随着网络技术的飞速发展,网络安全问题日益突出。ACL(Access Control List,访问控制列表)可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
ACL使用包过滤技术,在路由器上读取第三层以及第四层包头中的信息。如源地址、目的地址、源端口和目的端口等。
根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
ACL的种类
1、基本ACL
基本ACL最简单,通过使用IP包中的源IP地址进行过滤,表号范围2000-2999
2、高级ACL
高级ACL比基本ACL具有跟多的匹配项,功能更加强大和细化,可以针对协议类型、源地址、目的地址、源端口、目的端口和TCP链接等进行过滤。表号反问3000-3999。
3、基于时间的ACL
ACL的生效时间段可以规定ACL规定在任何时间生效,比如某个特定时间段或者每周的某个固定时间段。
4、自反ACL
通过自反ACL可以实现网络节点的单向访问。
实验一:基本ACL
实验目的
掌握基本的ACL配置方法,以及ACL在接口下的应用与过滤方案。
实验拓扑
实验步骤
PC1设置
PC2设置
Server1设置
SW1配置
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname SW1
[SW1]vlan batch 10 20
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 10
[SW1-GigabitEthernet0/0/1]quit
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 20
[SW1-GigabitEthernet0/0/2]quit
[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type trunk
[SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20
R1设置
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]undo shutdown
[R1-GigabitEthernet0/0/1]quit
[R1]interface GigabitEthernet 0/0/1.10
[R1-GigabitEthernet0/0/1.10]dot1q termination vid 10
[R1-GigabitEthernet0/0/1.10]ip address 192.168.10.254 24
[R1-GigabitEthernet0/0/1.10]arp broadcast enable
[R1-GigabitEthernet0/0/1.10]quit
[R1]interface GigabitEthernet 0/0/1.20
[R1-GigabitEthernet0/0/1.20]dot1q termination vid 20
[R1-GigabitEthernet0/0/1.20]ip address 192.168.20.254 24
[R1-GigabitEthernet0/0/1.20]arp broadcast enable
[R1-GigabitEthernet0/0/1.20]quit
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24
测试1
在R1上设置ACL
[R1]acl 2000 //创建编号为2000的ACL
[R1-acl-basic-2000]rule 10 deny source 192.168.20.0 0.0.0.255
//写一条策略,拒绝192.168.20.0/24的网段。
[R1-acl-basic-2000]quit
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000
//使用过滤方案在此接口进口方向应用ACL 2000策略。
[R1-GigabitEthernet0/0/1]display traffic-filter applied-record
-----------------------------------------------------------
Interface Direction AppliedRecord
-----------------------------------------------------------
GigabitEthernet0/0/1 inbound acl 2000
-----------------------------------------------------------
[R1-GigabitEthernet0/0/1]display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
rule 10 deny source 192.168.20.0 0.0.0.255
测试2
PC1正常访问Server1,PC2因为ACL2000的原因,无法访问Server1。
技术要点
如果配置在接口上,默认规则为允许;如果配置在其他地方,默认规则为拒绝。
关注+点赞+评论+收藏,分享更多网工实验小技巧
标签:沉浸,R1,基本原理,GigabitEthernet0,ACL,interface,2000,SW1 From: https://blog.csdn.net/2301_79308927/article/details/141683934