一、ACL的介绍
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。
访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。ACL技术也被称为第一代防火墙
ACL的作用:
- 限制网络流量、提高网络性能。
- 提供对通信流量的控制手段
- 提供网络安全访问的基本手段
- 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞
二、ACL的访问控制
访问控制的三要素:
- 主体:可以对其他实体施加动作的主动实体
- 客体:接受其他实体访问的被动实体
- 控制策略:主体对客体的操作行为集合约束条件集
访问控制的内容:
- 认证:主体对客体的识别认证和客体对主体检验认证
- 实现:只能访问权限内的资源,不能越权访问
- 审计:客体的管理员有操作赋予权,可以对行为进行记录
三、ACL的应用(华为设备)
ACL的分类:
分类 | 编号范围 | 参数 |
基本ACL | 2000~2999 | 源IP地址等 |
高级ACL | 3000~3999 | 源IP地址、目标IP地址、源端口、目标端口等 |
二层ACL | 4000~4999 | 源MAC地址、目标MAC地址、以太网帧协议类型等 |
ACL的配置规则:
四、ACL的实验(华为设备)
实验要求:
- 只允许总裁办公室网络访问服务器Server1
- 禁止研发部门和财务部门访问服务器Server1
实验配置:
路由器AR1的配置:
AR1:
system-view
sysname AR1
undo info enable
interface GigabitEthernet 0/0/0
ip address 192.168.10.254 24
quit
interface GigabitEthernet 0/0/1
ip address 192.168.20.254 24
quit
interface GigabitEthernet 0/0/2
ip address 10.1.1.1 24
quit
interface GigabitEthernet 4/0/0
ip address 12.1.1.1 24
quit
interface GigabitEthernet 4/0/1
ip address 192.168.30.254 24
quit
acl 3000
rule 10 permit ip source 192.168.20.0 0.0.0.255 destination 10.1.1.2 0.0.0.255
rule 20 deny ip source 192.168.10.0 0.0.0.255 destination 10.1.1.2 0.0.0.255
rule 30 deny ip source 192.168.30.0 0.0.0.255 destination 10.1.1.2 0.0.0.255
//rule 30 deny ip source any destination 10.1.1.2 0.0.0.255
interface GigabitEthernet 0/0/2
traffic-filter outbound acl 3000路由器AR2的配置:
AR2:
system-view
sysname AR2
undo info enable
interface GigabitEthernet 0/0/0
ip address 12.1.1.2 24
quit
ip route-static 0.0.0.0 0 12.1.1.1 //默认路由实验结果:
eNSP 中华为设备ACL默认规则是允许所有的IP通过,即 rule number permit ip source any any destination any
没有配置ACL之前,研发部门、总裁办公室、财务部门都可以访问服务器Server1(10.1.1.2)
配置ACL之后,研发部门、财务部门无法访问服务器Server1(10.1.1.2),总裁办公室可以访问服务器Server1
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
