路由交换设备项目化管理与配置 课件 项目14 访问控制列表ACL配置

项目14

访问控制列表ACL配置目录CONTENTS知识链接网络文档、VRP文件系统、网络管理命令项目设计网络拓扑图、IP地址、DNS设计项目描述为微小企业局域网部署链路聚合项目实施与验证链路聚合功能验证0103020401PART020304知识链接1.1ACL访问控制列表01021.1.1ACL访问控制列表概述ACL是由permit或deny语句组成的一系列有顺序的规则的集合；能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具，它通过匹配报文的相关字段实现对报文的分类。除此之外，ACL还能够用于匹配路由条目。1.1.2ACL访问控制列表的组成ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。ACL由编号、规则、规则编号、动作、和匹配项组成1.1ACL访问控制列表01021.1.3ACL访问控制列表的分类ACL访问控制列表按照ACL规则定义方式，可分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL。按照ACL标识方法可分为数字型ACL和命名型ACL。（1）基本ACL的编号范围为2000~2999，使用报文的源IP地址、分片信息和生效时间段信息来定义规则。（2）高级ACL的编号范围为3000~3999，使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。（3）二层ACL的编号范围为4000~4999，使用报文的以太网帧头信息来定义规则，如根据源MAC地、目的MAC地址、二层协议类型等。（4）用户自定义ACL的编号范围为5000~5999，使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。（5）用户ACL的编号范围为6000~6999，既可使用IPv4报文的源IP地址或源UCL（UserControlList）组，也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。（6）数字型ACL是传统的ACL标识方法。创建ACL时，指定一个唯一的数字标识该ACL。（7）命名型ACL是通过名称代替编号来标识ACL。用户在创建ACL时可以为其指定编号，不同的编号对应不同类型的ACL。1.1ACL访问控制列表01021.1.4ACL访问控制列表的匹配机制配置ACL的设备接收报文后，会将该报文与ACL中的规则逐条进行匹配，如果不能匹配上，就会继续尝试去匹配下一条规则。一旦匹配上，则设备会对该报文执行这条规则中定义的处理动作，并且不再继续尝试与后续规则匹配。1.1ACL访问控制列表01021.1.5ACL访问控制列表的部署根据数据报文流向，在路由器数据流入接口需要部署在inbound入站方向。在路由器数据流出接口需要部署在outbound出站方向。1.2ACL访问控制列表配置常用命令01021.创建基本ACLacl[number]acl-number[match-orderconfig]使用编号（2000~2999）创建一个数字型的基本ACL，并进入基本ACL视图。2.配置基本ACL规则rule[rule-id]{deny|permit}[source{source-addresssource-wildcard|any}|time-rangetime-name]在基本ACL视图下，通过此命令来配置基本ACL的规则。3.在接口上配置基于ACL对报文进行过滤traffic-filter{inbound|outbound}acl{acl-number|nameacl-name}traffic-filter命令中，inbound指定在接口入方向上配置报文过滤；outbound指定在接口出方向上配置报文过滤；acl指定基于IPv4ACL对报文进行过滤。4.创建高级ACLacl[number]acl-number[match-orderconfig]使用编号（3000~3999）创建一个数字型的高级ACL，并进入高级ACL视图知识链接1.2ACL访问控制列表配置常用命令01025.配置高级ACL规则根据IP承载的协议类型不同，在设备上配置不同的高级ACL规则。对于不同的协议类型，有不同的参数组合。（1）当参数protocol为IP时，高级ACL的命令格式为：rule[rule-id]{deny|permit}ip[destination{destination-addressdestination-wildcard|any}|source{source-address|source-wildcard|any}|time-rangetime-name|[dscpdscp|[tostos|precedenceprecedence]]]在高级ACL视图下，通过此命令来配置高级ACL的规则。（2）当参数protocol为TCP时，高级ACL的命令格式为：rule[rule-id]{deny|permit}{protocol-number|tcp}[destination{destination-addressdestination-wildcard|any}|destination-port{eqport|gtport|ltport|rangeport-startport-end}|source{source-addresssource-wildcard|any}|source-port{eqport|gtport|ltport|rangeport-startport-end}|tcp-flag{ack|fin|syn}*|time-rangetime-name]*在高级ACL视图下，通过此命令来配置高级ACL的规则。知识链接02PART010304项目描述2.1项目简介0102

A公司的局域网/24有两个子网，分别是子网/25和子网28/25。前一个子网是由公司的计算机组成的局域网，后一个子网是公司的网络资源子网，包括WWW和DNS网咨资源。为保证公司信息安全，公司决定不允许合作伙伴公司的局域网/24的主机访问本公司的网络资源，但允许与本公司的主机通信。为了提高员工工作效率，公司规定VLAN10的主机不能访问外网的WWW资源。项目描述03PART010204项目设计单击输入你的正文3.1总体设计及设计参数0102ACL配置由五部分组成：（1）配置终端计算机PC的IP地址。公司内部局域网网段为/24，按照职能部门划分为两个VLAN，一个是由公司职员计算机组成的局域网，网段为/25，VLAN号为10，一个是公司的网络资源，包括WWW和DNS网咨资源，组成的子网，网段为28/25，VLAN号为20。VLAN间的通信由路由器RTA实现。全网使用OSPF路由协议实现终端网络互通。（2）配置路由器接口IP地址。路由器之间用串口连接的网络使用/24网段的子网，子网掩码的长度为30，使用了该网段的第10到第11号子网。（3）配置ospf动态路由协议，实现网络互通，设计所有路由器都在区域0中。（4）ACL配置。合作伙伴可以访问公司的主机但不能访问网络资源，主要是对源地址的设备实施访问控制，因此，采用基本ACL实现网络设备间的访问控制目标，访问控制列表号为2000；员工不能访问外网的WWW资源，采用高级ACL实现对网络特定资源访问控制，访问控制列表号为3000。（5）项目实施结果验证ACL能够实现资源的访问控制。项目设计3.1总体设计及设计参数0102项目设计计算机名IP地址网关VLANID与域名PC1/252610WWW29/255420，DNS30/255420PC2/2454

HTTP/2454序号接口子网号接口IP地址通配符AR1GE0/0/0.10/252627GE0/0/0.2028/2554Serial1/0/06/307AR2Serial1/0/06/308Serial1/0/10/301AR3Serial1/0/00/302GE0/0/0/245404PART010203项目实施与验证单击输入你的正文4.1配置计算机0102配置计算机IP地址及网络服务项目实施与验证4.2配置VLAN01024.2.1在交换机LSW1配置VLAN，配置命令项目实施与验证<Huawei>sys[Huawei]undoinfo-centerenable[Huawei]vlanbatch1020[Huawei]intEthernet0/0/1[Huawei-Ethernet0/0/1]portlink-typeaccess[Huawei-Ethernet0/0/1]portdefaultvlan10[Huawei-Ethernet0/0/1]quit[Huawei]intEthernet0/0/2[Huawei-Ethernet0/0/2]portlink-typeaccess[Huawei-Ethernet0/0/2]portdefaultvlan20[Huawei-Ethernet0/0/2]quit[Huawei]intEthernet0/0/3[Huawei-Ethernet0/0/3]portlink-typeaccess[Huawei-Ethernet0/0/3]portdefaultvlan20[Huawei-Ethernet0/0/3]quit[Huawei]intGigabitEthernet0/0/1[Huawei-GigabitEthernet0/0/1]portlink-typetrunk[Huawei-GigabitEthernet0/0/1]porttrunkallow-passvlanall[Huawei-GigabitEthernet0/0/1]quit4.3配置路由器接口IP地址01024.3.1配置AR1接口IP地址，配置命令项目实施与验证<Huawei>sys[Huawei]undoinfo-centerenable[Huawei]intSerial1/0/0[Huawei-Serial1/0/0]ipadd730[Huawei-Serial1/0/0]quit[Huawei]intGigabitEthernet0/0/0.10[Huawei-GigabitEthernet0/0/0.10]dot1qterminationvid10[Huawei-GigabitEthernet0/0/0.10]ipadd2625[Huawei-GigabitEthernet0/0/0.10]arpbroadcastenable[Huawei-GigabitEthernet0/0/0.10]quit[Huawei]intGigabitEthernet0/0/0.20[Huawei-GigabitEthernet0/0/0.20]dot1qterminationvid20[Huawei-GigabitEthernet0/0/0.20]ipadd5425[Huawei-GigabitEthernet0/0/0.20]arpbroadcastenable[Huawei-GigabitEthernet0/0/0.20]quit4.3配置路由器接口IP地址01024.3.2配置AR2接口IP地址，配置命令项目实施与验证<Huawei>sys[Huawei]undoinfo-centerenable[Huawei]intSerial1/0/0[Huawei-Serial1/0/0]ipadd830[Huawei-Serial1/0/0]quit[Huawei]intSerial1/0/1[Huawei-Serial1/0/1]ipadd1304.3配置路由器接口IP地址01024.3.3配置AR3接口IP地址，配置命令<Huawei>sys[Huawei]undoinfo-centerenable[Huawei]intSerial1/0/0[Huawei-Serial1/0/0]ipadd230[Huawei-Serial1/0/0]quit[Huawei]intGigabitEthernet0/0/0[Huawei-GigabitEthernet0/0/0]ipadd5424项目实施与验证4.4配置ospf协议01024.4.1AR1配置ospf协议，配置命令项目实施与验证[Huawei]intLoopBack0[Huawei-LoopBack0]ipadd32[Huawei-LoopBack0]quit[Huawei]ospf1router-id[Huawei-ospf-1]area0[Huawei-ospf-1-area-]network27[Huawei-ospf-1-area-]network2827[Huawei-ospf-1-area-]network64.4配置ospf协议01024.4.2AR2配置ospf协议，配置命令项目实施与验证[Huawei]intLoopBack0[Huawei-LoopBack0]ipaddress32[Huawei-LoopBack0]quit[Huawei]ospf1router-id[Huawei-ospf-1]area0[Huawei-ospf-1-area-]network6[Huawei-ospf-1-area-]network04.4配置ospf协议01024.4.3AR3配置ospf协议，配置命令项目实施与验证[Huawei]intLoopBack0[Huawei-LoopBack0]ipadd32[Huawei]ospf1router-id[Huawei-ospf-1-area-]network0[Huawei-ospf-1-area-]network554.4配置ospf协议01024.4.4网络功能测试项目实施与验证PC>pingPing:32databytes,PressCtrl_CtobreakRequesttimeout!From:bytes=32seq=2ttl=252time=47ms......PC>ping29Ping29:32databytes,PressCtrl_CtobreakFrom29:bytes=32seq=1ttl=252time=62ms......PC>ping30Ping30:32databytes,PressCtrl_CtobreakFrom30:bytes=32seq=2ttl=252time=47ms4.5配置基本ACL0102AR1上配置基本ACL，实现外部网络不能访问公司VLAN20所在的公司内网网络资源，配置命令[Huawei]acl2000[Huawei-acl-basic-2000]ruledenysource55[Huawei-acl-basic-2000]rulepermitsourceany[Huawei-acl-basic-2000]quit[Huaw