目录
3、实验二:高级ACL(3000~3999)用法(单向访问)
1、ACL概述
ACL技术作用:通过定义一些列规则来允许或拒绝流量通,提高网络性能、防止网络攻击。
保障数据传输的安全可靠性和网络稳定,可定义一些列的规则对数据包进行分类并针对不同类型的报文进行不同的处理以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击可以限制网络访问。
ACL技术用法: 设置在路由器或交换机接口上,两个接口协议设置不一样时效果不一样。
- ACL由一条或多条规则组成
- 每条规则必须选择动作:允许permit或拒绝deny
- 每条规则都有一个id序列号(编号默认为5,间隔默认为5)
- 序列号越小越先进行匹配(规则序列号小的先匹配上后面的规则就不再进行匹配)
- 只要有一条规则和报文匹配,就停止查找,称为命中规则
- 查找完所有规则,如果没有符合条件的规则,称为未命中规则
- ACL只是一个流量匹配规则,必须要应用在某个接口或其他技术内才会激活
- 应用在接口时必须选择方向:入站或出站
- 不能过滤由设备自己产生的流量
实验背景:pc4为部门经理办公室,pc5、pc6、pc7为各个生产部门,pc8为财务室;各部门需要满足以下条件
- 办公室可以访问所有部门
- 三个生产部门可以互通
- 财产部门不能与其他生产部门互通
- 办公室在线时间为8:30~17:30;其他部门在线时间为8:30~20:30
基本配置
sys
//更改设备名
sys AR4
undo info enable
//配IP
int g0/0/0
ip add 192.168.3.2 24
int g0/0/1
ip add 192.168.251.1 24
int g0/0/2
ip add 192.168.4.1 24
//配置路由协议
rip 1
version 2
network 192.168.3.0
network 192.168.251.0
network 192.168.4.0
//pc机配置
pc4:
ip 192.168.4.10
gw 192.168.4.1
pc5:
ip 192.168.251.10
gw:192.168.251.1
pc6:
ip 192.168.251.20
gw:192.168.251.1
pc7:
ip 192.168.251.30
gw:192.168.251.1
pc8:
ip 192.168.251.40
gw:192.168.251.1
所有实验都基于此topo
2、实验一:基本ACL(2000~2999)用法
基本ACL可以实现财政部门不能与其他三个部门互通。
各部门配完IP,以及路由协议后都能互通,如下所示:
配置ACL规则:
//在LSW4上配置ACL规则,将其部署在pc5、pc6、pc7三个部门对应的端口上
acl 2000
rule deny source 192.168.251.40 0
traffic-filter outbound acl 2000
完成pc5、pc6、pc7互通,pc8独立
3、实验二:高级ACL(3000~3999)用法(单向访问)
实现pc4可以访问pc5~pc8,反之则不行
当前未配置时可互通,如下所示:
配置ACL规则
//在AR4上配置ACL规则,并在接口上调用
acl 3000
//允许员工到办公室的syn+ack报文通过,即允许对办公室发起的TCP连接进行回应
rule 10 permit tcp source 192.168.251.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 tcp-flag syn ack
//拒绝员工到办公室的syn请求报文通过,防止员工主动发起TCP连接
rule 20 deny tcp source 192.168.251.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 tcp-flag syn
//拒绝员工到办公室的echo请求报文通过,防止员工主动发起ping连通性测试。
rule 30 deny icmp source 192.168.251.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 icmp-type echo
interface g0/0/1
traffic-filter inbound acl 3000
4、实验三:ACL时间设定
//配置时间段名字为‘office’,设定时间为工作日的早上八点到下午五点
time-range office 8:30 to 17:30 working-day
acl 3001
//对192.168.4.1网络使用规则
rule 10 permit ip source 192.168.4.1 0 time-range office
//在对应端口调用
int g0/0/2
traffic-filter inbound acl 3001
//配置员工的时间段
time-range staff 8:30 to 20:30 working-day
acl 3002
rule 10 permit ip source 192.168.251.1 0 time-range staff
//在对应端口调用
int g0/0/1
traffic-filter inbound acl 3002