使用基本ACL实现内网安全

使用基本ACL实现内网安全

使用基本ACL实现内网安全

基本ACL只能基于IP报文的源IP地址、报文分片标记和时间段信息来定义规则。下面就以一家企业的网络为例，讲述基本ACL的用法。

根据数据包从源网络到目标网络的路径，在必经之地（某个路由器的接口）进行数据包过滤。在创建ACL之前，需要先确定在沿途的哪个路由器的哪个接口的哪个方向进行包过滤，才能确定ACL中规则中源地址。

如图1所示，某企业内网有三个网段，VLAN 10是财务部服务器，VLAN 20是工程部网段，VLAN 30是财务网段，企业路由器AR1连接Internet，现需要在AR1上创建ACL实现以下功能。

源IP地址为私有地址的流量不能从Internet进入企业网络。财务部服务器只能由财务部中的计算机访问。

​

​

​

图1 企业网络

首先确定需要创建两个ACL，一个绑定到AR1路由器的GE0/0/0接口入向，一个绑定到AR1的vlanif 10接口的出向。

在AR1上创建基本两个基本ACL 2000和2010。

[RA1]acl ?

INTEGER<2000-2999> Basic access-list(add to current using rules) --基本ACL编号范围

INTEGER<3000-3999> Advanced access-list(add to current using rules) --高级ACL编号范围

INTEGER<4000-4999> Specify a L2 acl group

ipv6 ACL IPv6

name Specify a named ACL

number Specify a numbered ACL

​

[AR1]acl 2000

[AR1-acl-basic-2000]rule deny source 10.0.0.0 0.255.255.255

[AR1-acl-basic-2000]rule deny source 172.16.0.0 0.15.255.255

[AR1-acl-basic-2000]rule deny source 192.168.0.0 0.0.255.255

[AR1-acl-basic-2000]quit

[AR1]acl 2010

[AR1-acl-basic-2010]rule permit source 10.10.30.0 0.0.0.255

[AR1-acl-basic-2010]rule 20 deny source any --指定规则编号

[AR1-acl-basic-2010]quit

在一个ACL中可以添加多条规则（rule），每条规则指定一个编号（Rule-ID），如果不指定，就由系统自动根据步长生成，默认步长为5，Rule-ID默认按照配置先后顺序分配0，5，10，15，匹配顺序按照ACL的Rule-ID的值，从小到大进行匹配。不连续的Rule-ID编号方便我们以后插入规则，比如在Rule-ID是5和10之间插入一条Rule-ID为7的规则。也可以根据Rule-ID删除规则。

输入display acl all查看全部ACL，输入display acl 2000可以查看编号是2000的acl。

[AR1]display acl all

Total quantity of nonempty ACL number is 2

​

Basic ACL 2000, 3 rules

Acl's step is 5

rule 5 deny source 10.0.0.0 0.255.255.255

rule 10 deny source 172.16.0.0 0.15.255.255

rule 15 deny source 192.168.0.0 0.0.255.255

​

Basic ACL 2010, 2 rules

Acl's step is 5

rule 5 permit source 10.10.30.0 0.0.0.255

rule 20 deny

将创建的ACL绑定到接口。

[AR1]interface GigabitEthernet 0/0/0

[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

[AR1-GigabitEthernet0/0/0]quit

[AR1]interface Vlanif 1

[AR1-Vlanif1]quit

[AR1]interface Vlanif 10

[AR1-Vlanif10]traffic-filter outbound acl 2010

[AR1-Vlanif10]quit

​

ACL定义好之后，还可以对其进行编辑，删除其中的规则，也可以在指定位置插入规则。

现在修改ACL 2000，删除其中的规则10，添加一条规则，允许10.30.30.0/24网段通过，大家想想这条规则应该放到什么位置。

[RA1]acl 2000

[RA1-acl-basic-2000]undo rule 10 --删除rule 10

[RA1-acl-basic-2000]rule 2 permit source 10.30.30.0 0.0.0.255 --插入rule 2 编号要小于5

[RA1-acl-basic-2000]rule 15 permit source 192.168.0.0 0.0.255.255 --修改rule 15 将其改成permit

[AR1-acl-basic-2000]display this

[V200R003C00]

#

acl number 2000

rule 2 permit source 10.30.30.0 0.0.0.255

rule 5 deny source 10.0.0.0 0.255.255.255

rule 15 permit source 192.168.0.0 0.0.255.255

#

return

​

删除ACL，并不自动删除接口的绑定，还需要在接口删除绑定的ACL。

[RA1]undo acl 2000

[RA1]interface GigabitEthernet 0/0/0

[AR1-GigabitEthernet0/0/0]display this

[V200R003C00]

#

interface GigabitEthernet0/0/0

ip address 20.1.1.1 255.255.255.0

traffic-filter inbound acl 2000 --acl 2000依然绑定在出口

#

return

[AR1-GigabitEthernet0/0/0]undo traffic-filter inbound --解除绑定

此文章来自于《华为认证（2021新版HCIA教材）》

京东购买本书

​华三网络工程师课程中有问题联系韩老师

韩立刚老师wx hanligangdongqing

华为认证（2021新版HCIA教材）课程链接 ​​https://edu./course/28956.html​​​

​

韩老师招收正式学生、门徒级套餐

​https://edu./topic/819.html​

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。