基本ACL與高級(jí)ACL
血色殘?jiān)?
發(fā)布于 廣東 2018-03-05 · 3.0w瀏覽 1回復(fù) 4贊

ACL:Acess Control List,即訪問(wèn)控制列表。這張表中包含了匹配關(guān)系、條件和查詢語(yǔ)句,表只是一個(gè)框架結(jié)構(gòu),其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制。 信息點(diǎn)間通信,內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求,但是為了保證內(nèi)網(wǎng)的安全性,需要通過(guò)安全策略來(lái)保障非授權(quán)用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源,從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的目的。簡(jiǎn)而言之,ACL可以過(guò)濾網(wǎng)絡(luò)中的流量,控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段

ACL的作用 ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如,ACL可以根據(jù)數(shù)據(jù)包的協(xié)議,指定數(shù)據(jù)包的優(yōu)先級(jí)。 ACL提供對(duì)通信流量的控制手段。例如,ACL可以限定或簡(jiǎn)化路由更新信息的長(zhǎng)度,從而限制通過(guò)路由器某一網(wǎng)段的通信流量。 ACL是提供網(wǎng)絡(luò)安全訪問(wèn)的基本手段。ACL允許主機(jī)A訪問(wèn)人力資源網(wǎng)絡(luò),而拒絕主機(jī)B訪問(wèn)。

ACL常用的有兩種分別為基本ACL和高級(jí)ACL
基本ACL:標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址(2000~2999)
高級(jí)ACL:擴(kuò)展ACL既檢查數(shù)據(jù)包的源地址,也檢查數(shù)據(jù)包的目的地址,同時(shí)還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號(hào)等。(3000~3999)


基本ACL的使用

進(jìn)入R1路由器
system-view //進(jìn)入系統(tǒng)視圖
[Huawei]interface GigabitEthernet 0/0/0 //進(jìn)入0接口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //添加ip地址
[Huawei]interface GigabitEthernet 0/0/1 //進(jìn)入1接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.4.1 24 //添加ip地址
啟用動(dòng)態(tài)路由協(xié)議rip
[Huawei]rip?
[Huawei-rip-1]network 192.168.1.0 //聲明自己直連網(wǎng)段
[Huawei-rip-1]network 192.168.4.0 //聲明自己直連網(wǎng)段

進(jìn)入R2路由器
system-view //進(jìn)入系統(tǒng)視圖
[Huawei]interface GigabitEthernet 0/0/0 //進(jìn)入0接口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.4.2 24 //添加ip地址
[Huawei]interface GigabitEthernet 0/0/1 //進(jìn)入1接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 //添加ip地址
[Huawei]interface GigabitEthernet 0/0/2 //進(jìn)入2接口
[Huawei-GigabitEthernet0/0/2]ip address 192.168.5.1 24 //添加ip地址
啟用動(dòng)態(tài)路由協(xié)議rip
[Huawei]rip?
[Huawei-rip-1]network 192.168.2.0 //聲明自己直連網(wǎng)段
[Huawei-rip-1]network 192.168.4.0 //聲明自己直連網(wǎng)段
[Huawei-rip-1]network 192.168.5.0 //聲明自己直連網(wǎng)段

進(jìn)入R3路由器
system-view //進(jìn)入系統(tǒng)視圖
[Huawei]interface GigabitEthernet 0/0/0 //進(jìn)入0接口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.5.2 24 //添加ip地址
[Huawei]interface GigabitEthernet 0/0/1 //進(jìn)入1接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.3.254 24 //添加ip地址
啟用動(dòng)態(tài)路由協(xié)議rip
[Huawei]rip?
[Huawei-rip-1]network 192.168.3.0 //聲明自己直連網(wǎng)段
[Huawei-rip-1]network 192.168.5.0 //聲明自己直連網(wǎng)段
[Huawei]acl 2000 //建立基本ACL
[Huawei-acl-basic-2000]rule 1 deny source 192.168.1.1 0 //添加ACL規(guī)則阻止來(lái)自192.168.1.1的報(bào)文
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 //進(jìn)入接口并采用這個(gè)規(guī)則

現(xiàn)在在ping192.168.3.1不通代表成功了

高級(jí)ACL

剛剛配置不變
進(jìn)入路由器R3,0接口undo traffic-filter inbound?
[Huawei-GigabitEthernet0/0/0]undo traffic-filter inbound

進(jìn)入R1路由器
[Huawei]acl name undo-5.1 advance //建立高級(jí)ACL并取名字
[Huawei-acl-adv-undo-5.1]rule 1 deny icmp source 192.168.1.1 0 destination 192.168.5.1 0
//建立規(guī)則1阻止來(lái)自192.168.1.1發(fā)到192.168.5.1的報(bào)文
//0代表完全匹配是0.0.0.0的簡(jiǎn)寫 如果想阻止一個(gè)網(wǎng)段可以寫成 0.0.0.255 表示只關(guān)注前三位數(shù)。
[Huawei]interface GigabitEthernet 0/0/0 //進(jìn)入接口0
0[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl name undo-5.1 //采用剛剛建立的規(guī)則

最后ping不通192.168.5.1代表成功

與基本ACL相比高級(jí)ACL更精準(zhǔn)的控制


?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
血色殘?jiān)?
瀏覽 3.0w
4
相關(guān)推薦
最新評(píng)論 1
贊過(guò)的人 4
評(píng)論加載中...

暫無(wú)評(píng)論,快來(lái)評(píng)論吧!