实验46：ACL基本配置与应用

ACL介绍

ACL是Access Control List（访问控制列表）的缩写。ACL是一种用于控制资源访问权限的机制，常用于计算机系统和网络设备中。

ACL通过定义哪些用户或用户组可以访问特定资源，以及他们可以执行的操作类型，来管理对资源的访问。它可以用于文件系统、网络设备、数据库系统等各种应用中。

ACL通常以列表的形式存在，每个列表条目描述了一个主体（如用户、用户组、角色等）以及其对资源的访问权限。每个条目指定了主体的标识符和对应的权限设置，包括授权和拒绝。

ACL的主要目的是实现安全访问控制，确保只有经过授权的用户或用户组可以访问资源，并限制其可以执行的操作。它提供了细粒度的权限控制，使得管理员可以灵活地管理和配置系统的安全性。

了解基本ACL

配置基本ACL

了解高级ACL

配置高级ACL

Client1不能ping SERVER服务器，但可以访问SERVER的HTTP服务。PC不能访问Client1。

确定访问控制的需求：首先，你需要明确你的网络环境和要保护的资源。确定哪些主机、网络、服务或应用程序需要受到访问控制限制，以及你希望限制的访问类型（如入站、出站、特定协议等）。

列出规则：根据你的需求，列出访问控制规则。这些规则应涵盖允许或阻止特定的源IP地址、目标IP地址、协议类型和端口号等。例如，你可能想要允许来自特定IP地址范围的流量访问你的服务器，或者阻止某些特定协议的流量。

优先级排序：对于多个规则，确保按照适当的优先级顺序配置它们。ACL规则是按顺序匹配的，一旦找到与流量匹配的规则，后续规则将被忽略。因此，更严格的规则通常应该放在较高的优先级。

配置ACL：根据你的网络设备和操作系统，使用相应的命令或配置文件编辑器来配置ACL。例如，对于路由器或交换机，你可以使用命令行界面（CLI）或图形用户界面（GUI）进行配置。对于防火墙，你可能需要编辑防火墙规则集。

测试和验证：在应用新的ACL配置之前，务必测试和验证它们的功能和影响。你可以使用测试工具、模拟器或者实际流量来检查ACL是否按预期工作。确保已经测试过各种场景，包括允许的流量、被阻止的流量以及规则之间的优先级。

配置全局互通

配置R1地址

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 192.168.100.254 24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 192.168.200.254 24

测试全局连通性

创建高级acl 编号为3001

[SW1]acl 3001

规则编号为5 协议类型为tcp 源192.168.100.1 目标为192.168.200.1 端口号80

[SW1-acl-adv-3001]rule 5 permit tcp source 192.168.100.1 0 destination 192.168.200.1 0 destination-port eq 80

规则编号为10 协议类型为icmp 源192.168.100.1 目标为192.168.200.1

[SW1-acl-adv-3001]rule 10 deny icmp source 192.168.100.1 0 destination 192.168.200.1 0

绑定在g/0/0/3口上

[SW1-GigabitEthernet0/0/3]traffic-filter outbound acl 3001

发现可以访问http

创建高级acl为2001

[SW1]acl 2001

rule-id为5 deny命令表示“拒绝” 源为192.168.100.2

[SW1-acl-basic-2001]rule 5 deny source 192.168.100.2 0

Acl绑定在g0/0/1端口

[SW1-GigabitEthernet0/0/1]undo traffic-filter outbound acl 2001

在ping 192.168.100.1发现已经不连通。