ACl与ACL实验

ACl与ACL实验

ACL

1，ACL概述及 产生的背景

ACL: access list 访问控制列表

2，ACL应用

ACL两种应用:

1. 应用在接口的ACL-----过滤数据包（原目ip地址，原目 mac， 端口 五元组）

2. 应用在路由协议-------匹配相应的路由条目（ ）

3. NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流（匹配上我设置的 数据流的）

3.ACL 工作原理:

当数据包从接口经过时，由于接口启用了acl， 此时路由器会对报文进行检查，然后做出相应的处理

4.ACL种类

• 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据（数据时从 哪个IP地址 过来的）

• 编号3000-3999---高级ACL----依据数据包当中源、目的IP，源、目的端口、协议号匹配数据

• 编号4000-4999---二层ACL，MAC、VLAN-id、802.1q

5ACL(访问控制列表)的应用原则:

基本ACL:尽量用在靠近目的点 高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

6匹配规则

1、一个接口的同一个方向，只能调用一个acl 2、一个acl里面可以有多个rule 规则，按照规则ID从小到大排序，从上往下依次执行 3、数据包一旦被某rule匹配，就不再继续向下匹配 4、用来做数据包访问控制时，默认隐含放过所有(华为设备)

基本acl的书写格式 源ip

acl 2000
#新建表格，  将你设置的 过滤条件放入 这个表格
​
rule permit | deny source 匹配的条件（ip地址） 通配符掩码(用来控制匹配的范围，   比较难)
#添加条件
​
子网掩码的作用： 连续的1 代表网络位
255.255.255.0
11111111.11111111.11111111.00000000
反掩码： 连续的0  代表网络位
00000000.00000000.00000000.11111111
0.0.0.255
​
通配符掩码
可以0 1穿插
​
​
利用ip地址+通配符匹配流量
​
掩码、反掩码-----0和1必须连续 ,通配符掩码-----0和1可以不连续
子网掩码    必须是连续的1
反掩码      必须是连续的0
通配符掩码   0和1可以不连续
#通配符：根据参考ip地址，通配符“1”对应位可变，“0”对应位不可变，0/1可以穿插
​
rule 5   premit  source 192.168.1.0   0.0.0.255
​
​
192.168.1.0
192.168.1.1   
192.168.1.2   
192.168.1.3   
192.168.1.4
​
1100 0000 .10101000.0000 0001.0000 00 00
1100 0000 .10101000.0000 0001.0000 00 01
1100 0000 .10101000.0000 0001.0000 00 10
1100 0000 .10101000.0000 0001.0000 00 11
1100 0000 .10101000.0000 0001.0000 01 00
0.0.0.0000 0111         
0.0.0.7
​
​
192.168.1.0  
偶数  地址 用来算偶数
0-255  
​
0.0.0.1111 1111   ---> 0.0.0.255
​
0.0.0.1111 1110    255-1
0.0.0.254
​
192.168.1.1 
​
奇数  用来算
0.0.0.254
0.0.0.1111 111 0
​
​
案例1-----拒绝源IP为192.168.10.1的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.0
​
​
案例2------拒绝源IP为192.168.10.0/24的所有数据包
acl 2000
rule deny source 192.168.10.0 0.0.0.255
​
​
案例3------拒绝源IP为192.168.10.0/24所有奇数主机发送的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.254
​
​
​
​
​
acl 访问控制列表
1 建立规则
2 进入接口 调用规则 inboud  outboud
​

基本ACL实验：

实验目的

1，192.168.1.1 不可以访问 192.168.2.1 可以访问192.168.3.1

192.168.1.2都可以访问

2，过滤掉192.168.1.1，一个pc访问www（80）流量

如图配置好各主机的IP，子网掩码，和网关

实验一 基本ACL

1，进入路由器配置好各端口ip

R1设置
​
<Huawei>u t m
Info: Current terminal monitor is off.
​
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
​
[Huawei]sys R1
​
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
​
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.2.254 24
​
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.3.254 24
​

2，实现192.168.1.1 不可以访问 192.168.2.1

1.建立acl
[R1-GigabitEthernet0/0/2]acl 2000
#基本acl 列表
​
[R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0
#默认编号5  拒绝  来自192.168.1.1 的流量
​
[R1-acl-basic-2000]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
#数据流向
在接口下调用acl 分为两个方向
inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL
-----------------------
没有被acl匹配数据默认采用permit动作
-----------------------
基本acl需要调用在离目的设备最近的接口上

192.168.1.1 ping 192.168.2.1

访问失败

192.168.1.1 可以访问 192.168.3.1

访问成功

实验二 高级ACL

1，设置可以被访问的内容，server2 做相同操作

2，实现限制访问流量

高级  acl
acl number 3000  
 rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port  eq www（80）  
​
 [R1]int g0/0/1
undo  traffic-filter outbound   删除之前调用
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000  数据出去时调用 acl 3000
​
​

访问http失败

访问192.168.3.1成功***