 ms

From 192.168.2.20: bytes=32 seq=4 ttl=126 time=94 ms

From 192.168.2.20: bytes=32 seq=5 ttl=126 time=78 ms

4)、ALC基本配置实现PC2192.168.1.2 不能访问服务器192.168.2.20

[R1-acl-basic-2000]rule 5 deny source 192.168.1.2 0.0.0.0//限制某个地址

[R1-acl-basic-2000]quit

[R1]int g 0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

再次测试判断情况:(ping不通了)类似防火墙规则。

PC>ping 192.168.2.20

Ping 192.168.2.20: 32 data bytes, Press Ctrl_C to break

Request timeout!

Request timeout!

Request timeout!

Request timeout!

Request timeout!

R1的路由器上查看阻挡规则

[R1]dis acl all

 Total quantity of nonempty ACL number is 1

Basic ACL 2000, 1 rule

Acl's step is 5

 rule 5 deny source 192.168.1.2 0 (15 matches)//15个匹配

修改步长的方法,默认是5,现在修改步长是10.

[R1-acl-basic-2000]step 10

[R1-acl-basic-2000]dis this

[V200R003C00]

#

acl number 2000 

step 10  //步长变为10

rule 10 deny source 192.168.1.2 0

四、高级acl配置实战

1)、拓扑图

 实现AR1不能远程AR2(telnet)。

华为HCIP认证-ACL控制技术详解(樊胜民)

2)、远程配置

2.1)、AR2的配置

R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):fsm

R2-ui-vty0-4]user privilege level 3  //等级3

[R2-ui-vty0-4]idle-timeout 5  //不操作5分钟后信号中断。

   2.2)、AR1远程登录(因为AR2有两个地址192.168.3.2192.168.2.1

  telnet 192.168.3.2

  Press CTRL_] to quit telnet mode

  Trying 192.168.3.2 ...

  Connected to 192.168.3.2 ...

Login authentication

Password:

或者

telnet 192.168.2.1

  Press CTRL_] to quit telnet mode

  Trying 192.168.2.1 ...

  Connected to 192.168.2.1 ...

Login authentication

Password:

3)、高级acl配置

实现AR1不能远程AR2(telnet)。

3.1R2配置

[R2]acl 3000

[R2-acl-adv-3000]rule 10 deny tcp source 192.168.1.254 0.0.0.0 destination 192.168.3.2 0.0.0.0 destination-port eq 23

[R2-acl-adv-3000]quit

[R2]int g 0/0/0

[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

   3.2)、R1测试(还是能远程访问,樊爸在此琢磨了好长时间,why???,难道是配置错了吗,经过仔细分析原来是R1有两个地址<192.168.1.254  192.168.3.1>,我们上面的acl高级规则仅仅限制了192.168.1.254,但是给192.168.3.1留了空子)。

  telnet 192.168.3.2

  Press CTRL_] to quit telnet mode

  Trying 192.168.3.2 ...

  Connected to 192.168.3.2 ...

Login authentication

Password:

 R2继续添加规则

[R2]acl 3000

[R2-acl-adv-3000]rule 15 deny tcp source 192.168.3.1 0.0.0.0 destination 192.168.3.2 0.0.0.0 destination-port eq 23

R1上再次测试远程,已经很听话了。樊爸领悟,在学习中一定好多分析,遇到问题,多思考。

 telnet 192.168.3.2

 Press CTRL_] to quit telnet mode

 Trying 192.168.3.2 ...

 需要注意的事,这个例子我们限制的事telnet协议,但是不妨碍R1上的两个地址能ping192.168.3.2测试如下:

R1>ping 192.168.3.2

  PING 192.168.3.2: 56  data bytes, press CTRL_C to break

    Reply from 192.168.3.2: bytes=56 Sequence=1 ttl=255 time=30 ms

    Reply from 192.168.3.2: bytes=56 Sequence=2 ttl=255 time=30 ms

    Reply from 192.168.3.2: bytes=56 Sequence=3 ttl=255 time=20 ms

    Reply from 192.168.3.2: bytes=56 Sequence=4 ttl=255 time=20 ms

    Reply from 192.168.3.2: bytes=56 Sequence=5 ttl=255 time=30 ms

  --- 192.168.3.2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 20/26/30 ms

版权声明:
作者:suny520
链接:http://wp.26hx.cn/index.php/2020/03/19/acl%e8%af%a6%e8%a7%a3/
来源:XH博客
文章版权归作者所有,未经允许请勿转载。

文章结束,喜欢就分享吧
分享
二维码