路由交換設(shè)備項目化管理與配置 課件 項目14 訪問控制列表ACL配置

項目14

訪問控制列表ACL配置目錄CONTENTS知識鏈接網(wǎng)絡(luò)文檔、VRP文件系統(tǒng)、網(wǎng)絡(luò)管理命令項目設(shè)計網(wǎng)絡(luò)拓?fù)鋱D、IP地址、DNS設(shè)計項目描述為微小企業(yè)局域網(wǎng)部署鏈路聚合項目實施與驗證鏈路聚合功能驗證0103020401PART020304知識鏈接1.1ACL訪問控制列表01021.1.1ACL訪問控制列表概述ACL是由permit或deny語句組成的一系列有順序的規(guī)則的集合；能夠匹配一個IP數(shù)據(jù)包中的源IP地址、目的IP地址、協(xié)議類型、源目的端口等元素的基礎(chǔ)性工具，它通過匹配報文的相關(guān)字段實現(xiàn)對報文的分類。除此之外，ACL還能夠用于匹配路由條目。1.1.2ACL訪問控制列表的組成ACL由若干條permit或deny語句組成。每條語句就是該ACL的一條規(guī)則，每條語句中的permit或deny就是與這條規(guī)則相對應(yīng)的處理動作。ACL由編號、規(guī)則、規(guī)則編號、動作、和匹配項組成1.1ACL訪問控制列表01021.1.3ACL訪問控制列表的分類ACL訪問控制列表按照ACL規(guī)則定義方式，可分為基本ACL、高級ACL、二層ACL、用戶自定義ACL和用戶ACL。按照ACL標(biāo)識方法可分為數(shù)字型ACL和命名型ACL。（1）基本ACL的編號范圍為2000~2999，使用報文的源IP地址、分片信息和生效時間段信息來定義規(guī)則。（2）高級ACL的編號范圍為3000~3999，使用IPv4報文的源IP地址、目的IP地址、IP協(xié)議類型、ICMP類型、TCP源/目的端口號、UDP源/目的端口號、生效時間段等來定義規(guī)則。（3）二層ACL的編號范圍為4000~4999，使用報文的以太網(wǎng)幀頭信息來定義規(guī)則，如根據(jù)源MAC地、目的MAC地址、二層協(xié)議類型等。（4）用戶自定義ACL的編號范圍為5000~5999，使用報文頭、偏移位置、字符串掩碼和用戶自定義字符串來定義規(guī)則。（5）用戶ACL的編號范圍為6000~6999，既可使用IPv4報文的源IP地址或源UCL（UserControlList）組，也可使用目的IP地址或目的UCL組、IP協(xié)議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號等來定義規(guī)則。（6）數(shù)字型ACL是傳統(tǒng)的ACL標(biāo)識方法。創(chuàng)建ACL時，指定一個唯一的數(shù)字標(biāo)識該ACL。（7）命名型ACL是通過名稱代替編號來標(biāo)識ACL。用戶在創(chuàng)建ACL時可以為其指定編號，不同的編號對應(yīng)不同類型的ACL。1.1ACL訪問控制列表01021.1.4ACL訪問控制列表的匹配機(jī)制配置ACL的設(shè)備接收報文后，會將該報文與ACL中的規(guī)則逐條進(jìn)行匹配，如果不能匹配上，就會繼續(xù)嘗試去匹配下一條規(guī)則。一旦匹配上，則設(shè)備會對該報文執(zhí)行這條規(guī)則中定義的處理動作，并且不再繼續(xù)嘗試與后續(xù)規(guī)則匹配。1.1ACL訪問控制列表01021.1.5ACL訪問控制列表的部署根據(jù)數(shù)據(jù)報文流向，在路由器數(shù)據(jù)流入接口需要部署在inbound入站方向。在路由器數(shù)據(jù)流出接口需要部署在outbound出站方向。1.2ACL訪問控制列表配置常用命令01021.創(chuàng)建基本ACLacl[number]acl-number[match-orderconfig]使用編號（2000~2999）創(chuàng)建一個數(shù)字型的基本ACL，并進(jìn)入基本ACL視圖。2.配置基本ACL規(guī)則rule[rule-id]{deny|permit}[source{source-addresssource-wildcard|any}|time-rangetime-name]在基本ACL視圖下，通過此命令來配置基本ACL的規(guī)則。3.在接口上配置基于ACL對報文進(jìn)行過濾traffic-filter{inbound|outbound}acl{acl-number|nameacl-name}traffic-filter命令中，inbound指定在接口入方向上配置報文過濾；outbound指定在接口出方向上配置報文過濾；acl指定基于IPv4ACL對報文進(jìn)行過濾。4.創(chuàng)建高級ACLacl[number]acl-number[match-orderconfig]使用編號（3000~3999）創(chuàng)建一個數(shù)字型的高級ACL，并進(jìn)入高級ACL視圖知識鏈接1.2ACL訪問控制列表配置常用命令01025.配置高級ACL規(guī)則根據(jù)IP承載的協(xié)議類型不同，在設(shè)備上配置不同的高級ACL規(guī)則。對于不同的協(xié)議類型，有不同的參數(shù)組合。（1）當(dāng)參數(shù)protocol為IP時，高級ACL的命令格式為：rule[rule-id]{deny|permit}ip[destination{destination-addressdestination-wildcard|any}|source{source-address|source-wildcard|any}|time-rangetime-name|[dscpdscp|[tostos|precedenceprecedence]]]在高級ACL視圖下，通過此命令來配置高級ACL的規(guī)則。（2）當(dāng)參數(shù)protocol為TCP時，高級ACL的命令格式為：rule[rule-id]{deny|permit}{protocol-number|tcp}[destination{destination-addressdestination-wildcard|any}|destination-port{eqport|gtport|ltport|rangeport-startport-end}|source{source-addresssource-wildcard|any}|source-port{eqport|gtport|ltport|rangeport-startport-end}|tcp-flag{ack|fin|syn}*|time-rangetime-name]*在高級ACL視圖下，通過此命令來配置高級ACL的規(guī)則。知識鏈接02PART010304項目描述2.1項目簡介0102

A公司的局域網(wǎng)/24有兩個子網(wǎng)，分別是子網(wǎng)/25和子網(wǎng)28/25。前一個子網(wǎng)是由公司的計算機(jī)組成的局域網(wǎng)，后一個子網(wǎng)是公司的網(wǎng)絡(luò)資源子網(wǎng)，包括WWW和DNS網(wǎng)咨資源。為保證公司信息安全，公司決定不允許合作伙伴公司的局域網(wǎng)/24的主機(jī)訪問本公司的網(wǎng)絡(luò)資源，但允許與本公司的主機(jī)通信。為了提高員工工作效率，公司規(guī)定VLAN10的主機(jī)不能訪問外網(wǎng)的WWW資源。項目描述03PART010204項目設(shè)計單擊輸入你的正文3.1總體設(shè)計及設(shè)計參數(shù)0102ACL配置由五部分組成：（1）配置終端計算機(jī)PC的IP地址。公司內(nèi)部局域網(wǎng)網(wǎng)段為/24，按照職能部門劃分為兩個VLAN，一個是由公司職員計算機(jī)組成的局域網(wǎng)，網(wǎng)段為/25，VLAN號為10，一個是公司的網(wǎng)絡(luò)資源，包括WWW和DNS網(wǎng)咨資源，組成的子網(wǎng)，網(wǎng)段為28/25，VLAN號為20。VLAN間的通信由路由器RTA實現(xiàn)。全網(wǎng)使用OSPF路由協(xié)議實現(xiàn)終端網(wǎng)絡(luò)互通。（2）配置路由器接口IP地址。路由器之間用串口連接的網(wǎng)絡(luò)使用/24網(wǎng)段的子網(wǎng)，子網(wǎng)掩碼的長度為30，使用了該網(wǎng)段的第10到第11號子網(wǎng)。（3）配置ospf動態(tài)路由協(xié)議，實現(xiàn)網(wǎng)絡(luò)互通，設(shè)計所有路由器都在區(qū)域0中。（4）ACL配置。合作伙伴可以訪問公司的主機(jī)但不能訪問網(wǎng)絡(luò)資源，主要是對源地址的設(shè)備實施訪問控制，因此，采用基本ACL實現(xiàn)網(wǎng)絡(luò)設(shè)備間的訪問控制目標(biāo)，訪問控制列表號為2000；員工不能訪問外網(wǎng)的WWW資源，采用高級ACL實現(xiàn)對網(wǎng)絡(luò)特定資源訪問控制，訪問控制列表號為3000。（5）項目實施結(jié)果驗證ACL能夠?qū)崿F(xiàn)資源的訪問控制。項目設(shè)計3.1總體設(shè)計及設(shè)計參數(shù)0102項目設(shè)計計算機(jī)名IP地址網(wǎng)關(guān)VLANID與域名PC1/252610WWW29/255420，DNS30/255420PC2/2454

HTTP/2454序號接口子網(wǎng)號接口IP地址通配符AR1GE0/0/0.10/252627GE0/0/0.2028/2554Serial1/0/06/307AR2Serial1/0/06/308Serial1/0/10/301AR3Serial1/0/00/302GE0/0/0/245404PART010203項目實施與驗證單擊輸入你的正文4.1配置計算機(jī)0102配置計算機(jī)IP地址及網(wǎng)絡(luò)服務(wù)項目實施與驗證4.2配置VLAN01024.2.1在交換機(jī)LSW1配置VLAN，配置命令項目實施與驗證<Huawei>sys[Huawei]undoinfo-centerenable[Huawei]vlanbatch1020[Huawei]intEthernet0/0/1[Huawei-Ethernet0/0/1]portlink-typeaccess[Huawei-Ethernet0/0/1]portdefaultvlan10[Huawei-Ethernet0/0/1]quit[Huawei]intEthernet0/0/2[Huawei-Ethernet0/0/2]portlink-typeaccess[Huawei-Ethernet0/0/2]portdefaultvlan20[Huawei-Ethernet0/0/2]quit[Huawei]intEthernet0/0/3[Huawei-Ethernet0/0/3]portlink-typeaccess[Huawei-Ethernet0/0/3]portdefaultvlan20[Huawei-Ethernet0/0/3]quit[Huawei]intGigabitEthernet0/0/1[Huawei-GigabitEthernet0/0/1]portlink-typetrunk[Huawei-GigabitEthernet0/0/1]porttrunkallow-passvlanall[Huawei-GigabitEthernet0/0/1]quit4.3配置路由器接口IP地址01024.3.1配置AR1接口IP地址，配置命令項目實施與驗證<Huawei>sys[Huawei]undoinfo-centerenable[Huawei]intSerial1/0/0[Huawei-Serial1/0/0]ipadd730[Huawei-Serial1/0/0]quit[Huawei]intGigabitEthernet0/0/0.10[Huawei-GigabitEthernet0/0/0.10]dot1qterminationvid10[Huawei-GigabitEthernet0/0/0.10]ipadd2625[Huawei-GigabitEthernet0/0/0.10]arpbroadcastenable[Huawei-GigabitEthernet0/0/0.10]quit[Huawei]intGigabitEthernet0/0/0.20[Huawei-GigabitEthernet0/0/0.20]dot1qterminationvid20[Huawei-GigabitEthernet0/0/0.20]ipadd5425[Huawei-GigabitEthernet0/0/0.20]arpbroadcastenable[Huawei-GigabitEthernet0/0/0.20]quit4.3配置路由器接口IP地址01024.3.2配置AR2接口IP地址，配置命令項目實施與驗證<Huawei>sys[Huawei]undoinfo-centerenable[Huawei]intSerial1/0/0[Huawei-Serial1/0/0]ipadd830[Huawei-Serial1/0/0]quit[Huawei]intSerial1/0/1[Huawei-Serial1/0/1]ipadd1304.3配置路由器接口IP地址01024.3.3配置AR3接口IP地址，配置命令<Huawei>sys[Huawei]undoinfo-centerenable[Huawei]intSerial1/0/0[Huawei-Serial1/0/0]ipadd230[Huawei-Serial1/0/0]quit[Huawei]intGigabitEthernet0/0/0[Huawei-GigabitEthernet0/0/0]ipadd5424項目實施與驗證4.4配置ospf協(xié)議01024.4.1AR1配置ospf協(xié)議，配置命令項目實施與驗證[Huawei]intLoopBack0[Huawei-LoopBack0]ipadd32[Huawei-LoopBack0]quit[Huawei]ospf1router-id[Huawei-ospf-1]area0[Huawei-ospf-1-area-]network27[Huawei-ospf-1-area-]network2827[Huawei-ospf-1-area-]network64.4配置ospf協(xié)議01024.4.2AR2配置ospf協(xié)議，配置命令項目實施與驗證[Huawei]intLoopBack0[Huawei-LoopBack0]ipaddress32[Huawei-LoopBack0]quit[Huawei]ospf1router-id[Huawei-ospf-1]area0[Huawei-ospf-1-area-]network6[Huawei-ospf-1-area-]network04.4配置ospf協(xié)議01024.4.3AR3配置ospf協(xié)議，配置命令項目實施與驗證[Huawei]intLoopBack0[Huawei-LoopBack0]ipadd32[Huawei]ospf1router-id[Huawei-ospf-1-area-]network0[Huawei-ospf-1-area-]network554.4配置ospf協(xié)議01024.4.4網(wǎng)絡(luò)功能測試項目實施與驗證PC>pingPing:32databytes,PressCtrl_CtobreakRequesttimeout!From:bytes=32seq=2ttl=252time=47ms......PC>ping29Ping29:32databytes,PressCtrl_CtobreakFrom29:bytes=32seq=1ttl=252time=62ms......PC>ping30Ping30:32databytes,PressCtrl_CtobreakFrom30:bytes=32seq=2ttl=252time=47ms4.5配置基本ACL0102AR1上配置基本ACL，實現(xiàn)外部網(wǎng)絡(luò)不能訪問公司VLAN20所在的公司內(nèi)網(wǎng)網(wǎng)絡(luò)資源，配置命令[Huawei]acl2000[Huawei-acl-basic-2000]ruledenysource55[Huawei-acl-basic-2000]rulepermitsourceany[Huawei-acl-basic-2000]quit[Huaw