基础和高级的ACL的基础配置和原理

简介: 基础和高级的ACL的基础配置和原理

基础和高级的ACL的基础配置和原理


需求


  • 如图配置设备的IP地址
  • 售后服务部不允许访问财务部服务器,但是可以访问其他的网段

拓扑图

配置思路

  • 配置终端设备
  • 终端PC
  • 服务器
  • 交换机
  • 路由器
  • 配置策略
  • 确定配置策略的设备
  • 创建ACL
  • 确定调用ACL的端口和方向
  • 调用ACL
  • 验证ACL
  • 验证终端互访是否满足项目要求

配置命令

  • 基础配置
PC1:
192.168.1.1
255.255.255.0
192.168.1.254
PC2:
192.168.2.1
255.255.255.0
192.168.2.254
Server1:
192.168.3.1
255.255.255.0
192.168.3.254
SW1:
undo terminal monitor
system-view
sysname SW1
vlan 10
quit
interface gi0/0/1
port link-type access
port default vlan 10 
quit
interface gi0/0/2
port link-type access
port default vlan 10 
quit
SW2:
undo terminal monitor
system-view
sysname SW2
vlan 20
quit
interface gi0/0/1
port link-type access
port default vlan 20 
quit
interface gi0/0/2
port link-type access
port default vlan 20 
quit
R1:
undo terminal monitor
system-view
sysname R1
interface gi0/0/0
ip address 192.168.12.1 24
quit
interface gi0/0/1
ip address 192.168.1.254 24
quit
ip route-static 192.168.2.0 24  192.168.12.2 // 路由不能忘
ip route-static 192.168.3.0 24  192.168.12.2
R2:
undo terminal monitor
system-view
sysname R2
interface gi0/0/0
ip address 192.168.12.2 24
quit
interface gi0/0/1
ip address 192.168.2.254 24
quit
interface gi0/0/2
ip address 192.168.3.254 24
quit
ip route-static 192.168.1.0 24  192.168.12.1  // 路由不能忘
  • ACL 设置
R2:
 acl 2001
  rule 10 deny source 192.168.1.1 0.0.0.0
  //该“规则”表示的是:
    检查数据包的“源IP地址”(因为写了source)的4个字节(因为通配符是 0.0.0.0)
    数据包的源IP地址必须是 192.168.1.1 (因为规则中写了 192.168.1.1)
    数据匹配住以后,直接执行“拒绝动作”(因为规则中写了 deny)
  quit 
 interface gi0/0/2
   traffic-filter outbound acl 2001  // 华为设备  ACL 与 traffic-filter 连用 默认允许所有
   // 对于该端口而言,要进行流量过滤(因为写了 traffic-filter)
                          仅仅对于出方向的流量起作用(因为写了 outbound)
                          在出方向的流量中,存在很多流量,但是仅仅关注ACL2000匹配的流量
                          如果匹配成功的,则拒绝“出去”。                                
   quit

验证

  • 添加ACL之前

  • 添加ACL之后

  • 验证ACL
display acl all -> 查看设备上创建的所有的ACL
display traffic-filter applied-record -> 查看ACL在接口上的调用情况


总结


ACL 类型


2层ACL

这种类型的ACL,只能检查数据的2层头部

表示ACL,如果通过ID表示的话,那么取值范围是 4000 ~ 4999

基本ACL只能匹配数据的源IP地址,所以匹配数据非常的不精准

为了实现精确的数据匹配,在使用基本ACL时,尽量调用在距离目标设备近的地方

3层ACL

这种类型的ACL,可以检查数据的3层头部以及4层头部

基本ACL:只能检查数据的3层头部的源IP地址

表示ACL,如果通过ID表示的话,那么取值范围是 2000 ~ 2999

高级ACL:可以检查数据的3层头部的源IP地址、目标IP地址、协议号以及4层头部的源端口和目标端口号

表示ACL,如果通过ID表示的花,那么取值范围是 3000~3999

ACL,称之为 access control list ,即访问 控制 列表 。

该列表中,包含了很多的“规则”。


每个规则都对应着一个动作,这个动作通常就分为两种:允许(permit) 和 拒绝(deny)


如果数据和这个规则描述的相同,称之为匹配住了该规则,此时才能执行“动作”


如果数据和这个规则描述的不同,称之为没有匹配住规则,此时不能执行“动作”


但是,每个“列表”中,通常都会存在一个 默认规则 。

目录
相关文章
|
25天前
|
存储 NoSQL 关系型数据库
从基础到高级应用的全面解析
【10月更文挑战第17天】从基础到高级应用的全面解析
21 0
|
存储 关系型数据库 MySQL
【.NET Core项目实战-统一认证平台】第四章 网关篇-数据库存储配置(2)
原文:【.NET Core项目实战-统一认证平台】第四章 网关篇-数据库存储配置(2) 【.NET Core项目实战-统一认证平台】开篇及目录索引 上篇文章我们介绍了如何扩展Ocelot网关,并实现数据库存储,然后测试了网关的路由功能,一切都是那么顺利,但是有一个问题未解决,就是如果网关配置信息发生变更时如何生效?以及我使用其他数据库存储如何快速实现?本篇就这两个问题展开讲解,用到的文档及源码将会在GitHub上开源,每篇的源代码我将用分支的方式管理,本篇使用的分支为course2。
1309 0
|
6月前
|
网络协议 测试技术 数据安全/隐私保护
ensp中高级acl (控制列表) 原理和配置命令 (详解)
ensp中高级acl (控制列表) 原理和配置命令 (详解)
315 0
|
数据安全/隐私保护
基础和高级的ACL的基础配置和原理2
基础和高级的ACL的基础配置和原理2
64 0
|
数据安全/隐私保护
基础和高级的ACL的基础配置和原理
基础和高级的ACL的基础配置和原理
|
网络协议 网络虚拟化 网络架构
路由与交换系列高级IP ACL特性与配置实验
• 掌握高级 IP ACL的原理 • 掌握ACL在企业网络中的应用 • 掌握高级IP ACL的配置方式 • 掌握高级IP ACL的验证效果
334 1
|
网络协议 网络虚拟化 网络架构
路由与交换系列高级IP ACL特性与配置实验二
• 掌握高级 IP ACL的原理 • 掌握ACL在企业网络中的应用 • 掌握高级IP ACL的配置方式 • 掌握高级IP ACL的验证效果
234 1
|
网络协议 安全 网络安全
ACL:是什么?目的?使用场景?
ACL:是什么?目的?使用场景?
1405 0
ACL:是什么?目的?使用场景?
|
存储 中间件 测试技术
【.NET Core项目实战-统一认证平台】第三章 网关篇-数据库存储配置(1)
原文:【.NET Core项目实战-统一认证平台】第三章 网关篇-数据库存储配置(1) 【.NET Core项目实战-统一认证平台】开篇及目录索引 本篇将介绍如何扩展Ocelot中间件实现自定义网关,并使用2种不同数据库来演示Ocelot配置信息存储和动态更新功能,内容也是从实际设计出发来编写我们自己的中间件,本文内容涵盖设计思想内容和代码内容,我希望园友们最好跟着我这个文章的思路先理解好后再看源代码,这样有利于融会贯通,本篇的文档及源码将会在GitHub上开源,每篇的源代码我将用分支的方式管理,本篇使用的分支为course1。
1460 0
|
缓存 中间件 测试技术
【.NET Core项目实战-统一认证平台】第六章 网关篇-自定义客户端授权
原文:【.NET Core项目实战-统一认证平台】第六章 网关篇-自定义客户端授权 【.NET Core项目实战-统一认证平台】开篇及目录索引 上篇文章我们介绍了网关使用Redis进行缓存,并介绍了如何进行缓存实现,缓存信息清理接口的使用。
1469 0