Bootstrap

ACL技术原理和实验

一、ACL原理

ACL(access list)访问控制列表

步长,是指系统自动为ACL规则分配编号时,每个相邻规则编号之间的差值。也就是说,系统是根据步长值自动为ACL规则分配编号的。

图中的ACL 2000,步长就是5(默认值)。系统按照5、10、15…这样的规律为ACL规则分配编号。

ACL的缺省步长值是5。通过display acl acl-number命令,可以查看ACL规则、步长等配置信息。通过step step命令,可以修改ACL步长值。

实际上,设置步长的目的,是为了方便大家在ACL规则之间插入新的规则。

如果ACL规则之间间隔不是5,而是1(rule 1、rule 2、rule 3…),这时再想插入新的规则,该怎么办呢?只能先删除已有的规则,然后再配置新规则,最后将之前删除的规则重新配置回来。如果这样做,那付出的代价可真是太大了。

所以,通过设置ACL步长,为规则之间留下一定的空间,后续再想插入新的规则,就非常轻松了。

(1)ACL两种作用

用来对数据包做访问控制(丢弃或者放行)

结合其他协议,用来匹配范围

(2)ACL工作原理

当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。

(3)ACL种类

基本acl(2000-2999):只能匹配源ip地址。

高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。

二层ACL(4000-4999):根据数据包的源AC地址、目的MAc地址、802.1q优先级、二层协议类型等二层信息制定规则。

(4)ACL的应用原则:

基本ACL,尽量用在靠近目的点

高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)

报文到达设备时,设备从报文中提取信息,并将该信息与ACL中的规则进行匹配,只要有一条规则和报文匹配,就停止查找,称为命中规则。查找完所有规则,如果没有符合条件的规则,称为未命中规则。

ACL的规则分为“permit”(允许)规则和“deny”(拒绝)规则。

综上所述,ACL可以将报文分成二类:

• 命中“permit”规则的报文

• 命中“deny”规则的报文

二、ACL实验

  1. 实验需求

  1. 实验配置

PC1:

PC6和PC3和PC1的配置原理相同,这里就不一一截图,按照需求配置就好。

client1:

AR2配置

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip a    
[Huawei-GigabitEthernet0/0/0]ip accounting
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[Huawei-GigabitEthernet0/0/2]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]
<Huawei>undo t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit s    
[Huawei-acl-basic-2000]rule permit source 192.168.1.10 0
[Huawei-acl-basic-2000]rule d    
[Huawei-acl-basic-2000]rule deny 
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]tracert
[Huawei-GigabitEthernet0/0/1]traffic-filter o    
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
[Huawei-GigabitEthernet0/0/1]q
[Huawei]acl 3000
[Huawei-acl-adv-3000]r    
[Huawei-acl-adv-3000]reset
[Huawei-acl-adv-3000]return
[Huawei-acl-adv-3000]rule deny i    
[Huawei-acl-adv-3000]rule deny icmp s    
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.255d    
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.255 d    
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.255 destination 
92.168.3.30 0  
[Huawei-acl-adv-3000]q
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]tracert
[Huawei-GigabitEthernet0/0/0]traffic-filter inb    
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound a    
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3999
[Huawei-GigabitEthernet0/0/0]
  Please check whether system data has been changed, and save data in time
  Configuration console time out, please press any key to log on
<Huawei>
<Huawei>undo t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]acl 3001  
[Huawei-acl-adv-3001]rule permit t    
[Huawei-acl-adv-3001]rule permit tcp s      
[Huawei-acl-adv-3001]rule permit tcp source 102.168.1.30 0 destination 192.168.3
.30 0 d    
[Huawei-acl-adv-3001]rule permit tcp source 102.168.1.30 0 destination 192.168.3
.30 0 destination-port eq 80
[Huawei-acl-adv-3001]q
[Huawei]int g0/0/02
[Huawei-GigabitEthernet0/0/2]int g0/0/01
[Huawei-GigabitEthernet0/0/1]tracert
[Huawei-GigabitEthernet0/0/1]traffic-filter o    
[Huawei-GigabitEthernet0/0/1]tracert
[Huawei-GigabitEthernet0/0/1]traffic-filter o    
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound a    
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3001
Error: A simplified ACL has been applied in this view.
[Huawei-GigabitEthernet0/0/1]int g0/0/02
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3001
[Huawei-GigabitEthernet0/0/2]q
[Huawei]undo acl 3000
<Huawei>undo t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]acl 3001
[Huawei-acl-adv-3001]rule d    
[Huawei-acl-adv-3001]rule deny i    
[Huawei-acl-adv-3001]rule deny icmp s    
[Huawei-acl-adv-3001]rule deny icmp source 192.168.1.10 0d    
[Huawei-acl-adv-3001]rule deny icmp source 192.168.1.10 0 d    
[Huawei-acl-adv-3001]rule deny icmp source 192.168.1.10 0 destination192.168.3.3    
[Huawei-acl-adv-3001]rule deny icmp source 192.168.1.10 0 d    
[Huawei-acl-adv-3001]rule deny icmp source 192.168.1.10 0 destination 192.168.3.
30 0
[Huawei-acl-adv-3001]r      
[Huawei-acl-adv-3001]rule deny icmp source 192.168.1.20 0 destination 192.168.3.
30 0
[Huawei-acl-adv-3001]q

3.实验结果

第一题:pc1可以ping通pc3,而其他两个主机无法ping通。

第二题:因为整个网段被deny了,所以,两台PC和client无法ping通目标web服务器。

第三题:创建高级策略,permit client,deny其他两个PC机,所以仅有Client可以ping通web服务器。

悦读

道可道,非常道;名可名,非常名。 无名,天地之始,有名,万物之母。 故常无欲,以观其妙,常有欲,以观其徼。 此两者,同出而异名,同谓之玄,玄之又玄,众妙之门。

最新收录
风变编程课后习题答案
【嵌入式操作系统】FreeRTOS_C++_创建及LVGL相关问题
VR眼镜可视化编程:开启医疗信息系统新纪元
vue日期格式化yyyymmdd_【JavaScript 】日期时间
SVN分支/主干Merge操作小记
Modal.method() 不显示头部的问题
图像算法一 —— 相机畸变及其数学模型
图片翻译软件推荐哪些?用这6款图片翻译工具吧~
03.VUE
鸿蒙项目《查询天气》
;