目录
ACL综合案例
前言
访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。
一、acl的概念
1、acl的作用
读取第三层、第四层包头信息
根据预先定义好的规则对包进行过滤
2、acl的分类
(1)标准访问控制列表
基于源IP地址过滤数据包,标准访问控制列表的访问控制列表号是1 ~ 99。
(2)扩展访问控制列表
基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包,扩展访问控制列表的访问控制列表号是100~ 199。
(3)命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用,名称代替表号。
二、案例拓扑
ACL综合拓扑
图中pc1和pc3都属于vlan10 ,pc2和pc4属于vlan20,要求全网互通的情况下,pc1不能访问pc2,pc1不能访问服务器的ftp服务。
各设备的配置如下
LSW1
<Huawei>undo terminal monitor ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?关闭弹窗
<Huawei>sys ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?用户视图
[Huawei]sysname LSW1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?更改LSW1?
[LSW1]user-interface console 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 用不超时 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??
[LSW1-ui-console0]id 0 0
[LSW1-ui-console0]q ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?退回到上一级
[LSW1]vlan batch 10 20 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?创建vlan10、20
[LSW1]int e0/0/1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 进入e0/0/1接口
[LSW1-Ethernet0/0/1]port link-type access ? ? ? ? ? ? ? ? ? ? ?选择access模式
[LSW1-Ethernet0/0/1]port default vlan 10 ? ? ? ? ? ? ? ? ? ? ? ?划给vlan10
[LSW1-Ethernet0/0/1]int e0/0/2 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 进入e0/0/2接口
[LSW1-Ethernet0/0/2]port link-type access ? ? ? ? ? ? ? ? ? ? 选择access模式
[LSW1-Ethernet0/0/2]port default vlan 20 ? ? ? ? ? ? ? ? ? ? ? ?划给vlan20
[LSW1-Ethernet0/0/2]int e0/0/3 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 进入e0/0/3接口 ? ? ??
[LSW1-Ethernet0/0/3]port link-type access ? ? ? ? ? ? ? ? ? ?选择access模式
[LSW1-Ethernet0/0/3]port default vlan 10 ? ? ? ? ? ? ? ? ? ? ? ?划给vlan10
[LSW1-Ethernet0/0/3]int e0/0/4 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 进入e0/0/4接口 ? ?
[LSW1-Ethernet0/0/4]port link-type access ? ? ? ? ? ? ? ? ? ? 选择access模式
[LSW1-Ethernet0/0/4]port default vlan 20 ? ? ? ? ? ? ? ? ? ? 划给vlan20
[LSW1-Ethernet0/0/4]q ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?退回到上一级
[LSW1]int g0/0/1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 进入g0/0/1接口 ?
[LSW1-GigabitEthernet0/0/1]port link-type trunk ? ? ? ? 选择trunk模式
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all ? 允许所有标签流量通过
AR1
<Huawei>undo terminal monitor ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?关闭弹窗?
<Huawei>sys ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?用户视图
[Huawei]sysname AR1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 更改用户名为AR1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??
[AR1]user-interface console 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 永不超时
[AR1-ui-console0]id 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ??
[AR1-ui-console0]q ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?退回上一级
[AR1]int g0/0/0.1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 进入 g0/0/0.1接口
[AR1-GigabitEthernet0/0/0.1]dot1q termination vid 10 ? ?分装协议号 vid10
[AR1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 ? ? ? ?配置ip地址192.168.10.1/24
[AR1-GigabitEthernet0/0/0.1]un sh ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 激活端口
[AR1-GigabitEthernet0/0/0.1]int g0/0/0.2 ? ? ? ? ? ? ? ? ? ? ? ? ?进入 g0/0/0.2接口
[AR1-GigabitEthernet0/0/0.2]dot1q termination vid 20 ? ? 分装协议号 vid20
[AR1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24 ? ? ? ? ?配置ip地址192.168.20.1/24
[AR1-GigabitEthernet0/0/0.2]un sh ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 激活端口
[AR1-GigabitEthernet0/0/0.2]int g0/0/0.1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? 进入 g0/0/0.1接口 ??
[AR1-GigabitEthernet0/0/0.1]arp broadcast enable ? ? ? ? ? ? ? 开启arp广播
[AR1-GigabitEthernet0/0/0.1]int g0/0/0.2 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?进入 g0/0/0.2接口 ? ? ? ? ? ? ? ? ? ? ?
[AR1-GigabitEthernet0/0/0.2]arp broadcast enable ? ? ? ? ? ? ? ?开启arp广播 ?
[AR1-GigabitEthernet0/0/0.2]int g0/0/1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 进入 g0/0/1接口 ? ? ? ? ? ? ?
[AR1-GigabitEthernet0/0/1]ip add 10.1.1.1 24 ? ? ? ? ? ? ? ? ? ?配置ip地址10.1.1.1/24 ?
[AR1-GigabitEthernet0/0/1]un sh ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 激活端口?
[AR1-GigabitEthernet0/0/1]q ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 退回上一级?
[AR1]ip route-static 10.1.2.0 24 10.1.1.2 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?获取10.1.2.0的地址,下一跳地址10.1.1.2
[AR1]acl 2000 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?进入 acl 2000
[AR1-acl-basic-2000]rule 5 deny source 192.168.10.10 0.0.0.0 ?拒绝192.168.10.10 流量通过
[AR1-acl-basic-2000]rule 10 permit source ?any ? ? ? ? ? ? ? ? ? ? ? ?允许其他流量通过
[AR1-acl-basic-2000]q ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?退回到上一级
[AR1]int g0/0/0.2 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 进入 g0/0/0.2接口 ? ? ? ??
[AR1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000 ? ?应用acl 2000
[AR1]acl 3000 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 进入acl3000
[AR1-acl-adv-3000]rule 5 deny tcp source 192.168.10.10 0.0.0.0 destination 10.1.
2.254 0.0.0.0 destination-port eq 21 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 拒绝192.168.10.10访问10.1.2.254 的ftp服务
[AR1-acl-adv-3000]rule 10 permit ip source any destination any ? ? 允许所有其他流量通过 ?
[AR1-acl-adv-3000]q ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 退回到上一级
[AR1]int g0/0/0.1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 进入 g0/0/0.1接口 ?
[AR1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000 ? ? ? ? ? ? ?应用acl 2000
AR2
<Huawei>undo terminal monitor ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 关闭弹窗 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??
<Huawei>sys ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?用户视图 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
[Huawei]sysname AR2
[AR2]user-interface console 0
[AR2-ui-console0]id 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?永不超时
[AR2-ui-console0]q ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?退回到上一级
[AR2]int g0/0/0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?进入g0/0/0接口
[AR2-GigabitEthernet0/0/0]ip add 10.1.1.2 24 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 配置ip地址10.1.1.2/24 ? ? ? ? ? ? ? ??
[AR2-GigabitEthernet0/0/0]un sh ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 激活端口
[AR2-GigabitEthernet0/0/0]int g0/0/1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?进入g0/0/1接口 ? ??
[AR2-GigabitEthernet0/0/1]ip add 10.1.2.1 24 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?配置ip地址10.1.2.1/24 ? ? ?
[AR2-GigabitEthernet0/0/1]un sh ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?激活端口
[AR2-GigabitEthernet0/0/1]q ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?退回到上一级
[AR2]ip route-static 192.168.10.0 24 10.1.1.1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?获取192.168.10.0的地址,下一跳地址10.1.1.1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??
[AR2]ip route-static 192.168.20.0 24 10.1.1.1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 获取192.168.20.0的地址,下一跳地址10.1.1.1 ??
?
?验证pc1无法访问pc2第一个要求验证成功
?验证pc1无法访问服务器的ftp服务第二个要求验证成功。
总结
?合理使用访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。