一.ACL概念

ACL——访问控制列表
ACL：访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

二.ACL作用

读取三层，四层头部信息，根据预先定义好的规则对流量进行筛选、过滤。
三层头部信息：源、目标IP；四层头部信息：TCP/UDP协议、源、目标端口号

三.访问控制列表的调用方向

3.1、入接口

流量将要进入本地路由器，将被本地路由器处理

3.2、出接口

已经被本地路由器处理过了，流量将离开本地路由器

四.入接口调用与出接口调用的区别

策略做好后，在入接口调用和在出接口调用的区别
入接口调用的话，是对本地路由器生效
出接口调用的话，是对本地路由器不生效，流量将在数据转发过程中的下一台路由器生效

五.访问控制列表的处理原则

1.路由条目只会被匹配一次
2.路由条目在ACL访问列表中匹配的顺序是从上往下匹配
3.ACL访问控制列表隐含一个拒绝所有
4.ACL访问控制列表至少要放行一个路由条目

六.访问控制列表类型

6.1、标准访问控制列表

只能基于源IP地址进行过滤；标准访问控制列表的列表号是2000-2999 调用原则：靠近目标

6.2、扩展访问控制列表

可以根据源、目的IP地址，TCP/UDP协议，源、目的端口号进行过滤；相比较标准访问控制列表，流量控制的更加精准；扩展访问控制列表的列表号是3000-3999 调用原则：靠近源

七.ACL配置

7.1、项目测试拓扑图

项目测试目的：用标准访问控制列表让VLAN10的客户机不能访问vlan20的客户机、用扩展ACL访问控制列表禁止Client访问FTP服务器
本次项目测试使用eNSP软件

7.2、Client客户机设置

7.3、二层交换机设置

LSW1：

<Huawei>sys
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sys
[Huawei]sysname SW1
[SW1]user-int
[SW1]user-interface c
[SW1]user-interface co
[SW1]user-interface console 0
[SW1-ui-console0]idle-t
[SW1-ui-console0]idle-timeout 0 0
[SW1-ui-console0]q
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port l
[SW1-GigabitEthernet0/0/1]port link-type tr
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port tr
[SW1-GigabitEthernet0/0/1]port trunk allo
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SW1-GigabitEthernet0/0/1]q
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]port l
[SW1-Ethernet0/0/1]port link-type acc
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]q
[SW1]vlan bat 10 20
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]port l
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port de
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/1]int e0/0/2
[SW1-Ethernet0/0/2]port l
[SW1-Ethernet0/0/2]port link-type acc
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port de
[SW1-Ethernet0/0/2]port default vlan 20
[SW1-Ethernet0/0/2]int e0/0/3
[SW1-Ethernet0/0/3]port l
[SW1-Ethernet0/0/3]port link-type acc
[SW1-Ethernet0/0/3]port link-type access
[SW1-Ethernet0/0/3]port de
[SW1-Ethernet0/0/3]port default vlan 10
[SW1-Ethernet0/0/3]int e0/0/4
[SW1-Ethernet0/0/4]port l
[SW1-Ethernet0/0/4]port link-type acc
[SW1-Ethernet0/0/4]port link-type acc
[SW1-Ethernet0/0/4]port link-type access
[SW1-Ethernet0/0/4]port de
[SW1-Ethernet0/0/4]port default vlan 20

7.4、路由器设置

AR2：

<Huawei>ter
<Huawei>terminal mo
<Huawei>terminal monitor
Info: Current terminal monitor is on.
<Huawei>sys
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sys
[Huawei]sysname R1
[R1]user-in
[R1]user-interface co
[R1]user-interface console 0
[R1-ui-console0]idle-
[R1-ui-console0]idle-timeout 0 0
[R1-ui-console0]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]undo sh
[R1-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]int g0/0/0.1
[R1-GigabitEthernet0/0/0.1]dotq
[R1-GigabitEthernet0/0/0.1]dot1
[R1-GigabitEthernet0/0/0.1]dot1q ter
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10
[R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24
Aug 27 2021 16:53:31-08:00 R1 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
on the interface GigabitEthernet0/0/0.1 has entered the UP state.
[R1-GigabitEthernet0/0/0.1]arp br
[R1-GigabitEthernet0/0/0.1]arp broadcast en
[R1-GigabitEthernet0/0/0.1]arp broadcast enable
[R1-GigabitEthernet0/0/0.1]int g0/0/0.2
[R1-GigabitEthernet0/0/0.2]dot1
[R1-GigabitEthernet0/0/0.2]dot1q ter
[R1-GigabitEthernet0/0/0.2]dot1q termination v
[R1-GigabitEthernet0/0/0.2]dot1q termination vid 20
[R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24
Aug 27 2021 16:54:01-08:00 R1 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IP
on the interface GigabitEthernet0/0/0.2 has entered the UP state.
[R1-GigabitEthernet0/0/0.2]arp br
[R1-GigabitEthernet0/0/0.2]arp broadcast en
[R1-GigabitEthernet0/0/0.2]arp broadcast enable
[R1-GigabitEthernet0/0/0.2]q
[R1]ac
[R1]acl 2000
[R1-acl-basic-2000]rule de
[R1-acl-basic-2000]rule deny so
[R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255
[R1-acl-basic-2000]rule per
[R1-acl-basic-2000]rule permit sou
[R1-acl-basic-2000]rule permit source any
[R1-acl-basic-2000]q
[R1]int g0/0/0.2
[R1-GigabitEthernet0/0/0.2]traffic
[R1-GigabitEthernet0/0/0.2]traffic-filterou
[R1-GigabitEthernet0/0/0.2]traffic-filter ou
[R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000
[R1-GigabitEthernet0/0/0.2]
Aug 27 2021 17:46:04-08:00 R1 %%01IFPDT/4/IF_STATE(l)[2]:Interface GigabitEthern
et0/0/1 has turned into UP state.
[R1-GigabitEthernet0/0/0.2]q
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 10.1.1.1 24
Aug 27 2021 18:41:36-08:00 R1 %%01IFNET/4/LINK_STATE(l)[3]:The line protocol IP
on the interface GigabitEthernet0/0/1 has entered the UP state.
[R1-GigabitEthernet0/0/1]ip add 10.1.1.1 24
Error: The address already exists.
[R1-GigabitEthernet0/0/1]undo sh
[R1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]q
[R1]ip rou
[R1]ip route-st
[R1]ip route-static 0.0.0.0 0 10.1.1.2
[R1]acl 3000
[R1-acl-adv-3000]rule de
[R1-acl-adv-3000]rule deny tc
[R1-acl-adv-3000]rule deny tcp sou
[R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0 des
[R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0 destination 201.20.100.1000 des
[R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0 destination 201.20.100.1000 destination-port eq 21
[R1-acl-adv-3000]rule pe
[R1-acl-adv-3000]rule permit tcp
[R1-acl-adv-3000]rule permit tcp sour
[R1-acl-adv-3000]rule permit tcp source any de
[R1-acl-adv-3000]rule permit tcp source any destination any de
[R1-acl-adv-3000]rule permit tcp source any destination any destination-port eq
21
[R1-acl-adv-3000]rule pe
[R1-acl-adv-3000]rule permit ip sou
[R1-acl-adv-3000]rule permit ip source an
[R1-acl-adv-3000]rule permit ip source any de
[R1-acl-adv-3000]rule permit ip source any destination any
[R1-acl-adv-3000]dis this
[V200R003C00]
#
acl number 3000  rule 5 deny tcp source 192.168.10.10 0 destination 201.20.100.100 0 destination
-port eq ftp rule 10 permit tcp destination-port eq ftp rule 15 permit ip
#
return
[R1-acl-adv-3000]q
[R1]int g0/0/0.1
[R1-GigabitEthernet0/0/0.1]traff
[R1-GigabitEthernet0/0/0.1]traffic-filter in
[R1-GigabitEthernet0/0/0.1]traffic-filter inbound ac;
[R1-GigabitEthernet0/0/0.1]traffic-filter inbound ac
[R1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000

AR3：

<Huawei>undo te
<Huawei>undo terminal m
<Huawei>undo terminal monitor
Info: Current terminal monitor is off.
<Huawei>sys
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sys
[Huawei]sysname R2
[R2]user-i
[R2]user-interface co
[R2]user-interface console 0
[R2-ui-console0]id
[R2-ui-console0]idle-timeout 0 0
[R2-ui-console0]q
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 10.1.1.2 24
[R2-GigabitEthernet0/0/0]undo s
[R2-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 201.20.100.2 24
[R2-GigabitEthernet0/0/1]q
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]undo s
[R2-GigabitEthernet0/0/1]undo sh
[R2-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R2-GigabitEthernet0/0/1]q
[R2]ip rou
[R2]ip route-s
[R2]ip route-static 0.0.0.0 0 10.1.1.1

7.5、服务器设置

7.6、测试ACL配置

标准访问控制检测VLAN10不能访问VLAN20：

用扩展ACL访问控制列表禁止Client访问FTP服务器：
原本VLAN10客户机是可以像vlan20客户机一样在服务器上上传文件并下载



设置完扩展ACL访问控制表后就访问不了

了解ACL及其配置方法相关推荐

1. 操作篇 了解学习NAT实验（关于静态NAT、动态NAT、EasyIP、端口映射的配置方法））

   文章目录 前言 NAT工作原理 NAT分类 一:实验环境 1.1:实验原理 1.2实验目的 1.3华为NAT实验拓扑图 二:实验过程 配置SW1 配置AR1: 配置AR2: 前言 随着Internet ...

2. vlan 优科r500_ruckus 常用配置方法

   1.AP.AC跨三层组网配置方法 (1) 1.1.DHCP Server Option 43配置方法 (1) 1.2.为AP手工指定AC地址配置方法 (5) 1.3.简单操作方法 (6) 2.控制器A ...

3. 各型号交换机端口镜像配置方法和命令

   各型号交换机端口镜像配置方法和命令 "Port Mirror"即端口镜像,端口镜像为网络传输提供了备份通道.此外,还可以用于进行数据流量监测.可以这样理解:在端口A和端口B之间建立 ...

4. 用 Keepalived+HAProxy 实现高可用负载均衡的配置方法

   1. 概述 软件负载均衡技术是指可以为多个后端服务器节点提供前端IP流量分发调度服务的软件技术.Keepalived和HAProxy是众多软负载技术中的两种,其中Keepalived既可以实现负载均衡 ...

5. haproxy代理https配置方法【转】

   haproxy代理https配置方法[转] 记得在之前的一篇文章中介绍了nginx反向代理https的方法,今天这里介绍下haproxy代理https的方法: haproxy代理https有两种方式: ...

6. ACL访问控制列表（访问控制、抓取感兴趣流）详解及基本ACL和高级ACL的配置。

   ACL --- 访问控制列表 1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作.(pemit 允许,deny 拒绝) 2. 抓取感兴趣流:ACL的另一个作用就是和其他服务 ...

7. Git之深入解析如何借助Git的配置方法和钩子机制来自定义Git需求

   一.前言 到目前为止,我们已经了解了 Git 基本的运作机制和使用方式,学习了许多 Git 提供的工具简单且有效地使用它,可以高效地帮助我们工作,提升我们的效率. 如果还不清楚 Git 的基础使用流程 ...

8. ACL的配置以及翻转掩码

   1.配置ACL要点 访问列表要指明过滤什么协议: 按顺序匹配访问列表: 一般限制性的访问列表应该放在前面: 在访问列表的最后隐性定义了deny any--所有每个访问列表应该至少包含一条permit声 ...

9. 鸟哥的Linux私房菜(基础篇)- 第十四章、Linux 账号管理与 ACL 权限配置

   第十四章.Linux账号管理与 ACL 权限配置 最近升级日期:2009/09/09 要登陆 Linux 系统一定要有账号与口令才行,否则怎么登陆,您说是吧?不过,不同的使用者应该要拥有不同的权限才行 ...

最新文章

1. python random 随机生成一个数
2. Java Execution Process
3. postgres 物理格式
4. php获取随机字符串的几种方法
5. java jdbc6_Java学习-JDBC
6. vb中picturebox透明时看到下面的picturebox中图片
7. 死亡搁浅运送系统服务器,死亡搁浅订单23寻物系统服务器流程介绍-死亡搁浅订单23寻物系统服务器怎么做_牛游戏网...
8. ipv6 neutron应用（一）
9. Java：处理PDF
10. 冰点文库下载器的使用
11. sql建表与gp建表语句
12. MacQQ消息防撤回
13. 计算机做游戏软件视频,游戏主播用什么视频剪辑软件
14. FDD与TDD工作原理
15. 阿里云体验有礼：使用RDS和ECS搭建个人博客
16. SpringBoot之自定义starter
17. python flask豆瓣微信小程序案例
18. C primer plus 复习题答案（上）
19. BPM、BPMN介绍
20. html+css+js+快速入门

热门文章

1. 【mykit-data】 数据库同步工具
2. 从zookeeper的下载安装到环境配置，轻松入门zookeeper！
3. 漫画：什么是 “灰犀牛事件” ？
4. mysql frm 没有myd_为什么MySQL表只对应一个.frm文件，没有.MYD和.MYI文件_MySQL
5. 超硬核！腾讯运维岗面试必问11题，我说的，不信就来看看
6. 爬虫学习-第一弹-批量下载二次元好图
7. php编程 地位,4月编程语言排行榜_4月编程语言排行榜：java地位无可撼动,Python跌出前三...
8. UESTC--1251--谕神的密码（贪心）
9. 光伏逆变器市场现状及未来发展趋势
10. 毕业设计 单片机红外测距系统设计与实现 - 嵌入式