今天給大家分享一下關于ACL訪問控制技術的實驗,内容相對簡單,很适合一些剛開始學習不久的朋友,學習過的也可以當作知識點重溫一下!
ACL訪問控制技術訪問控制列表(Access Control Lists,ACL)是一種由一條或多條指令的集合,指令裡面可以是報文的源地址、目标地址、協議類型、端口号等,根據這些指令設備來判斷哪些數據接收,哪些數據需要拒絕接收。它類似于一種數據包過濾器。
從而可以實現對網絡訪問行為的控制、限制網絡流量、提高網絡性能、防止網絡攻擊等等。
如圖:可以通過配置ACL來實現限制主機A、主機B訪問互聯網,限制主機C、主機D訪問服務器。
ACL結構ACL是由一系列permit(允許)或deny(拒絕)語句組成的有序規則的列表,它單獨是無法使用的,需要應用在業務模塊中才能生效,如在NAT中調用、在防火牆的策略部署中被調用、在路由策略中被調用和用來通過流量過濾。
ACL組成如上圖所示:訪問控制列表編号:在配置ACL時,每個ACL都會分配一個編号,不同編号代表不同的ACL;規則:一個ACL通常由一條或多條“permit/deny”語句組成,一條語句就是一條規則;規則編号:每條規則都有一個相應的編号,用來标識ACL規則,可以由用戶指定;動作:permit代表允許,deny代表拒絕,用來給規則設定相應動作;匹配項:可以是源MAC地址、目的MAC,目的地址、協議類型等。
如:rule 10 permit source 1.1.1.0 0.0.0.255代表:規則10允許源地址為1.1.1.0/24網段地址的報文通過。
ACL分類基本ACL ( 2000-2999) :用報文的源IP地址、分片時間和生效時間段來定義規則。高級ACL ( 3000-3999) :可以匹配源ip、目标ip、 源端口、目标端口等三層和四層的字段。二層ACL (4000-4999) :根據數據包的源MAC地址、目的MAC地址、802.1p優先級、二層協議類型等二層信息制定規則。用戶自定義ACL(5000-5999):使用報文頭、偏移位置、字符串掩碼、用戶自定義字符串來定義規則。用戶ACL(6000-6999):可用IP報文的源/目标IP地址、IP協議類型、ICMP類型、端口來定義規則;
ACL應用原則
ACL匹配位置:inbound和outbound基本ACL盡量用在靠近目的端高級ACL盡量用在靠近源端的地方(可以保護帶寬和其他資源)
ACL匹配機制
**ACL的匹配機制概括來說就是: **配置ACL的設備接收報文後,會将該報文與ACL中的規則逐條進行匹配,如果不能匹 配上,就會繼續嘗試去匹配下一條規則。一旦匹配上,則設備會對該報文執行這條規則中定義的處理動作,并且不再繼續嘗試 與後續規則匹配。在存在多條規則的情況下,ACL會訪問優先級最編号最小的規則。
ACL實驗配置實驗拓撲:
使用基本ACL進行數據過濾實驗目的:部署基本ACL實現數據過濾實現PC1無法訪問PC3拓撲如圖所示:
(1)在AR1上配置如下:
<Huawei>sys[Huawei]sysname AR1[AR1]int g0/0/0[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 //配置端口IP[AR1-GigabitEthernet0/0/0]int g0/0/1[AR1-GigabitEthernet0/0/1]ip add 192.168.3.1 24[AR1]rip //使用動态路由協議RIP[AR1-rip-1]version 2 //RIP版本為RIPv2[AR1-rip-1]network 192.168.1.0 //宣告192.168.1.0網段[AR1-rip-1]network 192.168.3.0 //宣告192.168.3.0網段
(2)在AR2上配置如下:
<Huawei>sys[Huawei]un in en[Huawei]sysname AR2[AR2]int g0/0/1[AR2-GigabitEthernet0/0/1]ip add 192.168.3.2 24[AR2-GigabitEthernet0/0/1]int g0/0/2[AR2-GigabitEthernet0/0/2]ip add 192.168.4.2 24
[AR2-GigabitEthernet0/0/1]int g0/0/0[AR2-GigabitEthernet0/0/0]ip add 192.168.2.254 24[AR2]rip[AR2-rip-1]version 2[AR2-rip-1]net 192.168.2.0[AR2-rip-1]net 192.168.3.0[AR2-rip-1]net 192.168.4.0
(3)在AR3上配置如下:
[Huawei]int g0/0/0[Huawei-GigabitEthernet0/0/0]ip add 192.168.4.3 24[Huawei-GigabitEthernet0/0/0]int g0/0/1[Huawei-GigabitEthernet0/0/1]ip add 192.168.5.254 24[Huawei]rip[Huawei-rip-1]version 2[Huawei-rip-1]net 192.168.4.0[Huawei-rip-1]net 192.168.5.0
(4)在各PC上配置相關IP地址和網關(5)測試PC1與PC3的連通性
(6)在AR3上配置ACL
[Huawei]acl 2000 //創建基本ACL,編号為2001[Huawei-acl-basic-2000]rule deny source 192.168.1.1 0//規則(默認為5)拒絕192.168.1.1IP地址訪問[Huawei-acl-basic-2000]int g0/0/1[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000//在端口g0/0/1上應用ACL2000,設置在outbound方向
(7)配置ACL後,測試PC1與PC3的連通性
,
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
