華為裝置的ACL

2021-09-17 04:34:08 字數 4250 閱讀 3447

acl(access control list)就是為了控制訪問許可權,是應用在路由器介面的指令列表。

他是根據提前設定的一系列規則來控制流量的出入,通常是對第三層第四層的資料報的某些字段進行過濾,從而到達訪問控制。五個元素可以概況,源位址,目標位址,源埠,目標埠,udp或tcp。

分類和編號範圍

引數普通acl(2000-2999)

原ip位址

高階acl(3000-3999)

原/目的ip、源/目的埠、協議型別

因為acl是指定流量控制,所以在做之前了解明細的需求是非常有必要的。

乙個演示的小實驗需求:

要求pc1不能和server通訊,其它的都通。

[r5]acl 2000    //普通acl


[r5-acl-basic-2000] rule 5 deny source 192.168.1.1 0.0.0.0 //規則5,可以插入很多規則哦。不會打問號


[r5-gigabitethernet0/0/0]traffic-filter outbound acl 2000 //進介面,出站流量過濾進入該acl規則


//這一步各個機器互相ping


[r5]display acl all //然後檢視acl


total quantity of nonempty acl number is 1 


basic acl 2000, 1 rule


acl's step is 5


rule 5 deny source 192.168.1.1 0 (5 matches) //ping了5次,5次都被匹配到。成功
注意出站和入站的設計哦,如果在1介面入站控制的話,那2.1都不通哦。對於基本acl,再呼叫時,盡量呼叫在距離目標較近的地方我們其實發現,對於2000-2999的基本acl,僅是匹配原目標的ip位址。匹配非常不精確。那麼對於高階acl是可以匹配唯一的資料流的。和普通acl不同,我們都建議將高階acl放在距離源較近的地方注意:wildcard:就是我們acl的ip位址後面跟著的萬用字元。一樣是32位,只要是0就檢查對應的ip位址,1就不會檢查。比如說acl拒絕10.10.10.1訪問20.20.20.0網段。那麼wildcard就是0.0.0.255acl號下,規則是按照從小到大匹配的。最開始的一條無法匹配就看下一條。設定規則時要注意避免需求混淆順序或者衝突。

acl控制不能控制本裝置發出的流量。沒有人會主動把自己搞死。

acl的呼叫命令traffic-filter下,隱含著允許所有在最後,就是說如果規則匹配都沒有匹配到,那麼我就會允許你過去。而其他的情況下都是隱含著拒絕所有!

例項題目寫在了圖中。圖中的各個裝置都已經配置好。(靜態路由別忘了)

我們在全網ping通的基礎之上來分析和逐步實現需求。

1.r1只允許網管遠端登陸。

—》對r1裝置建立認證和acl:

[r1]acl 2000           //建立普通acl就好


[r1-acl-basic-2000]rule 5 permit source 192.168.1.1 0.0.0.0 //僅允許網管ip


[r1]user-inte***ce vty 0 4 


[r1-ui-vty0-4]acl 2000 inbound //在管理配置呼叫該acl**(注意這個是在vty裡面設定,不可以在介面!)**


[r1-ui-vty0-4]authentication-mode aaa //啟用3a認證


[r1-ui-vty0-4]user privilege level 15 


[r1-ui-vty0-4]aaa


[r1-aaa]local-user sean password cipher 123


[r1-aaa]local-user sean service-type telnet
—》驗證:

網管設定可以遠端

其他裝置無法遠端

2.研發和財務不能互通

[r2-acl-adv-3000]rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 


[r2-acl-adv-3000]q


[r2]int g0/0/2 //進介面呼叫


[r2-gigabitethernet0/0/2]traffic-filter inbound acl 3000


[r2]dis acl all


total quantity of nonempty acl number is 1 


advanced acl 3000, 1 rule


acl's step is 5


rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 (10 matches) //ping了十次都匹配了。成功
3.財務不能訪問client1

inte***ce gigabitethernet0/0/1


ip address 192.168.3.254 255.255.255.0 


traffic-filter inbound acl 3000


#return


[r3-gigabitethernet0/0/1]q


[r3]dis acl all


total quantity of nonempty acl number is 1 


advanced acl 3000, 1 rule


acl's step is 5


rule 10 deny ip source 192.168.3.1 0 destination 192.168.5.1 0
4.研發和財務只能訪問server1的www服務只有網管可以訪問server1的所有服務

[r3]acl 3001


[r3-acl-adv-3001]rule 10 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.4.1 0 destination-port eq 80


[r3-acl-adv-3001]rule 20 permit tcp source 192.168.3.1 0.0.0.255 destination 192.168.4.1 0 destination-port eq 80


[r3-acl-adv-3001]rule 30 permit ip source 192.168.1.1 0 destination 192.168.4.1 0


[r3-acl-adv-3001]rule 40 deny ip source any destination any


[r3-acl-adv-3001]inte***ce g0/0/2 


[r3-gigabitethernet0/0/2] traffic-filter outbound acl 3001
acl配置一般思路:確定配置裝置

確定配置介面

確定資料風向

建立acl

呼叫acl

驗證與測試

華為ACL匹配規則

華為3com的acl一直一來都比較麻煩,不同版本 不同型號的裝置都有些不同。下面我以3900裝置為例,說明acl的配置和執行技巧。總結一句話 rule排列規則和auto config模式有關,而匹配順序則和acl應用環境和下發到埠的循序有關。規律說明 1 acl可以分為auto模式和config模式...

ensp 華為acl配置

訪問控制列表 acl 訪問控制列表 acl 是一種基於包過濾的訪問控制技術。它可以根據設定的條件對介面上的資料報進行過濾,允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機。借助於訪問控制列表可以有效地控制使用者對網路的訪問,從而最大程度地保障網路安全。acl作用 1,限制網路流量 提高...

華為6506下的ACL配置

sw6506 qosb gigabitethernet4 0 43 packet filter inbound ip 2xjdzj sw s6506 01 qosb gigabitethernet4 0 43 packet filter inbound ip group 4012 將acl應用到介面...