《数据网组建与维护》课件——5.1任务1 ACL限制公司网络访问.pptx
基本ACL原理与配置主讲教师:刘晓君数据网组建与维护
1基本ACL的原理2基本ACL的命令格式3典型案例应用4案例配置过程CONTENTS目录
基本ACL的原理基本ACL只能基于IP报文的源IP地址、报文分片标记和时间段信息来定义规则。基本ACL的编号范围是2000~2999IP头部TCP/UDP头部数据源IP地址
基本ACL的命令格式[Huawei]acl[number]acl-number[match-orderconfig]创建基本ACLacl-number:指定访问控制列表的编号。基本ACL编号范围:2000~2999。match-orderconfig:指定ACL规则的匹配顺序,config表示配置顺序。
基本ACL的命令格式[Huawei-acl-basic-2000]rule[rule-id]{deny|permit}[source{source-addresssource-wildcard|any}|time-rangetime-name]配置基本ACL的规则Rule:表示这是一条规则。rule-id:表示这条规则的编号。permit|deny:是一个“二选一”选项,表示与这条规则相关联的处理动作。用deny命令表示“拒绝”;用permit命令表示“允许”。Source:表示源IP地址信息。source-address表示具体的源IP地址。source-wildcard:表示与source-address相对应的通配符。any:表示源IP地址可以是任何地址。time-rangetime-name:指定ACL规则生效的时间段。其中,time-name表示ACL规则生效时间段名称。如果不指定时间段,表示任何时间都生效。
基本ACL的命令格式traffic-filter{inbound|outbound}acl{acl-number|nameacl-name}3.traffic-filter命令:用来在接口上配置基于ACL对报文进行过滤。inbound:指定在接口入方向上配置报文过滤。outbound:指定在接口出方向上配置报文过滤。acl:指定基于IPv4ACL对报文进行过滤。
典型案例应用案例背景与要求:某公司网络包含了研发部门办公区、总裁办公室和财务部办公区域。出于信息安全方面的考虑,我们需要禁止研发部门访问财务部服务器。总裁办公室192.168.1.1/24研发部门192.168.2.1/24财务部服务器192.168.3.1/24G0/0/1G0/0/2G0/0/0R1PC2PC1
案例配置过程1.R1已完成IP地址的相关配置[Router]acl2000[Router-acl-basic-2000]ruledenysource192.168.2.00.0.0.2552.在R1上创建基本ACL,禁止192.168.2.0/24网段访问服务器网络:[Router]interfaceGigabitEthernet0/0/0[Router-GigabitEthernet0/0/1]traffic-filteroutboundacl2000[Router-GigabitEthernet0/0/1]quit3.由于从接口GE0/0/0离开R1,所以在接口GE0/0/0的出方向配置流量过滤:
案例配置验证1.在PC1上执行【ping192.168.3.1】命令PCping192.168.3.1Ping192.168.3.1:32databytes,PressCtrl_CtobreakFrom192.168.3.1:bytes=32seq=1ttl=127time1msFrom192.168.3.1:bytes=32seq=2ttl=127time1msFrom192.168.3.1:bytes=32seq=3ttl=127time1msFrom192.168.3.1:bytes=32seq=4ttl=127time1msFrom192.168.3.1:bytes=32seq=5ttl=127time1ms---192.168.3.1pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetloss2.在PC2上执行【ping192.168.3.1】命令PCping192.168.3.1Ping192.168.3.1:32databytes,PressCtrl_Ctobrea