詳解路由器高級訪問控制列表ACL(路由器的訪問控制列表)
組網要求:
1. 完成拓撲中各設備的基礎配置,使得全網互通;
2. 在上一個需求的基礎上,在路由器上部署高級ACL,使得Client2無法訪問Server的HTTP服務,但是Client2依然能夠訪問Server的其他服務,及其他節點。其他流量不做限制。
一、eNSP實際操作視頻:
二、主要知識點:
ACL介紹
ACL是Access Control List的簡稱,中文是訪問控制列表。ACL包含了一系列條件語句,實際上是一系列包含“允許”或者“拒絕”的規則。換句話說,ACL是人為定義的一組或者幾組規則,以便設備判斷是否執行用戶規定的動作。
目的
網絡中的設備相互通信時,需要保障網絡傳輸的安全可靠和性能穩定。例如:
· 防止對網絡的攻擊,例如防止針對IP報文、TCP報文、ICMP報文的攻擊。
· 對網絡訪問行為進行控制,例如企業網中內、外網的通信,用戶訪問特定網絡資源的控制,特定時間段內允許對網絡的訪問。
· 限制網絡流量和提高網絡性能,例如限定網絡上行、下行流量的帶寬,對用戶申請的帶寬進行收費,保證高帶寬網絡資源的充分利用。
ACL的出現,有效地解決了上述問題,切實保障了網絡傳輸的穩定性和可靠性。
受益
ACL通過規則對報文進行分類,這些規則應用到路由設備上,路由設備根據這些規則判斷哪些報文可以接收,哪些報文需要拒絕,從而極大地提升了網絡的安全性。
ACL分類
根據ACL對IPv4和IPv6協議的支持情況,可以分為ACL4和ACL6。
按照功能對ACL4進行分類,如下表所示。
三、IP設置:
Client1:192.168.1.1/24,vlan10
Client2:192.168.1.2/24,vlan20
Router:192.168.1.254/24,10.1.1.254/24
Server1:10.1.1.1/24
四、配置步驟:
Client1、Client2使用eNSP中的Client模擬,完成IP地址和網關的配置;
Server使用eNSP中的Server模擬,完成IP地址和網關的配置,并且開啟HTTP服務。
路由器的基礎配置如下:
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] ip address 192.168.1.254 24
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 10.1.1.254 24
完成上述配置后,全網即可實現互通。接下來在Router上部署ACL:
[Router] acl 3000
[Router-acl-adv-3000] rule deny tcp source 192.168.1.2 0 destination 10.1.1.1 0 destination-port eq 80
#禁止源為192.168.1.2、目的為10.1.1.1,并且目的端口為80的
TCP流量
[Router-acl-adv-3000] rule permit ip
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] traffic-filter inbound acl 3000
完成上述配置后,Client1能夠訪問Server(所有服務),Client2能夠ping通Server,但是無法訪問Server的HTTP服務。
五、擴展內容:
eNSP能夠模擬FTP、HTTP、DNS的Server及Client,因此本實驗中涉及到的HTTP服務部分,可以使用eNSP的相關模擬設備來模擬:
譬如要模擬HTTP Server,則拖選Server圖標到畫布,雙擊打開配置界面填寫IP地址、網關地址等信息,完成這些基礎配置后,切換到“服務器信息”選項卡:
選擇左側的HTTPServer,然后在電腦上找一個文件夾作為HTTP的目錄,在上圖所示的界面中“文件根目錄”這里進行選擇(例如上圖中的E:\Test,這是電腦上的一個目錄,目錄里可以放置一個HTML文件)。完成配置后點擊“啟動”按鈕即可。
客戶端的配置也很簡單,拖選一個Client到畫布,然后雙擊Client,填寫客戶端IP地址、網關地址等信息,然后切換到“客戶端信息”這個選項卡,選擇HttpClient,然后輸入WEB服務器的地址,點擊獲取即可:
如果訪問成功,會彈出如下界面:
本實驗是通過華為模擬器eNSP1.3.00.100版(最新版)完成。該軟件還包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的設備IOS,可完成復雜網絡測試,需要該模擬器的朋友,可以轉發此文關注小編,私信小編【666】即可獲得。
