ACL 过滤奇偶IP和基础理论及实验（ac雷曦）

ACL 过滤奇偶IP和基础理论及实验（ac雷曦）

0x00 前言：

在企业网络的设备通信中，常面临一些非法流量访问的安全性及流量路径不优等问题，故为保证数据访问的安全性、提高链路带宽利用率，就需要对网络中的流量行为进行控制，如控制网络流量可达性、调整网络流量路径等。而当面对更加复杂、精细的流量控制需求时，就需要灵活地使用一些工具来实现，本课程将主要介绍一些有关流量控制的常用工具及其使用场景。

0x01 掌握ACL在企业网络中的应用：

1.ACL应用场景

ACL可以通过定义规则来允许或拒绝流量的通过。

ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。

1.2 ACL分类

1.3 ACL规则

每个ACL可以包含多个规则，RTA根据规则来对数据流量进行过滤。

0x02 基本ACL配置

命令配置：

[RTA]acl 2000

[RTA-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255

[RTA]interface GigabitEthernet 0/0/0

[RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 2000

配置确认查看命令:

0x03 高级ACL配置

[RTA]acl 3000

[RTA-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21

[RTA-acl-adv-3000]rule deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0

[RTA-acl-adv-3000]rule permit ip

[RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 3000

配置验证：

0x04 ACL应用-NAT

本例​要求通过ACL来实现主机A和主机B分别使用不同的公网地址池来进行NAT转换。

1.配置命令：

[RTA]nat address-group 1 202.110.10.8 202.110.10.15

[RTA]nat address-group 2 202.115.60.1 202.115.60.30

[RTA]acl 2000

[RTA-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

[RTA-acl-basic-2000]acl 2001

[RTA-acl-basic-2001]rule permit source 192.168.2.0 0.0.0.255

[RTA-acl-basic-2001]interface GigabitEthernet0/0/0

[RTA-GigabitEthernet0/0/0]nat outbound 2000 address-group 1

[RTA-GigabitEthernet0/0/0]nat outbound 2001 address-group 2

0x05 ACL过滤奇偶IP地址实验

需求：当内网数据经过AR1时，需要过滤24位网段中，所有奇数IP地址的主机，不能访问8.8.8.8

当内网数据经过AR1时，需要过滤24位网段中，所有偶数IP地址的主机，不能访问9.9.9.9

1.用PC1当内网来ping8.8.8.8和9.9.9.9 此时PC1的ip地址为192.168.1.1(奇数)要求不能访问8.8.8.8

2.用PC1当内网来ping8.8.8.8和9.9.9.9 此时PC1的ip地址为192.168.1.2(偶数)要求不能访问9.9.9.9

怎么来区分奇偶数 区分的是主机而不是路由

前面这三组是不变的，ACL通配符 0代表精确匹配1代表随机

192.168.1.0000 0001（二进制）最后一位为0代表偶数 奇数就修改为1最后一位

0. 0.0.1111 1110

192.168.1.1 0.0.0.254 奇数

192.168.1.0 0.0.0.254 偶数

总体配置

配置完ip地址后，配置高级ACL因为涉及到目的ip

之后挂接到接口下 来做应用配置

AR1：ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

AR2：ip route-static 0.0.0.0 0.0.0.0 12.1.1.1

此时在AR2上建立两个环回接口

先测试PC可以ping通AR2上环回接口

此时PC1的IP地址为192.168.1.1(奇数)奇数不能访问8.8.8.8，但可以ping通9.9.9.9

测试

此时可以看到 当PC的IP地址为奇数时可以访问9.9.9.9 但不可以访问8.8.8.8

当把PC的IP地址改为192.168.1.2（偶数）时可以访问8.8.8.8，但不能访问9.9.9.9

测试:

配置 在R1上：

acl number 3000

rule 5 deny ip source 192.168.1.1 0.0.0.254 destination 8.8.8.8 0  限制奇数不可以访问8.8.8.8 偶数可以

rule 10 deny ip source 192.168.1.0 0.0.0.254 destination 9.9.9.9 0  限制偶数不可以访问9.9.9.9 奇数可以

此时不用 permit any 默认放行所有 ACL在接口上做数据报文的过滤不需要放行所有 默认放行

此时写完了之后在接口上挂接此ACL;

在G0/0/0：traffic-filter inbound  acl 3000

此时来验证一下

PC地址为192.168.1.1（奇数）ping不通8.8.8.8 可以ping通9.9.9.9

PC地址为192.168.1.2（偶数）ping不同9.9.9.9可以ping通8.8.8.8

ACL的缺陷：无法匹配掩码

此时ACL只能匹配前缀，对于掩码来说没有这功能 这时候就用到前缀列表了

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。