配置ACL在網路服務中訪問控制

weixin_50345481發表於2020-11-07

文章目錄

前言

通過ACL訪問控制可以針對特定的物件進行訪問限制,控制其訪問是否有效

一 ACL(訪問控制列表)

1.1 ACL分類

標準ACL 列表號:2000-2999 
擴充ACL 列表號:3000-3999
命名ACL :包含標準ACL.擴充套件ACL   命名行號

1.2 ACL的作用

讀取第三層,第四層包頭資訊
根據預先定義好的的規則對包進行過濾

第三層 過濾資訊 包含IP,通訊地址
第四層 過濾包含協議和埠,(TCP ,UDP 協議)
標準ACL:只能過濾源IP地址
擴充套件ACL:能過濾源目IP,源目埠號,指定協議(TCP,UDP)

在這裡插入圖片描述

1.3 ACL使用規則

1.定義列表內容
2.呼叫  在介面下
       在程式下

1.4 訪問控制列表在介面應用的方向

出:語句過路由器的處理,正離開路由器介面的資料包
入:已到達路由器介面的資料包,將被路由器處理

入:對本機生效
出:對本機不生效,對下臺機器生效

在這裡插入圖片描述
在這裡插入圖片描述

標準列表--應該將列表放進靠近目標的地方

不允許VLAN10 與 VLAN20通訊

因為通訊是雙向的,因而只要阻止一個方向將可以完成不能通訊的目的

在AR2上做的ACL列表如下:
在這裡插入圖片描述
抓的是源地址 192.168.10.0

1.5 ACL執行的過程

順序執行.若有一條匹配上,則執行結束後,直接退出
若所有的語句都沒有匹配上,則執行隱含預設的規則,拒絕所有

寫ACL列表需要注意的事項:至少要有一條放行

1.6 ACL 訪問列表的對比

標準列表:——應該將列表放進靠近目標的地方
擴充套件列表在呼叫時靠近源,節省頻寬
基本列表在呼叫時應靠近目標,防止流量被誤阻礙

總結

基本列表控制的物件只能是源IP
擴充套件列表控制的物件是源,目的IP,源,目標埠,傳輸層協議

例如:

禁止某客戶機訪問FTP伺服器

acl 3000
rule deny tcp source 192.168.1.10 0.0.0.0 destination-port eq 21
           tcp協議        源埠ip                                 目標埠號
     
禁止這個主機(192.168.1.10 0.0.0.0 )訪問tcp的21號埠
源是客戶機,目標是伺服器
rule permit tcp source any dertination any          允許其他源訪問埠

二 專案配置

分別進行設定客戶機訪問設定
設定路由器訪問伺服器設定

2.1 客戶機訪問設定

先配置各個計算機的IP地址,子網掩碼,閘道器
PC1 192.168.10.10 PC3 192.168.10.20
PC2 192.168.20.10 PC4 192.168.20.20
在這裡插入圖片描述

2.1.1 專案流程

在SW1上

1 vlan bat 10 20
1 int e0/0/1
2 port link-type access 
3  port deafult vlan 10
4 int e0/0/2
5 port link-type access
6  port default vlan 20
7 int e0/0/3
8port link-type access 
9  port deafult vlan 10
10int e0/0/2
11 port link-type access
12 port default vlan 20
13 int g0/0/1
14 port link-type trunk
15 port trunk allow-pass vlan all

在AR1上

1 int g0/0/0
2 undo shut
3 int g0/0/0.1 
4 dot1q termination vid 10   封裝 進vlan10
5 ip add 192.168.10.1 24 
6 arp broadcast enable             開放arp廣播
7  int g0/0/0.2 
8 dot1q termination vid 20   封裝 進vlan20
9  ip add 192.168.20.1 24 
10 arp broadcast enable             開放arp廣播

完成以上操作
在PC機上進行通訊ping
因為在vlan 10 ping vlan 20
出vlan10 到vlan20
抓的是源 vlan10 (192.168.10.0 )
從g 0/0/0.2 介面是出的
所以在g 0/0/0.2 介面呼叫策略,可以拒絕vlan10 ,實現vlan10 和vlan20 不通

開始做策略

在AR1上

1 acl 2000
2  rule deny source 192.168.10.0 0.0.0.255        拒絕某個流量
3 rule permit source any                                        其它流量放行
4 int g0/0/0.2                                                        進入介面
5  traffic-filter outbund acl 2000                                呼叫策略
display acl 2000

[AR1]display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5
 rule 5 deny source 192.168.10.0 0.0.0.255 
 rule 10 permit

檢視acl列表,檢視命令列號 rule 5
acl 2000 進入acl 2000
undo rule 5 刪除命令,只需刪除 rule 5

2.2 路由器訪問設定

2.2.1 專案解析

先在伺服器上配置 地址
202.10.100.100
202.10.100.1

啟動服務
需求是禁止AR4(某個路由器)去訪問FTP伺服器

訪問方式有兩種:在客戶機上用客戶機去模擬
             用裝置(交換機,路由器)模擬FTP客戶機

客戶機測試(因為這裡的PC機不支援FTP命令,因而用路由器模擬的)

在這裡插入圖片描述

專案流程

在AR4上

1 int g0/0/0
2  ip add 12.1.1.1 24
3 undo shut
4 ip route-static 202.10.100.0 24 12.1.1.2

在AR5上

1  int g0/0/0
2  ip add 12.1.1.1 24 
3 undo shut
4 int g0/0/1
5 ip add 202.10.100.1 24
6  undo shut
7 acl 3000
8 rule deny tcp source 12.1.1.1 0.0.0.0 destination 202.10.100.100 0.0.0.0 destination-port eq 21
禁止源 12.1.1.1 0.0.0.0 訪問tcp 202.10.100.100 伺服器
9 rule permit ip source any destination any           允許其他源訪問埠
10 q
11 int g0/0/0                                               進入介面    入口(在AR5左邊)    
12 traffic-filter inbound acl 3000                呼叫策略 入口
13 quit

在AR4上

1 quit
2 < > ftp 202.10.100.100

無效,拒絕訪問
想要訪問,就只要把策略刪了

在AR5上

1 int g0/0/0
2 undo traffic-filter inbound acl 
CTRL+K 是取消

總結

以上就是對ACL的訪問控制列表的基礎應用知識的解析。

相關文章