在学习ACL(访问控制列表)之前首先要理解一下三个问题:
一、ACL的作用,以及不同类型的ACL的区别是什么?
ACL的作用是:匹配感兴趣的数据包。
ACL分为基本ACL和 高级ACL,
基本ACL,只能匹配数据包的源IP地址,匹配数据不精准;
高级ACL,可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号,匹配数据包更加精准。
二、基本ACL和高级ACL在应用过程中的最佳调用位置:
基本ACL,匹配数据不精准,所以调用在距离目标设备近的端口上;
高级ACL,匹配数据精准,所以调用在距离源设备近的端口上;
三、ACL 的工作原理:
使用ACL在匹配数据包的过程中,会按照 rule 的号码从小到大依次匹配。
如果能匹配成功,则后续的条目不再进行检查;
如果匹配不成功,则继续匹配下面的 rule ;
如果所有的 rule 都没有匹配成功,则执行ACL最后一个隐含的条目
如果 acl 和 traffic-filter 结合使用,acl最后隐含的条目是:允许所有
如果 acl 和 其他工具结合在一起使用,acl 最后隐含的条目是:拒绝所有
下面是acl的经典案例(附ensp模拟器的配置命令),有兴趣的同学可以照着做几遍,基本就能够理解ACL的原理和用处了。
Top
- 理解ACL原理与类型
- 基本ACL配置
- 高级ACL配置
- 高级ACL之ICMP
- 高级ACL之Telnet
1 理解ACL原理与类型
1.1 需求
1)如图配置IP地址
2)PC1不能访问 Server
3)PC2允许访问 Server
4)允许其他所有的访问流量
1.2 方案
搭建实验环境,如图-1所示。
图-1
1.3 步骤
实现此案例需要按照如下步骤进行。
1)配置终端设备 - PC1
地址: 192.168.1.1
掩码: 255.255.255.0
网关: 192.168.1.254
2)配置终端设备 - PC2
地址: 192.168.2.1
掩码: 255.255.255.0
网关: 192.168.2.254
3)配置终端设备 - Server
地址: 192.168.100.1
掩码: 255.255.255.0
网关: 192.168.100.254
4)配置网络设备 - R1
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R1//更改设备名称
- [R1]interface gi0/0/1 //连接 PC1
- [R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24 //配置IP地址
- [R1-GigabitEthernet0/0/1]quit
- [R1]interface gi0/0/2 //连接 PC2
- [R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24 //配置 IP 地址
- [R1-GigabitEthernet0/0/2]quit
5)配置 ACL
- [R1]acl 2000 //创建基本 ACL
- [R1-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.255 //拒绝源为 PC1的流量
- [R1-acl-basic-2000]quit
- [R1]interface g0/0/0 //连接 Server1 的接口
- [R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 //调用在端口的出方向
- [R1-GigabitEthernet0/0/0]quit
6)测试
- display acl all //查看设备上所有的 ACL
- display acl 2000 //查看 ACL 2000 的内容
- PC1不能ping通Server1
- PC2可以ping通Server1
- PC1可以ping通 PC2
2 基本ACL配置
2.1 需求
1)如图配置IP地址
2)不允许“售后服务部”以任何的方式访问“财务部”服务器
3)售后服务器可以访问网络的任何其他设备
2.2 方案
搭建实验环境,如图-2所示。
图-2
2.3 步骤
实现此案例需要按照如下步骤进行。
1)配置终端设备 – PC1
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
2)配置终端设备 – PC2
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
3)配置终端设备 – 财务服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
4)配置网络设备 - R1
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R1//更改设备名称
- [R1]interface gi0/0/1 //连接 Client1
- [R1-GigabitEthernet0/0/1] ip address 192.168.1.254 24
- [R1-GigabitEthernet0/0/1] quit
- [R1]interface gi0/0/0 //连接 R2的接口
- [R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
- [R1-GigabitEthernet0/0/0] quit
- [R1]ip route-static 192.168.2.0 24 192.168.12.2 //去往PC2的路由条目
- [R2]ip route-static 192.168.3.0 24 192.168.12.2 //去往财务服务器的路由
5)配置网络设备 - R2
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R2//更改设备名称
- [R2]interface gi0/0/1 //连接 PC2
- [R2-GigabitEthernet0/0/1] ip address 192.168.2.254 24
- [R2-GigabitEthernet0/0/1] quit
- [R2]interface gi0/0/0 //连接 R1 的接口
- [R2-GigabitEthernet0/0/0] ip address 192.168.12.2 24
- [R2-GigabitEthernet0/0/0] quit
- [R2]interface gi0/0/2 //连接 服务器 的接口
- [R2-GigabitEthernet0/0/2] ip address 192.168.3.254 24
- [R2-GigabitEthernet0/0/2] quit
- [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往PC1的网段
6)配置网络设备 – SW1
- <Huawei>undo terminal monitor
- <Huawei>sysname SW1
- [SW1]vlan 10
- [SW1-vlan10]quit
- [SW1]interface GigabitEthernet 0/0/1
- [SW1-GigabitEthernet0/0/1]port link-type access
- [SW1-GigabitEthernet0/0/1]port default vlan 10
- [SW1-GigabitEthernet0/0/1]quit
- [SW1]interface GigabitEthernet 0/0/2
- [SW1-GigabitEthernet0/0/2]port link-type access
- [SW1-GigabitEthernet0/0/2]port default vlan 10
- [SW1-GigabitEthernet0/0/2]quit
7)配置网络设备 – SW2
- <Huawei>undo terminal monitor
- <Huawei>sysname SW2
- [SW2]vlan 20
- [SW2-vlan20]quit
- [SW2]interface GigabitEthernet 0/0/1
- [SW2-GigabitEthernet0/0/1]port link-type access
- [SW2-GigabitEthernet0/0/1]port default vlan 20
- [SW2-GigabitEthernet0/0/1]quit
- [SW2]interface GigabitEthernet 0/0/2
- [SW2-GigabitEthernet0/0/2]port link-type access
- [SW2-GigabitEthernet0/0/2]port default vlan 20
- [SW2-GigabitEthernet0/0/2]quit
8)配置控制策略并调用
- [R2]acl 2000 //创建基本ACL
- [R2-acl-basic-2000]rule 10 deny source 192.168.1.0 0.0.0.255 //拒绝PC1的网段
- [R2-acl-basic-2000]quit
- [R2]interface GigabitEthernet 0/0/2
- [R2-GigabitEthernet0/0/2]traffic-filter outbound acl 2000 //过滤出向流量
- [R2-GigabitEthernet0/0/2]quit
3 高级ACL配置
3.1 需求
1)如图配置IP地址,配置路由,确保各设备互通
2)售后部仅仅能访问 Server1上的Web服务,不能访问其他服务
3)售后部可以访问行政部的所有设备的任何服务
4)除了上述权限外,售后部不能访问网络中的其他任何地方
3.2 方案
搭建实验环境,如图-3所示。
图-3
3.3 步骤
实现此案例需要按照如下步骤进行。
1)配置终端设备 – 售后服务部
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
2)配置终端设备 – 行政部
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
3)配置终端设备 – Web服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
配置web服务:指定web服务器目录,启动 web 服务
4)配置网络设备 – R1
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R1//更改设备名称
- [R1]interface gi0/0/2 //连接售后服务部
- [R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
- [R1-GigabitEthernet0/0/2] quit
- [R1]interface gi0/0/0 //连接 R2的接口
- [R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
- [R1-GigabitEthernet0/0/0] quit
- [R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 //去往其他网段的默认路由
5)配置网络设备 – R2
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R2//更改设备名称
- [R2]interface gi0/0/2 //连接 行政部
- [R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
- [R2-GigabitEthernet0/0/2] quit
- [R2]interface gi0/0/1 //连接 R1 的接口
- [R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
- [R2-GigabitEthernet0/0/1] quit
- [R2]interface gi0/0/0 //连接 R3 的接口
- [R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
- [R2-GigabitEthernet0/0/0] quit
- [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往售后部的网段
- [R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 //去往服务器的网段
6)配置网络设备 – R3
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R3//更改设备名称
- [R3]interface gi0/0/2 //连接 Web服务器
- [R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
- [R3-GigabitEthernet0/0/2] quit
- [R3]interface gi0/0/1 //连接 R2 的接口
- [R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
- [R3-GigabitEthernet0/0/1] quit
- [R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 //去往其他网段的默认路由
7)在 R1 上配置并调用 ACL
- [R1] acl 3000
- [R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 80
- [R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
- [R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any
- [R1] interface gi0/0/2
- [R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 //在该接口入向调用ACL
4 高级ACL之ICMP
4.1 需求
1)如图配置IP地址
2)售后部仅仅能 ping 通 Server1上,不能访问其他服务
3)售后部可以访问行政部的所有设备的任何服务
4)除了上述权限外,售后部不能访问网络中的其他任何地方
4.2 方案
搭建实验环境,如图-4所示。
图-4
4.3 步骤
实现此案例需要按照如下步骤进行。
1)配置终端设备 – 售后服务部
地址:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
2)配置终端设备 – 行政部
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254
3)配置终端设备 – Web服务器
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
配置web服务:指定web服务器目录,启动 web 服务
4)配置网络设备 – R1
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R1//更改设备名称
- [R1]interface gi0/0/2 //连接售后服务部
- [R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
- [R1-GigabitEthernet0/0/2] quit
- [R1]interface gi0/0/0 //连接 R2的接口
- [R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
- [R1-GigabitEthernet0/0/0] quit
- [R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 //去往其他网段的默认路由
5)配置网络设备 – R2
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R2//更改设备名称
- [R2]interface gi0/0/2 //连接 行政部
- [R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
- [R2-GigabitEthernet0/0/2] quit
- [R2]interface gi0/0/1 //连接 R1 的接口
- [R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
- [R2-GigabitEthernet0/0/1] quit
- [R2]interface gi0/0/0 //连接 R3 的接口
- [R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
- [R2-GigabitEthernet0/0/0] quit
- [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往售后部的网段
- [R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 //去往服务器的网段
6)配置网络设备 – R3
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R3//更改设备名称
- [R3]interface gi0/0/2 //连接 Web服务器
- [R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
- [R3-GigabitEthernet0/0/2] quit
- [R3]interface gi0/0/1 //连接 R2 的接口
- [R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
- [R3-GigabitEthernet0/0/1] quit
- [R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 //去往其他网段的默认路由
7)在 R1 上配置并调用 ACL
- [R1] acl 3000
- [R1-acl-adv-3000]rule 10 permit icmp source 192.168.1.1 0 destination 192.168.3.1 0
- [R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
- [R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any
- [R1] interface gi0/0/2
- [R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 //在该接口入向调用ACL
5 高级ACL之Telnet
5.1 需求
1)如图配置IP地址,配置路由,确保各设备互通
2)为了便于设备管理,为设备开启远程管理功能,登录密码:HCIE
3)仅仅允许 192.168.1.254 远程登录 R2,其他设备不可以
4)拒绝 R1的任何IP地址远程登录 R3,其他设备都可以
5.2 方案
搭建实验环境,如图-5所示。
图-5
5.3 步骤
实现此案例需要按照如下步骤进行。
1)配置终端设备 – 售后服务部
- 地址:192.168.1.1
- 掩码:255.255.255.0
- 网关:192.168.1.254
2)配置终端设备 – 行政部
- 地址:192.168.2.1
- 掩码:255.255.255.0
- 网关:192.168.2.254
3)配置终端设备 – Web服务器
- 地址:192.168.3.1
- 掩码:255.255.255.0
- 网关:192.168.3.254
- 配置web服务:指定web服务器目录,启动 web 服务
4)配置网络设备 – R1
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R1//更改设备名称
- [R1]interface gi0/0/2 //连接售后服务部
- [R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
- [R1-GigabitEthernet0/0/2] quit
- [R1]interface gi0/0/0 //连接 R2的接口
- [R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
- [R1-GigabitEthernet0/0/0] quit
- [R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 //去往其他网段的默认路由
5)配置网络设备 – R2
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R2//更改设备名称
- [R2]interface gi0/0/2 //连接 行政部
- [R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
- [R2-GigabitEthernet0/0/2] quit
- [R2]interface gi0/0/1 //连接 R1 的接口
- [R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
- [R2-GigabitEthernet0/0/1] quit
- [R2]interface gi0/0/0 //连接 R3 的接口
- [R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
- [R2-GigabitEthernet0/0/0] quit
- [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往售后部门的网段
- [R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 //去往服务器的网段
- [R2]user-interface vty 0 4
- [R2-ui-vty0-4]authentication-mode password //指定认证方式为密码认证
- Please configure the login password (maximum length 16):HCIE //配置密码为 HCIE
6)配置网络设备 – R3
- <Huawei>system-view //进入系统模式
- [Huawei]sysname R3//更改设备名称
- [R3]interface gi0/0/2 //连接 Web服务器
- [R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
- [R3-GigabitEthernet0/0/2] quit
- [R3]interface gi0/0/1 //连接 R2 的接口
- [R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
- [R3-GigabitEthernet0/0/1] quit
- [R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 //去往其他网段的默认路由
- [R3]user-interface vty 0 4
- [R3-ui-vty0-4]authentication-mode password //指定认证方式为密码认证
- Please configure the login password (maximum length 16):HCIE //配置密码为 HCIE
7)在 R2 上配置并调用 ACL文章来源:https://www.toymoban.com/news/detail-449867.html
- [R2]acl 2000
- [R2-acl-basic-2000]rule 10 permit source 192.168.1.254 0
- [R2-acl-basic-2000]quit
- [R2]user-interface vty 0 4
- [R2-ui-vty0-4]acl 2000 inbound
- [R2-ui-vty0-4]quit
8)在 R3 上配置并调用 ACL文章来源地址https://www.toymoban.com/news/detail-449867.html
- [R3]acl 2000
- [R3-acl-basic-2000]rule 10 deny source 192.168.1.254 0
- [R3-acl-basic-2000]rule 20 deny source 192.168.12.1 0
- [R3-acl-basic-2000]rule 30 permit source any
- [R3-acl-basic-2000]quit
- [R3]user-interface vty 0 4
- [R3-ui-vty0-4]acl 2000 inbound
- [R3-ui-vty0-4]quit
到了这里,关于访问控制列表之基本ACL、高级ACL 、 高级ACL之ICMP、高级ACL之telnet的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!