1. 程式人生 > >ACL 訪問控制列表

ACL 訪問控制列表

網絡/安全 網絡管理

ACL 訪問控制列表

原理說明:

ACL是網絡設備常用的安全技術,通過手動配置可以部署網絡安全策略,acl規則是檢查流量通信特征。一般從rule5開始建立(留給後續添加優先使用),匹配即停止,默認permit any。每接口。每協議,每方向只允許部署一個acl。

基本acl: 組號2000~2999 只能檢查流量的源ip地址

高級acl:組號3000~3999 可檢測流量的protool,源ip,目的ip,源端口。更精細的流量檢查等

通配符掩碼及計算:

技術分享圖片

技術分享圖片

基本acl規則:

技術分享圖片

高級acl規則:

技術分享圖片

實驗拓撲:

技術分享圖片

1 先將路由器及各電腦主機的ip配置,使其互通(此步驟省略)

2 在R3上配置acl規則 ,在g0/0/1上配置基於acl對報文過濾,允許10.165.126.0/24 的報文通過, 拒絕其他流量

R3:

[R3]acl 2000

[R3-acl-basic-2000] rule 5 permit source 10.165.126.0 0.0.0.255

[R3-acl-basic-2000]rule 10 deny source any

interface GigabitEthernet0/0/1

[R3-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

驗證:

技術分享圖片

3 配置高級acl規則

在R3g0/0/0上配置基於acl流量控制,只允許172.25.4.0/24的地址可以ping ,其他的拒絕

R3:

[R3-acl-adv-3000]rule 5 permit icmp source 172.25.4.0 0.0.0.255

[R3-acl-adv-3000]rule 10 deny icmp source any

interface GigabitEthernet0/0/0

[R3-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

驗證:

技術分享圖片

刪除接口應用acl:

net0/0/1]und traffic-filter inbound

[R3-GigabitEthernet0/0/1]und traffic-filter out

拓展:

技術分享圖片

技術分享圖片

ACL 訪問控制列表