ACL详解
企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
如图所示,通过规则实现192.168.1.0/24访问internet,不能访问服务器,而192.168.2.0/24可以访问服务器,不能访问internet,就可以用ACL控制实现。
Acl的作用:本身没有过滤的功能,主要依靠数据包中里面的五元素(SIP、 DIP 、Sport 、 Dport 、 协议)进行抓取流量过滤。ACL是一个流量匹配工具 本身没有过滤作用,真正有过滤作用的一般是策略生效。
同一个流量的概念:( SIP 、 DIP 、 Sport 、 Dport 、 协议)进行抓取数据流,5个条件一定要是一摸一样 才可以算得上同一个数据流。
一、 ACL分类
基本AC(一般是SIP与DIP)与高级ACL(一般是5元素)以及二层ACL。
基本acl 这块匹配不是很精确。序列号,默认是5,步长是5,例如rule 5 、rule 10 、rule 15 。匹配原则是从小到大,如果都匹配不上,acl允许所有通过。
二、 看图分析:
通过基本ALC配置实现,192.168.1.0/24不能访问internet,
以上图片解释:
A, 首先进入acl 2000.
B, Rule deny source 192.168.1.0 0.0.0.255 //rule 后一般跟上序号,不写的话默认是5,deny是拒绝的意思,192.168.1.0 0.0.0.255 的意思是拒绝该网段从RTA路由器出去。
C, 一般情况下是在进口拒绝,这个例子是在出口拒绝。
总之:一句话概括,就是先定规则,进入接口匹配规则。
配置结果确认截图:
2、匹配原则(规则匹配原则是从上到下,只要前面匹配就执行)
三、基本acl配置实战
1)、拓扑图
实现PC1能正常访问服务器(192.168.2.20),而PC2不能访问服务器。
2)、基本配置
2.1、PC1 192.168.1.1/24 192.168.1.254
2.2、PC2 192.168.1.2/24 192.168.1.254
2.3、R1的基本配置(IP以及静态路由)
sys
[Huawei]sy R1
[R1]int g 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0]int g 0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.2.1 24
[R1]dis ip int brief
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 192.168.1.254/24 up up
GigabitEthernet0/0/1 192.168.3.1/24 up up
[R1]ip route-static 192.168.2.0 24 192.168.3.2//配置静态路由
[R1]dis ip routing-table protocol static
Route Flags: R - relay, D - download to fib
--------------------------------------------------------------------
192.168.2.0/24 Static 60 0 RD 192.168.3.2
2.4、R2的基本配置(IP以及静态路由)
sys
[Huawei]sy R2
[R2]int g 0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.3.2 24
[R2-GigabitEthernet0/0/0]int g 0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[R2]DIS IP INT brief
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 192.168.3.2/24 up up
GigabitEthernet0/0/1 192.168.2.1/24 up up
[R2]ip route-static 192.168.1.0 24 192.168.3.1//配置静态路由
[R2]dis ip routing-table protocol static
192.168.1.0/24 Static 60 0 RD 192.168.3.1
3)、联通行测试
3.1、PC1(192.168.1.1)与服务器(192.168.2.20)
PC>ping 192.168.2.20
Ping 192.168.2.20: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 192.168.2.20: bytes=32 seq=2 ttl=126 time=63 ms
From 192.168.2.20: bytes=32 seq=3 ttl=126 time=62 ms
From 192.168.2.20: bytes=32 seq=4 ttl=126 time=78 ms
From 192.168.2.20: bytes=32 seq=5 ttl=126 time=78 ms
3.2、PC1(192.168.1.2)与服务器(192.168.2.20)
PC>ping 192.168.2.20
From 192.168.2.20: bytes=32 seq=2 ttl=126 time=63 ms
From 192.168.2.20: bytes=32 seq=3 ttl=126 time=78 ms
From 192.168.2.20: bytes=32 seq=4 ttl=126 time=94 ms
From 192.168.2.20: bytes=32 seq=5 ttl=126 time=78 ms
4)、ALC基本配置实现PC2(192.168.1.2) 不能访问服务器192.168.2.20
[R1-acl-basic-2000]rule 5 deny source 192.168.1.2 0.0.0.0//限制某个地址
[R1-acl-basic-2000]quit
[R1]int g 0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
再次测试判断情况:(ping不通了)类似防火墙规则。
PC>ping 192.168.2.20
Ping 192.168.2.20: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
在R1的路由器上查看阻挡规则
[R1]dis acl all
Total quantity of nonempty ACL number is 1
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 deny source 192.168.1.2 0 (15 matches)//15个匹配
修改步长的方法,默认是5,现在修改步长是10.
[R1-acl-basic-2000]step 10
[R1-acl-basic-2000]dis this
[V200R003C00]
#
acl number 2000
step 10 //步长变为10
rule 10 deny source 192.168.1.2 0
四、高级acl配置实战
1)、拓扑图
实现AR1不能远程AR2(telnet)。
2)、远程配置
2.1)、AR2的配置
R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):fsm
R2-ui-vty0-4]user privilege level 3 //等级3
[R2-ui-vty0-4]idle-timeout 5 //不操作5分钟后信号中断。
2.2)、AR1远程登录(因为AR2有两个地址192.168.3.2与192.168.2.1)
telnet 192.168.3.2
Press CTRL_] to quit telnet mode
Trying 192.168.3.2 ...
Connected to 192.168.3.2 ...
Login authentication
Password:
或者
telnet 192.168.2.1
Press CTRL_] to quit telnet mode
Trying 192.168.2.1 ...
Connected to 192.168.2.1 ...
Login authentication
Password:
3)、高级acl配置
实现AR1不能远程AR2(telnet)。
3.1)R2配置
[R2]acl 3000
[R2-acl-adv-3000]rule 10 deny tcp source 192.168.1.254 0.0.0.0 destination 192.168.3.2 0.0.0.0 destination-port eq 23
[R2-acl-adv-3000]quit
[R2]int g 0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
3.2)、R1测试(还是能远程访问,樊爸在此琢磨了好长时间,why???,难道是配置错了吗,经过仔细分析原来是R1有两个地址<192.168.1.254 192.168.3.1>,我们上面的acl高级规则仅仅限制了192.168.1.254,但是给192.168.3.1留了空子)。
telnet 192.168.3.2
Press CTRL_] to quit telnet mode
Trying 192.168.3.2 ...
Connected to 192.168.3.2 ...
Login authentication
Password:
R2继续添加规则
[R2]acl 3000
[R2-acl-adv-3000]rule 15 deny tcp source 192.168.3.1 0.0.0.0 destination 192.168.3.2 0.0.0.0 destination-port eq 23
在R1上再次测试远程,已经很听话了。樊爸领悟,在学习中一定好多分析,遇到问题,多思考。
telnet 192.168.3.2
Press CTRL_] to quit telnet mode
Trying 192.168.3.2 ...
需要注意的事,这个例子我们限制的事telnet协议,但是不妨碍R1上的两个地址能ping通192.168.3.2测试如下:
R1>ping 192.168.3.2
PING 192.168.3.2: 56 data bytes, press CTRL_C to break
Reply from 192.168.3.2: bytes=56 Sequence=1 ttl=255 time=30 ms
Reply from 192.168.3.2: bytes=56 Sequence=2 ttl=255 time=30 ms
Reply from 192.168.3.2: bytes=56 Sequence=3 ttl=255 time=20 ms
Reply from 192.168.3.2: bytes=56 Sequence=4 ttl=255 time=20 ms
Reply from 192.168.3.2: bytes=56 Sequence=5 ttl=255 time=30 ms
--- 192.168.3.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 20/26/30 ms
版权声明:
作者:suny520
链接:http://wp.26hx.cn/index.php/2020/03/19/acl%e8%af%a6%e8%a7%a3/
来源:XH博客
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论