** ACL概念:**
随着网络的飞速发展,网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。 ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
ACL是由一系列permit或deny语句组成的、有序规则的列表。
ACL是一个匹配工具,能够对报文进行匹配和区分。
ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。
ACL分类:
基于ACL规则定义方式的分类:
基本ACL 2000---2999
高级ACL 3000---3999
二层ACL 4000---4999
用户自定义ACL 5000---5999
用户ACL 6000---6999
基于ACL标识方法的分类:
数字型ACL
命名型ACL
ACL基本命令配置:
1.创建基本ACL
[Huawei] acl [ number ] acl-number [ match-order config ]
使用编号(2000~2999)创建一个数字型的基本ACL,并进入基本ACL视图。
[Huawei] acl name acl-name ( basic | acl-number) [ match-order config ]
使用名称创建一个命名型的基本ACL,并进入基本ACL视图。
2.配置基本ACL的规则
[Huawei-acl-basic-2000] rule [ rule-id]( deny | permit) [ source ( source-address source- wildcard | any time-range time-name ]
在基本ACL视图下,通过此命令来配置基本ACL的规则。
3.配置基本ACL的规则
根据IP承载的协议类型不同,在设备上配置不同的高级ACL规则。对于不同的协议类型,有不 同的参数组合。
高级ACL命令:
1.创建高级ACL
[Huawei] acl [ number ] acl-number [ match-order config ]
使用编号(3000~3999)创建一个数字型的高级ACL,并进入高级ACL视图。
[Huawei] acl name acl-name { advance | acl-number } [ match-order config ]
使用名称创建一个命名型的高级ACL,进入高级ACL视图
2.当参数protocol为IP时,高级ACL的命令格式为
rule [ rule-id] {deny permit} ip [ destination { destination-address destination-wildcard | any} | source { source-address source-wildcard| any } | time-range time-name [ dscp dscp| [ tos tos precedenceprecedence]]
在高级ACL视图下,通过此命令来配置高级ACL的规则。
3.当参数protocol为TCP时,高级ACL的命令格式为
rule [ rule-id] ( deny | permit) { protocol-number| tcp } [ destination { destination-address destination-wildcard | any} | destination-port { eq port | gt port | lt port | range port-start port-end } | source { source-address source- wildcard | any} | source-port { eq port | gt port It port | range port-start port-end } | tcp-flag { ack | fin | syn} |time-range time-name ]
在高级ACL视图下,通过此命令来配置高级ACL的规则。
ACL实验项目:
项目一实验:
** 实验结果:**
PC1无法ping通服务器
项目二实验:
实验结果:
PC1与PC2无法相互访问,
PC1可以与其他设备互通,不能与PC2互通
PC2可以与其他设备互通,不能与PC1互通
版权归原作者 辻ᝰ弌 所有, 如有侵权,请联系我们删除。