作者主页:点击!
ENSP专栏:点击!
创作时间:2024年4月5日10点45分
基本ACL的简介
华为ensp中的基本acl是指华为设备中用于控制网络访问的访问控制列表的其中一种类型。基本acl可以根据数据包的源IP地址进行过滤,配置简单,但功能有限。
ACL的匹配规则
ACL匹配规则
步骤:
检查是否存在ACL
- 如果不存在,则匹配结果为“不匹配”。
- 如果存在,则继续下一步。
检查是否存在规则
- 如果不存在,则匹配结果为“不匹配”。
- 如果存在,则继续下一步。
分析第一条规则
- 判断报文是否命中该规则。
- 如果命中:
- 判断规则动作是“允许”还是“拒绝”。
- 如果是“允许”,则匹配结果为“允许”。
- 如果是“拒绝”,则匹配结果为“拒绝”。
- 如果未命中:
- 判断是否存在其他规则。
- 如果存在,则继续分析下一条规则。
- 如果不存在,则匹配结果为“不匹配”。
重复步骤3,直到分析完所有规则
根据分析结果,确定最终匹配结果
规则匹配顺序:
- 配置顺序:按照规则编号从小到大的顺序进行匹配。
- 优先级顺序:按照规则优先级从高到低的顺序进行匹配。
默认情况下,ACL使用配置顺序进行匹配。
注意事项:
- ACL匹配遵循“一旦命中即停止匹配”的原则。
- 如果报文未命中任何规则,则最终匹配结果为“不匹配”。
基本acl的配置步骤
创建acl
acl number
其中,number为acl的编号,范围为2000~2999。
进入acl视图
acl number
配置acl规则
rule rule-number [permit | deny] source source-address [mask mask-addre
其中:
- rule-number为规则的编号。
- permit表示允许数据包通过。
- deny表示拒绝数据包通过。
- source-address为源IP地址。
- mask为源IP地址掩码。
- mask-address为反掩码,用于精确匹配。
基本acl的应用示例:
AR1的基本配置
基本的IP配置还有默认路由 先实现全网互通
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 192.168.1.1 255.255.255.0
[Huawei-GigabitEthernet0/0/2]
int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 6.6.6.6 255.255.255.0
[Huawei]ip route-static 0.0.0.0 0 6.6.6.7
AR2的基本配置
基本的配置实现全网互通
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 6.6.6.7 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.3.1 255.255.255.0
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 192.168.4.1 255.255.255.0
[Huawei]ip route-static 0.0.0.0 0 6.6.6.6
[Huawei]
实验前测试
PC4来访问PC3
PC4来访问PC6
实验要求
接下来我们在AR1上做acl策略来限制流量
拒绝192.158.1.2 来访问 192.168.3.2
但是可以访问同一网段的 192.168.3.3
AR1的acl策略
[Huawei]acl 2000
[Huawei-acl-basic-2000]dis this
//拒绝来自源 IP 地址为 192.168.3.2 的所有数据包。
[Huawei-acl-basic-2000]rule 5 deny source 192.168.3.2 0
//允许来自源 IP 地址为 192.168.4.0/24 的所有数据包通过。
[Huawei-acl-basic-2000]rule 10 permit source 192.168.4.0 0.0.0.255
rule 10:这表示你正在配置 ACL 2000 中的第十条规则。
permit:这表示你将允许符合这条规则条件的数据包通过。
source 192.168.4.0 0.0.0.255:这指定了匹配此规则的数据包的源 IP 地址。在这种情况下,源 IP 地址范围是 192.168.4.0/24,后面的 0.0.0.255 是通配符,表示允许该网段下的所有 IP 地址。
拒绝访问详解
[Huawei-acl-basic-2000]rule 5 deny source 192.168.3.2 0
rule 5:这表示你正在配置 ACL 2000 中的第五条规则。
deny:这表示你将拒绝符合这条规则条件的数据包通过。
source 192.168.3.2 0:这指定了匹配此规则的数据包的源 IP 地址。在这种情况下,源 IP 地址是 192.168.3.2,后面的 0 是通配符,表示仅匹配该具体 IP 地址。
允许访问详解
[Huawei-acl-basic-2000]rule 10 permit source 192.168.4.0 0.0.0.255
rule 10:这表示你正在配置 ACL 2000 中的第十条规则。
permit:这表示你将允许符合这条规则条件的数据包通过。
source 192.168.4.0 0.0.0.255:这指定了匹配此规则的数据包的源 IP 地址。在这种情况下,源 IP 地址范围是 192.168.4.0/24,后面的 0.0.0.255 是通配符,表示允许该网段下的所有 IP 地址。
应用acl策略
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000
[Huawei-GigabitEthernet0/0/1]
这个命令的含义是:将 ACL 2000 应用到 GigabitEthernet0/0/1 接口的入方向,这意味着 ACL 2000 中的规则将用于过滤进入该接口的数据包,根据 ACL 规则的匹配情况来决定是否允许或拒绝这些数据包通过接口。
实验后测试
PC4(192.168.1.2) 访问 PC3(192.168.3.2)
经过测试发现无法访问(符合实验要求)
PC4(192.168.1.2) 访问 PC6(192.168.3.3)
经过测试发现可以访问(符合实验要求)