目录
ACL 访问控制列表
ACL分类
ACL的组成
ACL匹配机制
ACL调用方式
实验配置
不允许PC1访问PC4
只允许PC1访问PC4
高级ACL
基本概念
实验配置 限制ping
实验配置 限制DNS
基于时间的ACL
实验配置
ACL 访问控制列表
根据一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现网络访问行为的控制、限制网络流量,提高网络性能、防止网络攻击。
ACL分类
| 分类 | 编号范围 | 功能概述 |
| 基于接口的ACL | 编号范围是1000~1999 | 根据报文的入接口对报文进行过滤 |
| 基本ACL | 编号范围是2000~2999 | 根据源地址对报文进行过滤 |
| 高级ACL | 编号范围是3000~3999 | 根据源/目的地址、源/目的端口号、协议类型等对报文进行过滤 |
| 二层ACL | 编号范围是4000~4999 | 根据源MAC地址、目的MAC地址和以太帧协议类型等二层信息对报文进行过滤 |
| 用户ACL UCL(User ACL) | 编号范围是6000~9999 | 根据报文的源IP地址、源业务组、源用户组、源端口号、目的IP地址、目的业务组、目的用户组、目的端口号、协议类型等内容定义规则,实现对报文的匹配过滤 |
| 基于MPLS的ACL | 编号范围是10000~10999 | 根据MPLS报文的Exp值、Label值、TTL值对报文进行过滤 |
经常使用的是基本ACL和高级ACL。
ACL的组成
比如:rule deny source 192.168.1.12 0.0.0.0
- 其中的0.0.0.0 不是子网掩码而是通配符掩码,并不是区分网络号和主机号的,0.0.0.0可以简写成0
- 通配符掩码用来告诉路由器,需要检查IP地址中的多少位(可以不是连续的1)
- 0表示需要检查的位,1表示不需要检查的位 0->感兴趣 1->不感兴趣
- 192.168.1.12 0.0.0.0表示精确匹配这个IP地址,而如果是0.0.0.0 255.255.255.255表示匹配所有(any)
- 如果精确匹配最后一段是奇数的地址,那么最后1bit肯定是1,所以可以写成例如192.168.1.1 0.0.0.254 的样式
通配符掩码可以是不是连续的0或者1,如图
ACL匹配机制
ACL调用方式
ACL调用分为inbound方向和outbound方向,inbound方向调用是先调用后路由,outbound方向调用是先路由后调用。
如果数据流方向如下图,那么在F0/0处就是IN方向,在F0/1就是OUT方向。
如果数据流方向如下图,那么就是反过来,在F0/1口是IN方向,在F0/0口是OUT方向。
实验配置
- 确定部署位置
- 匹配对应流量
- 决定调用方向
- 查看以及测试
不允许PC1访问PC4
第一步:确定部署位置
现在PC1 不允许访问PC4,控制肯定是在数据包的必经之路上,所以可以在R1和R2上配置,但是我们一般采用靠近源的位置进行配置,这个为了集中化部署。
我们选择R1上配置,但是R1上有俩个接口,G0/0/1和G0/0/2。选择G0/0/1,在数据的流向上,就是inbound入方向;选择G0/0/2,在数据的流向上,就是outbound出方向;一般我们还是采用靠近源的位置进行配置。
确认部署位置为R1的G0/0/1口。
第二步:匹配对应流量
[AR1]acl 2000
[AR1-acl-basic-2000]rule 5 deny source 192.168.1.11 0.0.0.0
[AR1-acl-basic-2000]rule permit source any
第三步:决定调用方式
[AR1] interface GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1] traffic-filter inbound acl 2000
第四步:查看和测试
查看ACL [AR1] display acl 2000
[AR1]display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 deny source 192.168.1.12 0
rule 10 permit (5 matches)
查看流量模板的应用 [AR1]display traffic-filter applied-record
[AR1]display traffic-filter applied-record
-----------------------------------------------------------
Interface Direction AppliedRecord
-----------------------------------------------------------
GigabitEthernet0/0/1 inbound acl 200
第五步:如何删除
删除的时候,使用rule 的编号进行删除
[AR1] acl 2000
[AR1-acl-basic-2000] undo rule 5
或者 删除所有的ACL
[AR1]undo acl all
Info: Now deleting all ACL configurations, please wait......
Deleting operation has finished!
只允许PC1访问PC4
第一步:确定部署位置
题目要求只允许PC1访问PC4,也就意味着剩余的PC2和PC3是不能访问PC4的,但PC1.PC2,PC3之间的通信应该是不受影响的,所以部署位置在R1的GE0/0/2或者R2的两侧接口处。我们一般选择靠近源的位置,也就是R1的G0/0/2口。
第二步:匹配对应流量
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.1.11 0
[AR1-acl-basic-2000]rule deny source any
第三步:决定调用方式
[AR1]interface GigabitEthernet 0/0/2
[AR1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
第四步:查看和测试
[AR1]display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 permit source 192.168.1.1 0
rule 10 deny (62 matches)
[AR1]display traffic-filter applied-record
-----------------------------------------------------------
Interface Direction AppliedRecord
-----------------------------------------------------------
GigabitEthernet0/0/2 outbound acl 2000
-----------------------------------------------------------
高级ACL
基本概念
高级ACL可以针对数据包的源、目的IP地址、协议类型、源目的端口号等元素进行匹配
- 使用编号创建一个高级ACL,并进入ACL视图:
[Huawei] acl num
[Huawei-acl-adv-num]
高级ACL编号的范围是3000~3999。
- 根据IP配置高级ACL规则:
[Huawei-acl-adv-num] rule 5 {permit/deny} ip source src-address wildcard destination dst-address wildcard
除了IP协议,高级ACL还能根据IP承载的上层协议信息进行匹配,例如TCP、UDP、ICMP等等。
ACL配置:操作符的含义
| 操作符及语法 | 含义 |
| equal portnumber | 等于端口号 portnumber |
| greater-than portnumber | 大于端口号 portnumber |
| less-than portnumber | 小于端口号 portnumber |
| not-equal portnumber | 不等于端口号 portnumber |
| range portnumber1 portnumber2 | 介于端口号 portnumber1和portnumber2之间 |
实验配置 限制ping
在PC1和PC2都可以访问Server1和Server2的情况下,限制PC2 ping Server2,放行其他流量
1.配置ACL 匹配对应流量
[AR1]acl 3000
[AR1-acl-adv-3000]rule deny ip source 192.168.1.2 0 destination 10.1.1.2 0 icmp-type echo#echo 和 echo reply 不同,如果都被限制,那么Server2也无法ping PC2,所以不能限制echo reply
[AR1-acl-adv-3000]rule permit ip
2.接口进行调用
[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
实验配置 限制DNS
在PC1和PC2都可以访问Server1和Server2的情况下,限制PC2访问Server2的DNS服务,放行其他流量
- DNS使用的是UDP服务
- DNS的传输层端口号是53
[AR1]acl 3000
[AR1-acl-adv-3000]rule deny UDP source 192.168.1.2 0 destination 10.1.1.2 0 dest ination-port eq 53
[AR1-acl-adv-3000]rule permit ip
[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
基于时间的ACL
命令规范
time-range time-name [ { time1 to time2 { days } | from time1 date1 [ to time2 date2 ] } ]
time-name 指定时间段的名称。
| time-name | 指定时间段的名称 |
| time1 | 指定时间段的开始时间 |
| to time2 | 指定时间段的结束时间 |
| days | 指定时间段在周几有效 |
| from time1 date1 | 指定时间段从某一天某一时间开始 |
| to time2 date2 | 指定时间段到某一天某一时间结束。 结束时间必须大于起始时间。 |
举例
- time-range test 14:00 to 18:00 off-day
- 配置时间段test,在周末下午14:00到18:00生效
- time-range test from 08:30 2013/1/1 to 18:00 2013/12/31
- 配置时间段test,从2013年1月1日早上8点半开始生效,2013年12月31日晚上6点停止生效
实验配置
规定员工在上班时间(周一到周五8:00-17:00)不能浏览taobao网站
1.创建时间范围 time-range
[AR1]time-range working-time 8:00 to 17:00 working-day
2.配置基于时间的ACL
[AR1]acl 3000
[AR1-acl-adv-3000]rule 4 deny tcp source 192.168.1.0 0.0.0.255 time-range working-time destination 10.1.1.1 0 destination-port eq 80
[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000