当前位置:网站首页>ACL和NAT

ACL和NAT

2022-07-20 19:20:00 stars293

1.ACL概述及产生的背景

ACL:access  list访问控制列表

  • 某企业为保证财务数据安全,禁止研发部门访问财务服务器,但总裁办公室不受限制。实现方式:

    在Interface 1的入方向上部署ACL,禁止研发部门访问财务服务器的报文通过。Interface 2上无需部署ACL,总裁办公室访问财务服务器的报文默认允许通过。

  • 保护企业内网环境安全,防止Internet病毒入侵。实现方式:

    在Interface 3的入方向上部署ACL,将病毒经常使用的端口予以封堵。

    白名单:默认拒绝所有,放一个 可以通信一个自己内
    部的业务
    黑名单:默认开放所有,加入一个,不能通信一个
2.ACL工作原理
ACL是一组规则的集合,它应用在路由器的某个接口上。对路由器而言,ACL有两个方向:

入口
入口指的是已经到达路由器接口的数据包,即将被路由器处理。
出口
出口指的是已经经过路由器处理,正准备离开路由器的数据包。
3.ACL种类
基本ACL(2000~2999): 只能匹配IP地址
高级ACL(3000~3999): 可以匹配源IP,目标IP,源端口,目标端口等三层和等四层的字段和协议
二层ACL(4000~4999): 根据数据包的源MAC地址,目标MAC地址,802.1q优先级,二层协议

[Huawei] acl number 2000   ###创建acl 2000 
[Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0
#拒绝源地址为192.168.1.1的流量,0代表仅此一台,5是这条规则的序号(可不加)[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192. 168.2.254 24
[Huawei -GigabitEthernet0/0/1]traffic-filter outbound acl 2000
###接口出方向调用acl 2000,outbound代表出方向,inbound代表进入方向[Huawei-GigabitEthernet0/0/1]undo sh  

[Huawei]acl number 2001   ###进入acl 2001列表
[Huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255
###permit代表允许,source代表来源,掩码部分为反掩码
[Huawei-acl-basic-2001]rule deny source any或者rule deny
###拒绝所有访问,any代表所有0.0.0.0 255.255.255.255
[Huawei] interface GigabitEthernet 0/0/1  ###进入出口接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 
[Huawei -Gigabi tEthernet0/0/1]traffic-filter outbound acl 2001

[Huawei]aclnumber 3000   ###拒绝tcp为高级控制,所以3000起
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0   ###拒绝Ping
[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80
###destination代表目的地地址,destination- port代表目的端口号,80可用www代替
###配置即停止,不会再往下执行
[Huawei-acl-adv-3000] rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80  

[Huawei-acl-adv-3000]rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21   
###拒绝源地址192.168.10.0网段访问FTP服务器12.0.0.2
[Huawei-acl-adv-3000]dis this   ###查看当前ACL配置是否配置成功

[Huawei]interface g0/0/0
[Huawei -GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/0]traffic- filter inbound acl 3000   ###在接口入方向应用acl 

[Huawei-GigabitEthernet0/0/1]undo traffic- filter inbound   ###在接口上取消acl的应用 

[Huawei] display acl 3000   ###显示acl配置 

[Huawei]acl number 3000
[Huawei-acl-adv-3000]dis this   ###查看规则序号
[Huawei-acl-adv-3000]undo rule 5  ###删除一条acl语句 

[Huawei]undo acl number 3000  ###删除整个ACL    

 

 高级acl

 

 

acl 2000
#新建表格, 将你设置的 过滤条件放入 这个表格
rule permit | deny source 匹配的条件(ip
址) 通配符掩码(用来控制匹配的范围)
通配符掩码
可以0 1穿插
利用ip地址+通配符匹配流量
掩码、反掩码-----01必须连续 ,通配符掩码-----0和1可以不连续
子网掩码 必须是连续的1
反掩码 必须是连续的0
通配符掩码 01可以不连续
#通配符:根据参考ip地址,通配符“1”对应位可
变,“0”对应位不可变,0/1可以穿插
案例1-----拒绝源IP192.168.10.1的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.0
案例2------拒绝源IP192.168.10.0/24的所有数
据包
acl 2000
rule deny source 192.168.10.0 0.0.0.255
原网站

版权声明
本文为[stars293]所创,转载请带上原文链接,感谢
https://blog.csdn.net/weixin_64413763/article/details/125870803

边栏推荐

猜你喜欢

随机推荐