ACL访问控制(eNSP)
ACL分类
基本ACL(2000-2999):只能匹配来源IP地址
高级ACL(3000-3999):可以匹配来源IP地址、目标IP地址,源端口、与目标端口等
二层ACL(4000-4999):源MAC地址、目的MAC地址、以太帧协议类型等
ACL的应用原则:
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(保护带宽和其他资源)
ACL应用规则:
1.一个接口的同一个方向,只能调用一个ACL
2.一个ACL里面可以有多个rule规则,按照规则ID从小到大依次执行
3.数据包一旦被某个rule匹配,就不再往下匹配
ACL基本使用:
速配符0 1
0不检查 1检查
#acl 2000 创建一个基本acl 2000
#rule 规则序号 deny source 条件 检查范围 #禁止规则
#rule 规则序号 permit source 条件 检查范围 #允许规则
# 0代表的匹配位
#rule 10 deny source 192.168.1.1 0.0.0.0 #设置acl规则,禁止192.168.1.1访问 0.0.0.0代表192.168.1.1全匹配则禁止,规则序号是10
#rule 10 deny source 192.168.1.1 0.0.0.255 #设置acl规则,0.0.0.255代表禁止192.168.1.0 所属网段IP访问
一、基本ACL的应用
实验目的:
1.实现销售部,财务部与其他网络设备互通
2.禁止销售部访问财务部服务器
1.主机与服务器进行ip,子网,网关配置
2.SW1配置
<Huawei>u t m #临时禁用终端提示 Info: Current terminal monitor is off. <Huawei>system-view #进入系统视图 Enter system view, return user view with Ctrl+Z. [Huawei]sysname SW1 #修改交换机名称 [SW1]vlan 10 [SW1]interface g0/0/2 #进入端口视图 [SW1-GigabitEthernet0/0/2]port link-type access #设置端口类型:access [SW1-GigabitEthernet0/0/2]port default vlan 10 #划分端口vlan号 [SW1-GigabitEthernet0/0/2]q #退出 [SW1]interface g0/0/1 [SW1-GigabitEthernet0/0/1]port link-type access [SW1-GigabitEthernet0/0/1]port default vlan 10
3.SW2配置(同理)
<Huawei>u t m Info: Current terminal monitor is off.<Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei]sysname SW2 [SW2]vlan 20 [SW2]interface g0/0/2 [SW2-GigabitEthernet0/0/2]port link-type access [SW2-GigabitEthernet0/0/2]port default vlan 20 [SW2-GigabitEthernet0/0/2]q [SW2]interface g0/0/1 [SW2-GigabitEthernet0/0/1]port link-type access [SW2-GigabitEthernet0/0/1]port default vlan 20
4.AR1配置
<Huawei>u t m Info: Current terminal monitor is off.<Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei]sysname R1 #修改路由器名称 [R1]interface g0/0/0 #进入端口视图 [R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 #设置端口ip,子网掩码 [R1-GigabitEthernet0/0/0]q [R1]interface g0/0/1 [R1-GigabitEthernet0/0/1]ip address 192.168.4.1 24 [R1-GigabitEthernet0/0/1]q [R1]ip route-static 192.168.2.0 24 192.168.4.2 #设置静态路由
5.AR2配置(基本ACL规则设置)
<Huawei>u t m Info: Current terminal monitor is off.<Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei]sysname AR2 [AR2]interface g0/0/0 [AR2-GigabitEthernet0/0/0]ip address 192.168.2.254 24 #设置端口ip,子网掩码 [AR2-GigabitEthernet0/0/0]q [AR2]interface g0/0/1 [AR2-GigabitEthernet0/0/1]ip address 192.168.4.2 24 [AR2-GigabitEthernet0/0/1]q [AR2]ip route-static 192.168.1.0 24 192.168.4.1 [AR2]acl 2000 [AR2-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.0 #设置acl规则,禁止192.168.1.1访问 [AR2-acl-basic-2000]q [AR2]interface g0/0/2 #进入端口视图 [AR2-GigabitEthernet0/0/2]traffic-filter outbound acl 2000 #端口out方向调用ACL规则 [AR2-GigabitEthernet0/0/2]q [AR2]interface g0/0/2 [AR2-GigabitEthernet0/0/2]ip address 192.168.3.254 24 #设置端口ip,子网掩码 [AR2-GigabitEthernet0/0/2]q
最终实现售后部与其他网络设备互通,但不能访问财务部服务器。
财务部能与其他网络设备互通,且能访问财务部服务器。
二、高级ACL的应用
1.AR1路由器进行配置,实现全网互通
2.ping测试网络通信
3、禁止192.168.2.2访问192.168.1.1的ftp服务,但不影响其他服务(高级ACL的使用)
[Huawei]acl 3000 //创建(进入)acl3000 [Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination 192.168.1.1 0 destination-port eq 80 //拒绝2.1访问1.1的tcp的21端口
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //重新在接口应用acl3000
如果端口原来已有ACL规则列表应用,则需要先删除原来的ACL规则列表
[Huawei-acl-adv-3000]in g0/0/1 //进入距离2.2比较近的接口
[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound //删除原有acl