《数据网组建与维护》课件-5.1任务1 ACL限制公司网络访问

基本ACL原理与配置主讲教师：刘晓君数据网组建与维护1基本ACL的原理2基本ACL的命令格式3典型案例应用4案例配置过程CONTENTS目录基本ACL的原理基本ACL只能基于IP报文的源IP地址、报文分片标记和时间段信息来定义规则。基本ACL的编号范围是2000～2999IP头部TCP/UDP头部数据源IP地址基本ACL的命令格式[Huawei]acl[number]acl-number[match-orderconfig]创建基本ACLacl-number：指定访问控制列表的编号。基本ACL编号范围：2000～2999。match-orderconfig：指定ACL规则的匹配顺序，config表示配置顺序。基本ACL的命令格式[Huawei-acl-basic-2000]rule[rule-id]{deny|permit}[source{source-addresssource-wildcard|any}|time-range

time-name]配置基本ACL的规则Rule：表示这是一条规则。rule-id：表示这条规则的编号。permit|deny：是一个“二选一”选项，表示与这条规则相关联的处理动作。用deny命令表示“拒绝”；用permit命令表示“允许”。Source：表示源IP地址信息。source-address表示具体的源IP地址。source-wildcard：表示与source-address相对应的通配符。any：表示源IP地址可以是任何地址。time-rangetime-name：指定ACL规则生效的时间段。其中，time-name表示ACL规则生效时间段名称。如果不指定时间段，表示任何时间都生效。基本ACL的命令格式traffic-filter{inbound|outbound}acl{acl-number|nameacl-name}3.traffic-filter命令：用来在接口上配置基于ACL对报文进行过滤。inbound：指定在接口入方向上配置报文过滤。outbound：指定在接口出方向上配置报文过滤。acl：指定基于IPv4ACL对报文进行过滤。典型案例应用案例背景与要求：某公司网络包含了研发部门办公区、总裁办公室和财务部办公区域。出于信息安全方面的考虑，我们需要禁止研发部门访问财务部服务器。总裁办公室192.168.1.1/24研发部门192.168.2.1/24财务部服务器192.168.3.1/24G0/0/1G0/0/2G0/0/0R1PC2PC1案例配置过程1.R1已完成IP地址的相关配置[Router]acl2000[Router-acl-basic-2000]ruledenysource192.168.2.00.0.0.2552.在R1上创建基本ACL，禁止192.168.2.0/24网段访问服务器网络：[Router]interfaceGigabitEthernet0/0/0[Router-GigabitEthernet0/0/1]traffic-filteroutboundacl2000[Router-GigabitEthernet0/0/1]quit3.由于从接口GE0/0/0离开R1，所以在接口GE0/0/0的出方向配置流量过滤：案例配置验证1.在PC1上执行【ping192.168.3.1】命令PC>ping192.168.3.1Ping192.168.3.1:32databytes,PressCtrl_CtobreakFrom192.168.3.1:bytes=32seq=1ttl=127time<1msFrom192.168.3.1:bytes=32seq=2ttl=127time<1msFrom192.168.3.1:bytes=32seq=3ttl=127time<1msFrom192.168.3.1:bytes=32seq=4ttl=127time<1msFrom192.168.3.1:bytes=32seq=5ttl=127time<1ms---192.168.3.1pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetloss2.在PC2上执行【ping192.168.3.1】命令PC>ping192.168.3.1Ping192.168.3.1:32databytes,PressCtrl_CtobreakRequesttimeout!Requesttimeout!Requesttimeout!Requesttimeout!Requesttimeout!---192.168.3.1pingstatistics---5packet(s)transmitted