华为交换机ACL配置(基本ACL、高级ACL)

ACL是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

访问控制列表ACL是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源IP地址、目的IP地址、源端口、目的端口、协议类型等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

一、基本ACL配置

1.1 组网拓扑

根据网络拓扑完成所有网络设备的基础配置,确保全网设备之间能够正常互联互通;同时在路由器上配置基本ACL,通过精确配置访问规则实现流量管控,仅拒绝PC2 对 Server 的访问,其余所有网络流量均允许正常通过。

1.2 配置步骤

  1. 路由器接口IP配置。

    [Router] interface GigabitEthernet 0/0/1
    [Router-GigabitEthernet0/0/1] ip address 10.1.1.254 24
    [Router-GigabitEthernet0/0/1] quit
    [Router] interface GigabitEthernet 0/0/0
    [Router-GigabitEthernet0/0/0] ip address 192.168.1.254 24
    [Router-GigabitEthernet0/0/0] quit

  2. 创建基本ACL规则,拒绝PC2 访问 Server。

    [Router] acl 2000
    [Router-acl-basic-2000] rule deny source 192.168.1.2 0 //禁止源IP为192.168.1.2的流量通过
    [Router-acl-basic-2000] rule permit source any //允许所有源IP的流量通过
    [Router-acl-basic-2000] quit

  3. 在出口路由器接口入方向调用ACL策略。

    [Router] interface GigabitEthernet 0/0/0
    [Router-GigabitEthernet0/0/0] traffic-filter inbound acl 2000 //在接口入方向调用acl策略
    [Router-GigabitEthernet0/0/0] quit

  4. 验证ACL配置信息。

    查看ACL配置信息。

    [Router] display acl all

    查看指定ACL 2000配置信息。

    [Router] display acl 2000

    查看ACL资源的使用情况。

    [Router] display system tcam resource acl

二、高级ACL配置

2.1 组网拓扑

实现企业全网互联互通,同时在路由器上部署高级 ACL,限制 pC2 无法访问 Server 的 HTTP 服务,但允许其访问 Server 的其他服务及网络中其他节点,其余访问流量不做限制。

2.2 配置步骤

  1. 路由器接口IP配置。

    [Router] interface GigabitEthernet 0/0/1
    [Router-GigabitEthernet0/0/1] ip address 10.1.1.254 24
    [Router-GigabitEthernet0/0/1] quit
    [Router] interface GigabitEthernet 0/0/0
    [Router-GigabitEthernet0/0/0] ip address 192.168.1.254 24
    [Router-GigabitEthernet0/0/0] quit

  2. 创建高级ACL,禁止源192.168.1.2地址访问目的10.1.1.1地址目的80端口的TCP流量。

    [Router] acl 3000
    [Router-acl-adv-3000] rule deny tcp source 192.168.1.2 0 destination 10.1.1.1 0 destination-port eq 80
    [Router-acl-adv-3000] rule permit ip
    [Router-acl-adv-3000] quit

  3. 在路由器接口入方向调用ACL。

    [Router] interface GigabitEthernet 0/0/0
    [Router-GigabitEthernet0/0/0] traffic-filter inbound acl 3000 //入方向调用ACL策略
    [Router-GigabitEthernet0/0/0] quit

  4. 验证ACL配置信息。

    查看当前ACL配置信息。

    [Router] display acl all

    查看acl调用信息。

    [Router] display traffic-filter applied-record

    查看ACL接口出入方向调用信息。

    [Router] display traffic-applied brief

相关推荐
奶油话梅糖8 小时前
锐捷常用命令速查表
java·网络·windows
rcms152702692188 小时前
AMAT 0190-32401 通讯模块
网络
范纹杉想快点毕业8 小时前
嵌入式串口通信协议设计与解析完全教程
网络
流浪法师129 小时前
数据分类分级治理实践:从发现到管控的全链路记录
安全
chh5639 小时前
C++--string
java·开发语言·网络·c++·学习
Ww.xh9 小时前
DevEco Studio虚拟机部署指南
华为·harmonyos
SLD_Allen9 小时前
阿里开源的安全沙箱解决方案 OpenSandbox
安全·开源·沙箱
ZhengO_Oz9 小时前
虚拟机CentOS 网络配置【实操】
运维·服务器·网络
fei_sun9 小时前
网卡、网关、网桥、交换机、路由器
linux·服务器·网络
爸爸6199 小时前
08 ArkTS 类与静态方法设计:单例、DAO 与设计令牌
华为·harmonyos·鸿蒙系统