[网络协议]ACL--访问控制列表

目录

一、ACL

1、作用

2、访问控制列表的调用方向

3、策略做好后，在入接口调用和出接口调用的区别

4、访问控制列表的处理原则

5、访问控制列表的类型

二、标准访问控制列表拓扑实验

?三、扩展访问控制列表拓扑实验

四：总结

?

一、ACL

ACL--访问控制列表

1、作用

读取三层、四层头部信息，根据预先定义好的规则对流量进行筛选、过滤

三层头部信息：源、目IP

四层头部信息：TCP/UDP协议，源、目端号

2、访问控制列表的调用方向

入：流量将要进入本地路由器，将被本地路由器处理

出：已经被本地路由器处理过了，流量将离开本都路由器

3、策略做好后，在入接口调用和出接口调用的区别

入接口调用：是对本地端口生效

出接口调用：对本地路由器不生效，流量将在数据转发过程中的下一台路由器中生效

4、访问控制列表的处理原则

1.路由条目只会被匹配一次

2.路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配

3.ACL访问控制列表隐含一个拒绝所有

4.ACL访问控制列表至少要放行一条路由条目

5、访问控制列表的类型

1.标准访问控制列表

只能基于源IP地址进行过滤

标准访问控制列表的列表号：2000~2999

调用原则：靠近目标

2.扩展访问控制列表

可根据源、目IP地址，TCP/UDP协议，源、目端号进行过滤

相比较标准访问控制列表，流量控制的更加标准

.扩展访问控制列表的列表号：3000~3999

调用原则：靠近源

二、标准访问控制列表拓扑实验

新建一台交换机、一台路由器和四台PC，如下图连接起来，并启动

PC机IP地址、子网掩码与网关

PC1：192.168.10.10? ?255.255.255.0? ?192.168.10.1

PC2：192.168.20.10? ?255.255.255.0? ?192.168.20.1

PC3：192.168.10.20? ?255.255.255.0? ?192.168.10.1

PC4：192.168.20.20? ?255.255.255.0? ?192.168.20.1

?

SW1设置：

<Huawei>undo terminal monitor ? ? ?关闭弹窗
<Huawei>system-view ? ? ? ? ? ? ? ?进入系统视图
[Huawei]sysname SW1 ? ? ? ? ? ? ? ?更改名字为SW1
[SW1]user-interface console 0
[SW1-ui-console0]idle-timeout 0 0 ?永不超时
[SW1]vlan batch 10 20 ? ? ? ? ? ? ?创建vlan10和vlan20
[SW1]int e0/0/1 ? ? ? ? ? ? ? ? ? ?进入接口e0/0/1
[SW1-Ethernet0/0/1]port link-type access ? 设置链路类型为access?
[SW1-Ethernet0/0/1]port default vlan 10 ? ?接口e0/0/1划分进vlan10
[SW1-Ethernet0/0/1]int e0/0/2 ? ? ? ? ? ? ?进入接口e0/0/2
[SW1-Ethernet0/0/2]port link-type access ? 设置链路类型为access ?
[SW1-Ethernet0/0/2]port default vlan 20 ? ?接口e0/0/2划分进vlan20
[SW1-Ethernet0/0/2]int e0/0/3 ? ? ? ? ? ? ?进入接口e0/0/3
[SW1-Ethernet0/0/3]port link-type access ? 设置链路类型为access ?
[SW1-Ethernet0/0/3]port default vlan 10 ? ?接口e0/0/3划分进vlan10
[SW1-Ethernet0/0/3]int e0/0/4 ? ? ? ? ? ? ?进入接口e0/0/4
[SW1-Ethernet0/0/4]port link-type access ? 设置链路类型为access ?
[SW1-Ethernet0/0/4]port default vlan 20 ? ?接口e0/0/4划分进vlan20
[SW1-Ethernet0/0/4]int g0/0/1 ? ? ? ? ? ? ?进入接口e0/0/4
[SW1-GigabitEthernet0/0/1]port link-type trunk ? ? ? ? ? ? 设置链路类型为trunk ?
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all ? 设置白名单为全部vlan

?

?

?R1设置：
<Huawei>undo terminal monitor? ? ?关闭弹窗
<Huawei>system-view? ? ? ? ? ? ? ? ? ? ?进入系统视图
[Huawei]sysname R1? ? ? ? ? ? ? ? ? ? ? ?更改名字为R1
[R1]user-interface console 0?
[R1-ui-console0]idle-timeout 0 0? ? ?永不超时
[R1]int g0/0/0? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 进图接口g0/0/0
[R1-GigabitEthernet0/0/0]undo shutdown? 启动接口g0/0/0
[R1-GigabitEthernet0/0/0]int g0/0/0.1? ? ?进入虚拟接口g0/0/0.1?
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10? ? 封装格式为802.1q，虚拟接口g0/0/0.1 划分进vlan10
[R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24? ? 设置IP地址与子网掩码长度
[R1-GigabitEthernet0/0/0.1]arp broadcast enable? ? ? ? 开启ARP广播功能
[R1-GigabitEthernet0/0/0.1]int g0/0/0.2? ? ? ? ? ? ? ? ? ? ? ??进入虚拟接口g0/0/0.2
[R1-GigabitEthernet0/0/0.2]dot1q termination vid 20? ?封装格式为802.1q，虚拟接口g0/0/0.2?划分进vlan20
[R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24? ? ?设置IP地址与子网掩码长度
[R1-GigabitEthernet0/0/0.2]arp broadcast enable? ? ? ??开启ARP广播功能

?设置完成后，不同vlan间是可以通信的

?R1标准访问控制列表设置

[R1]acl 2000? ? 创建标准访问控制列表 ，列表号为2000

[R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255? ?拒绝192.168.10.0网段

[R1-acl-basic-2000]rule permit source any? ? 放行其他路由条目

[R1-acl-basic-2000]int g0/0/0.2? ? ??进入虚拟接口g0/0/0.2

[R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000? ? 选择在出接口上调用列表2000

?

不同vlan间通信测试

不同vlan间已近不能通信了

?三、扩展访问控制列表拓扑实验

在标准访问控制列表的拓扑图的基础上加一台路由器和服务器

?延续标准访问控制列表的设置继续设置

R1:

[R1]int g0/0/1? ? ? ? ?进入接口g0/0/1?

[R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24? ?设置接口g0/0/1 IP地址与子网掩码长度

[R1]ip route-static 0.0.0.0 0 12.1.1.2? ?添加默认路由目的网段0.0.0.0，子网掩码长度0，下一跳入接口ip12.1.1.2

R2:

<Huawei>undo terminal monitor? ? ? 关闭弹窗

<Huawei>system-view? ? ? ? ? ? ? ? ? ? ?进入系统视图

[Huawei]sysname R2? ? ? ? ? ? ? ? ? ? ? 更改名字为R2

[R2]user-interface console 0

[R2-ui-console0]idle-timeout 0 0? ? 永不超时

[R2]int g0/0/0? ? ? 进入接口 g0/0/0

[R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24? ?设置接口 g0/0/0IP地址与子网掩码长度

[R2-GigabitEthernet0/0/0]undo shutdown? ? ? ?开启接口 g0/0/0

[R2]int g0/0/1? ? ? 进入接口 g0/0/1

[R2-GigabitEthernet0/0/0]ip add 202.10.100.2? 24? ?设置接口 g0/0/1IP地址与子网掩码长度

[R2-GigabitEthernet0/0/0]undo shutdown? ? ? ?开启接口 g0/0/1

[R2]ip route-static 0.0.0.0 0 12.1.1.1? ? ?添加默认路由目的网段0.0.0.0，子网掩码长度0，下一跳入接口ip2.1.1.1?

服务器配置

IP地址：202.10.100.100? ?255.255.255.0? ?202.10.100.2

?

服务信息里选择Ftpserver，配置文件目录

?

R1：

[R1]acl 3000? ? ? ? ?创建扩展访问控制列表 ，列表号为3000

[R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0.0.0.0 destination 202.10.1
00.100 0.0.0.0 destination-port eq 21? ? ? ? 禁止PC1访问TFP服务器

[R1-acl-adv-3000]rule permit tcp source any destination any destination-port eq?
21? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 放行其他客户机访问TFP服务器

[R1-acl-adv-3000]rule permit ip source any destination any? ?放行其他客户机的网络流量

[R1]int g0/0/0.1? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?进去虚拟接口 g0/0/0.1

[R1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000? ? ? ? ? ?选择在入接口上调用列表3000

?测试

PC1登录不上FTP服务器

四：总结

知道ACL访问控制列表

?了解访问控制列表的调用方向、访问控制列表的处理原则、访问控制列表的类型