華為 配置ACL
實驗:
實驗1:
pc1 pc2不同 其他全通:
思路及步驟:
1.首先保證全網互通
1.1配置AR1 的0端口ip:192.168.10.254 255.255.255.0
2端口ip:192.168.12.1 255.255.255.0
配置靜態路由:
ip route-static 192.168.20.0 255.255.255.0 192.168.12.2
1.2配置AR2的0端口ip:192.168.20.254 255.255.255.0
2端口ip:192.168.12.2
配置靜態路由:
ip route-static 192.168.10.0 255.255.255.0 192.168.12.1
此時個pc機皆可互ping通
2.在AR2的0端口 創建ACL 3000,拒絕pc2訪問pc1 配置如下:
acl 3000
rule 5 deny icmp sourse 192.168.20.2 0.0.0.0 destiation
192.168.10.1 0.0.0.0
在0端口下啟動:
interface g0/0/0
traffic-filter inbound acl 3000
3.配置:
display acl 3000 (查看其配置)
4.此時 pc2與pc1機ping不同 但各自與其他pc機可以ping通
pc2:
pc1:
=========================================================================================================
實驗2:
pc4和pc5 可以全網互通, 其他主機全不通:
思路及步驟:
1.在實驗1的基礎上進行
2.在AR2的0端口 創建ACL 命名為only pc4-5 (配置先允許 後拒絕)
(x 默認為5 以5的倍數遞增,也可手動輸入,其他紅色部分可以不輸入)
acl name only pc4-5
rule x permit ip sourse 192.168.20.3 0.0.0.0 destination any
rule x permit ip sourse 192.168.20.3 0.0.0.0 destination any
rule x deny ip souse any destination any
3. 在0端口下啟動:
interface g0/0/0
traffic-filter outbound acl onlypc4-5
4.配置:
display acl 3999 (查看其配置)
5. 此時 pc4與pc5機ping其他pc機可以ping通,
========================================================================================================================================
重點:
ACL:access control list ,訪問 控制 列表
-作用:
匹配感興趣的流量。
-實現:
#規則
#動作(允許/拒絕)
#事件
-表示:
# ID
# name
-類型:
#標準ACL/基本ACL
ID
name
#擴展ACL/高級ACL
ID
name
--------------------------------------------------------------------
ACL的配置思路:
0、確保原有數據的連通性(基於現網需要來確定);
在沒有實施ACL之前,PC-1 與 PC-2 之間是互通的;
1、查看設備上已經存在的ACL
[R1] display acl [2000] | all
2、創建ACL
[R1] acl 2000 [match-order {config} | {auto} ]
[R1-acl-basic-2000] rule [id] deny source 192.168.10.1 0.0.0.0
3、調用ACL
[R1]interface gi0/0/0
[R1-gi0/0/0]tranffic-filter inbound acl 2000
4、驗證、測試、保存
display acl 2000 //查看ACL的配置條目信息;
display traffic-filter applied-record //查看ACL的調用信息;
display traffic-filter statistics interface GigabitEthernet 0/0/0 inbound
//查看特定端口上調用的ACL的使用信息;
ping x.x.x.x
save
實驗拓撲圖:
PC-1 ---> PC-2
#研究清楚流量的轉發路徑(來回路徑)
&幹掉去的流量
&幹掉回的流量
#研究流量本身(特點+結構)
L2 + L3 + ICMP + FCS
ip-acl
L3
source-ip + destination-ip
基本ACL
-僅僅關註IP頭部中的 source-ip ;
高級ACL
-可以同時關註 source 和 destination ,
並且,還可以關註 IP 頭部後面的內容,
比如 TCP/UDP
====================================================================
刪除ACL:
1、正確的刪除姿勢
#首先解除 ACL 調用關系
Interface gi0/0/0
undo traffic-filter inbound
#其次刪除 ACL 條目本身
undo acl 2000
#最後刪除的最終結果
2、當調用一個不存在的 ACL 時,表示的是允許所有;
註意:
1、同一個端口的,同一個方向,只能同時存在一個 ACL ;
2、如果想更改端口上調用的 ACL ,必須:
首先,刪除端口上的 ACL 調用命令;
再次,重新調用一個新的 ACL ;
3、端口上的 ACL ,不允許直接覆蓋;
4、華為中的ACL,沒有匹配住的流量,默認是允許的;
5、基本ACL/標準ACL,強烈建議調用在“距離目標設備”近的地方;
--------------------------------------------------------------------
3層ACL
基本ACL
數字ACL
命名ACL
高級ACL
數字ACL
命名ACL
2層ACL
~~~~~~~~~~~~~~~~~~~~~
1、命名的ACL在創建的時候,需要指定類型;
2、在ACL中,如果不寫 source 或者不寫 destination ,則表示所有源或目標
3、在配置ACL的過程中,如果在輸入 source 或 destination 的時候,直接回車
則代表“所有”;
=================================================================
R2:PC1-PC2不通,其他全部互通;
1、創建ACL
[R2]acl 3000
[R2-acl-advance-3000]rule 5 deny ip source 192.168.20.1 0.0.0.0
destination 192.168.10.1 0.0.0.0
2、調用ACL
[R2]interface gi0/0/0
[R2-gi0/0/0]traffic-filter inbound acl 3000
3、驗證、測試、保存
display acl 3000
display traffic-filter applied-record
PC2:
ping 192.168.10.1 ,no
ping 192.168.10.3 ,yes
PC4/5:
ping x.x.x.x , yes
<R2>save
R2:PC4/5與全網其他主機互通,其他流量全部不通;
1、創建ACL
[R2]acl name Only-PC4-5 advance
[R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.4 0.0.0.0
[R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.5 0.0.0.0
[R2-acl-advance-Only-PC4-5]rule 100 deny ip
2、調用ACL
[R2]interface gi0/0/0
[R1-gi0/0/0] traffic-filter inbound acl name Only-PC4-5
華為 配置ACL