基本ACL與高級ACL
血色殘月
發(fā)布于 廣東 2018-03-05 · 3.0w瀏覽 1回復 4贊

ACL:Acess Control List,即訪問控制列表。這張表中包含了匹配關系、條件和查詢語句,表只是一個框架結構,其目的是為了對某種訪問進行控制。 信息點間通信,內(nèi)外網(wǎng)絡的通信都是企業(yè)網(wǎng)絡中必不可少的業(yè)務需求,但是為了保證內(nèi)網(wǎng)的安全性,需要通過安全策略來保障非授權用戶只能訪問特定的網(wǎng)絡資源,從而達到對訪問進行控制的目的。簡而言之,ACL可以過濾網(wǎng)絡中的流量,控制訪問的一種網(wǎng)絡技術手段

ACL的作用 ACL可以限制網(wǎng)絡流量、提高網(wǎng)絡性能。例如,ACL可以根據(jù)數(shù)據(jù)包的協(xié)議,指定數(shù)據(jù)包的優(yōu)先級。 ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網(wǎng)段的通信流量。 ACL是提供網(wǎng)絡安全訪問的基本手段。ACL允許主機A訪問人力資源網(wǎng)絡,而拒絕主機B訪問。

ACL常用的有兩種分別為基本ACL和高級ACL
基本ACL:標準ACL只檢查數(shù)據(jù)包的源地址(2000~2999)
高級ACL:擴展ACL既檢查數(shù)據(jù)包的源地址,也檢查數(shù)據(jù)包的目的地址,同時還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號等。(3000~3999)


基本ACL的使用

進入R1路由器
system-view //進入系統(tǒng)視圖
[Huawei]interface GigabitEthernet 0/0/0 //進入0接口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //添加ip地址
[Huawei]interface GigabitEthernet 0/0/1 //進入1接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.4.1 24 //添加ip地址
啟用動態(tài)路由協(xié)議rip
[Huawei]rip?
[Huawei-rip-1]network 192.168.1.0 //聲明自己直連網(wǎng)段
[Huawei-rip-1]network 192.168.4.0 //聲明自己直連網(wǎng)段

進入R2路由器
system-view //進入系統(tǒng)視圖
[Huawei]interface GigabitEthernet 0/0/0 //進入0接口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.4.2 24 //添加ip地址
[Huawei]interface GigabitEthernet 0/0/1 //進入1接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 //添加ip地址
[Huawei]interface GigabitEthernet 0/0/2 //進入2接口
[Huawei-GigabitEthernet0/0/2]ip address 192.168.5.1 24 //添加ip地址
啟用動態(tài)路由協(xié)議rip
[Huawei]rip?
[Huawei-rip-1]network 192.168.2.0 //聲明自己直連網(wǎng)段
[Huawei-rip-1]network 192.168.4.0 //聲明自己直連網(wǎng)段
[Huawei-rip-1]network 192.168.5.0 //聲明自己直連網(wǎng)段

進入R3路由器
system-view //進入系統(tǒng)視圖
[Huawei]interface GigabitEthernet 0/0/0 //進入0接口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.5.2 24 //添加ip地址
[Huawei]interface GigabitEthernet 0/0/1 //進入1接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.3.254 24 //添加ip地址
啟用動態(tài)路由協(xié)議rip
[Huawei]rip?
[Huawei-rip-1]network 192.168.3.0 //聲明自己直連網(wǎng)段
[Huawei-rip-1]network 192.168.5.0 //聲明自己直連網(wǎng)段
[Huawei]acl 2000 //建立基本ACL
[Huawei-acl-basic-2000]rule 1 deny source 192.168.1.1 0 //添加ACL規(guī)則阻止來自192.168.1.1的報文
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 //進入接口并采用這個規(guī)則

現(xiàn)在在ping192.168.3.1不通代表成功了

高級ACL

剛剛配置不變
進入路由器R3,0接口undo traffic-filter inbound?
[Huawei-GigabitEthernet0/0/0]undo traffic-filter inbound

進入R1路由器
[Huawei]acl name undo-5.1 advance //建立高級ACL并取名字
[Huawei-acl-adv-undo-5.1]rule 1 deny icmp source 192.168.1.1 0 destination 192.168.5.1 0
//建立規(guī)則1阻止來自192.168.1.1發(fā)到192.168.5.1的報文
//0代表完全匹配是0.0.0.0的簡寫 如果想阻止一個網(wǎng)段可以寫成 0.0.0.255 表示只關注前三位數(shù)。
[Huawei]interface GigabitEthernet 0/0/0 //進入接口0
0[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl name undo-5.1 //采用剛剛建立的規(guī)則

最后ping不通192.168.5.1代表成功

與基本ACL相比高級ACL更精準的控制


?著作權歸作者所有,轉載或內(nèi)容合作請聯(lián)系作者
血色殘月
瀏覽 3.0w
4
相關推薦
最新評論 1
贊過的人 4
評論加載中...

暫無評論,快來評論吧!