acl规则的配置

最新推荐文章于 2024-05-26 21:34:47 发布

yhxtxdy

最新推荐文章于 2024-05-26 21:34:47 发布

阅读量2.2k

点赞数

文章标签：网络

本文链接： https://blog.csdn.net/m0_66431375/article/details/123848453

版权

技术背景：需要一个工具实现流量过滤

使用eNSP搭建一个实验环境拓扑图如下

需求如下：

需求1：先使PC1/PC2,Server1/Server2能互相通信
需求2：使PC1不能访问Server1/Server2，但能访问PC2
需求3：使PC2可以访问Server2,不能访问Server1
配置思路是首先需要让设备之间能互相通信配置PC1/PC2，Server1/Server2，IP/掩码/网关。配置路由器接口地址，配置静态路由。

<AR2>system-view
[AR2]interface GigabitEthernet 0/0/0
[AR2-GigabitEthernet0/0/0]ip address 192.168.10.254 24
[AR2-GigabitEthernet0/0/0]q
[AR2]interface GigabitEthernet 0/0/1
[AR2-GigabitEthernet0/0/1]ip address 12.1.1.1 24
[AR2-GigabitEthernet0/0/1]q
[AR2]ip route-static 192.168.20.0 24 12.1.1.2

<AR3>system-view 
[AR3]interface GigabitEthernet 0/0/0
[AR3-GigabitEthernet0/0/0]ip address 12.1.1.2 24
[AR3-GigabitEthernet0/0/0]q
[AR3]interface GigabitEthernet 0/0/1
[AR3-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[AR3-GigabitEthernet0/0/1]q
[AR3]ip route-static 192.168.10.0 24 12.1.1.1

配置到这里PC1/PC2,Server1/Server2已经能互相通信。需求1已完成。

接下来需要使PC1不能访问服务器1/服务器2，但能访问PC2,配置思路为

1.分析流量决定控制哪个流量。结果：PC1-->Server的流量

2.选择在哪个设备上做acl，原则：尽量靠近源端。结果：路由LSW1为2层设备不支持IP，所以在AR2上做acl

3.选择在哪个接口上做acl，in优先路由表，out需要先查看路由表

配置如下

<AR2>system-view 
[AR2]acl number 2000     //配置规则编号为2000
[AR2-acl-basic-2000]rule 5 deny source 192.168.10.1 0     //拒绝PC1的流量通过，0为反掩码代表一个主机
[AR2-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255   //允许1.0网段所有流量通过
[AR2-acl-basic-2000]q
[AR2]interface GigabitEthernet 0/0/0
[AR2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000     //将规则绑定在输入口上
[AR2-GigabitEthernet0/0/0]q

配置完毕后PC1可以访问PC2但是不能访问服务器1，服务器2，完成需求2。

需求3：需要使PC2可以访问服务器2，但不能访问服务器1。配置思路：PC2到服务器1和服务器2的流量区别在于目的ip，源IP都是PC2，此时需要使用高级acl。配置如下

<AR2>system-view 
[AR2]acl number 3000
[AR2-acl-adv-3000]rule 5 deny ip source 192.168.10.2 0 destination 192.168.20.1 
0                        //拒绝pc2到目的服务器1 的流量通过
[AR2-acl-adv-3000]rule 1000 permit ip   //允许所有IP通过
[AR2-acl-adv-3000]q
[AR2]interface GigabitEthernet 0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 3000   //输出口绑定规则

配置完成，可以看到PC2不能访问服务器1，但是能访问服务器2。需求3完成。

如果是想使PC2不能ping通服务器1，但是可以访问服务器1的网页的话可以这样配置

[AR2]acl number 3001
[AR2-acl-adv-3001]rule 5 deny icmp source 192.168.10.2 0 destination 192.168.20.
1 0                                        //拒绝PC2和Server1的ICMP通信ping不通
[AR2-acl-adv-3001]rule 10 permit tcp source 192.168.10.2 0 destination 192.168.2
0.1 0 destination-port eq 80                    //运行访问端口80
[AR2-acl-adv-3001]q
[AR2]interface GigabitEthernet 0/0/0
[AR2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001    //绑定规则

yhxtxdy

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
acl规则的配置

技术背景：需要一个工具实现流量过滤使用eNSP搭建一个实验环境拓扑图如下需求如下：需求1：先使PC1/PC2,Server1/Server2能互相通信需求2：使PC1不能访问Server1/Server2，但能访问PC2需求3：使PC2可以访问Server2,不能访问Server1配置思路是首先需要让设备之间能互相通信配置PC1/PC2，Server1/Server2，IP/掩码/网关。配置路由器接口地址，配置静态路由。<AR2>system-view[AR2]in
复制链接

扫一扫