1.前言

企業(yè)網(wǎng)絡(luò)中的設(shè)備進行通信時，需要保障數(shù)據(jù)傳輸?shù)陌踩煽亢途W(wǎng)絡(luò)的性能穩(wěn)定。

2.概述

訪問控制列表ACL（Access Control List）可以定義一系列不同的規(guī)則，設(shè)備根據(jù)這些規(guī)則對數(shù)據(jù)包進行分類，并針對不同類型的報文進行不同的處理，從而可以實現(xiàn)對網(wǎng)絡(luò)訪問行為的控制、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、防止網(wǎng)絡(luò)攻擊等等。
訪問控制列表是應(yīng)用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。

3.應(yīng)用場景

ACL的基本用途是限制訪問網(wǎng)絡(luò)的用戶，保護網(wǎng)絡(luò)的安全。
ACL一般只在以下路由器上配置：
1、內(nèi)部網(wǎng)和外部網(wǎng)的邊界路由器。
2、兩個功能網(wǎng)絡(luò)交界的路由器。
限制的內(nèi)容通常包括：
1、允許那些用戶訪問網(wǎng)絡(luò)。（根據(jù)用戶的IP地址進行限制）
2、允許用戶訪問的類型，如允許http和ftp的訪問，但拒絕Telnet的訪問。（根據(jù)用戶使用的上層協(xié)議進行限制）

應(yīng)用場景1

應(yīng)用場景2

4.分類

分類

也可這樣分類：

• 標(biāo)準訪問控制列表：根據(jù)數(shù)據(jù)包的源IP地址來允許或拒絕數(shù)據(jù)包，標(biāo)準訪問控制列表的訪問控制列表號是1-99。

• 擴展訪問控制列表：根據(jù)數(shù)據(jù)包的源IP地址，目的IP地址，指定協(xié)議，端口和標(biāo)志，來允許或拒絕數(shù)據(jù)包。擴展訪問控制列表的訪問控制列表號是100-199

5.規(guī)則

ACL規(guī)則

1.路由器應(yīng)用訪問列表對流量接口的數(shù)據(jù)包進行控制：

• 入棧應(yīng)用（in）
  經(jīng)某接口進入設(shè)備內(nèi)部的數(shù)據(jù)包進行安全規(guī)則過濾

  
  
  訪問列表的入棧應(yīng)用

• 出棧應(yīng)用（out）
  設(shè)備從某接口向外發(fā)送數(shù)據(jù)時進行安全規(guī)則過濾

  
  
  訪問列表的出棧應(yīng)用

2.一個接口在一個方向只能應(yīng)用一組訪問控制列表

image.png

• 第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）
• 第二步，將規(guī)則應(yīng)用在路由器（或交換機）的接口上

6.ACL配置

1.基本ACL配置
ID是2000——2999

基本配置

基本ACL配置

具體配置：
PC1

PC1

PC2

PC2

交換機LS

[LS]
[LS]vlan batch 10 20    //創(chuàng)建VLAN 10 、20
[LS]interface Ethernet 0/0/1
[LS-Ethernet0/0/1]port link-type trunk       //配置0/0/1口為trunk模式
[LS-Ethernet0/0/1]port trunk allow-pass vlan 10 20     //配置0/0/1口trunk通過的vlan為10、20
[LS-Ethernet0/0/1]inter eth 0/0/2
[LS-Ethernet0/0/2]port link-type access     //配置0/0/2口為Access模式
[LS-Ethernet0/0/2]port default vlan 10      //配置0/0/2口access通過的vlan為10
[LS-Ethernet0/0/2]inter eth 0/0/3
[LS-Ethernet0/0/3]port link-type access     //配置0/0/3口為Access模式
[LS-Ethernet0/0/3]port default vlan 20    //配置0/0/3口access通過的vlan為20
[LS-Ethernet0/0/3]q
[LS]

AR1 0/0/1口配置單臂路由

[AR1]interface GigabitEthernet  0/0/0
[AR1-GigabitEthernet0/0/0]ip address 172.16.1.1 30
[AR1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1.1
[AR1-GigabitEthernet0/0/1.1]dot1q termination vid 10      //將0/0/1.1口做dot1q封裝vlan10
[AR1-GigabitEthernet0/0/1.1]ip address 10.1.1.1 24
[AR1-GigabitEthernet0/0/1.1]arp broadcast enable     //打開ARP廣播功能，只有打開發(fā)送過來的ARP請求，接口才能處理
[AR1-GigabitEthernet0/0/1.1]interface GigabitEthernet 0/0/1.2      ////將0/0/1.2口做dot1q封裝vlan20
[AR1-GigabitEthernet0/0/1.2]dot1q termination vid 20
[AR1-GigabitEthernet0/0/1.2]ip address 10.2.2.1 24
[AR1-GigabitEthernet0/0/1.2]arp broadcast enable       //打開ARP廣播功能
[AR1-GigabitEthernet0/0/1.2]q
[AR1]
[AR1]ip route-static 0.0.0.0 0 172.16.1.2        //配置缺省路由，在數(shù)據(jù)包向外發(fā)送的時候都發(fā)往172.16.1.2這個地址
[AR1]

AR2

[AR2]interface GigabitEthernet 0/0/0
[AR2-GigabitEthernet0/0/0]ip add 172.16.1.2 30
[AR2-GigabitEthernet0/0/0]inter gig 0/0/1
[AR2-GigabitEthernet0/0/1]ip address 200.1.1.1 30
[AR2-GigabitEthernet0/0/1]q
[AR2]ip route-static 0.0.0.0 0 172.16.1.1     // //配置缺省路由，在數(shù)據(jù)包向外發(fā)送的時候都從發(fā)往172.16.1.1這個地址
[AR2]

驗證一下看看PC1和PC2能不能Ping
通FTP Server:

PC1

PC2

PC1和PC2都可以Ping 通FTP Server，配置ACL阻止PC1訪問FTP Server：
在AR2上面配置ACL
1.定義acl規(guī)則

[AR2]
[AR2]acl 2000
[AR2-acl-basic-2000]rule deny source 10.1.1.0 0.0.0.255      //配置源地址為10.1.1.0段的ip
[AR2-acl-basic-2000]q

2.應(yīng)用acl規(guī)則

[AR2]interface GigabitEthernet 0/0/1        //進入出接口
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000      //在端口ACL 2000對出站數(shù)據(jù)包進行過濾

查看acl

[AR2]display acl all     //查看全部的acl     
 Total quantity of nonempty ACL number is 1 

Basic ACL 2000, 1 rule
Acl's step is 5
 rule 5 deny source 10.1.1.0 0.0.0.255 (5 matches)

[AR2]
[AR2]display traffic-filter applied-record     //查看流量過濾器的應(yīng)用記錄
-----------------------------------------------------------
Interface                   Direction  AppliedRecord       
-----------------------------------------------------------
GigabitEthernet0/0/1        outbound   acl 2000
-----------------------------------------------------------
[AR2]

測試一下，PC1能不能Ping 通FTP Server:

image.png

高級ACL能夠依據(jù)源/目的IP地址、源/目的端口號、網(wǎng)絡(luò)層及傳輸層協(xié)議以及IP流量分類和TCP標(biāo)記值等各種參數(shù)（SYN|ACK|FIN等）進行報文過濾。ID是3000——3999.（放在更接近與源的地方）

高級ACL配置

實驗拓撲：

高級ACL

客戶端1

客戶端2

[LS]
[LS]vlan batch 10 20    //創(chuàng)建VLAN 10 、20
[LS]interface Ethernet 0/0/1
[LS-Ethernet0/0/1]port link-type trunk       //配置0/0/1口為trunk模式
[LS-Ethernet0/0/1]port trunk allow-pass vlan 10 20     //配置0/0/1口trunk通過的vlan為10、20
[LS-Ethernet0/0/1]inter eth 0/0/2
[LS-Ethernet0/0/2]port link-type access     //配置0/0/2口為Access模式
[LS-Ethernet0/0/2]port default vlan 10      //配置0/0/2口access通過的vlan為10
[LS-Ethernet0/0/2]inter eth 0/0/3
[LS-Ethernet0/0/3]port link-type access     //配置0/0/3口為Access模式
[LS-Ethernet0/0/3]port default vlan 20    //配置0/0/3口access通過的vlan為20
[LS-Ethernet0/0/3]q
[LS]

AR1

AR1 0/0/1口配置單臂路由

[AR1]interface GigabitEthernet  0/0/0
[AR1-GigabitEthernet0/0/0]ip address 172.16.1.1 30
[AR1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1.1
[AR1-GigabitEthernet0/0/1.1]dot1q termination vid 10      //將0/0/1.1口做dot1q封裝vlan10
[AR1-GigabitEthernet0/0/1.1]ip address 10.1.1.1 24
[AR1-GigabitEthernet0/0/1.1]arp broadcast enable     //打開ARP廣播功能，只有打開發(fā)送過來的ARP請求，接口才能處理
[AR1-GigabitEthernet0/0/1.1]interface GigabitEthernet 0/0/1.2      ////將0/0/1.2口做dot1q封裝vlan20
[AR1-GigabitEthernet0/0/1.2]dot1q termination vid 20
[AR1-GigabitEthernet0/0/1.2]ip address 10.2.2.1 24
[AR1-GigabitEthernet0/0/1.2]arp broadcast enable       //打開ARP廣播功能
[AR1-GigabitEthernet0/0/1.2]q
[AR1]
[AR1]ip route-static 0.0.0.0 0 172.16.1.2        //配置缺省路由，在數(shù)據(jù)包向外發(fā)送的時候都發(fā)往172.16.1.2這個地址
[AR1]

AR2

[AR2]interface GigabitEthernet 0/0/0
[AR2-GigabitEthernet0/0/0]ip add 172.16.1.2 30
[AR2-GigabitEthernet0/0/0]inter gig 0/0/1
[AR2-GigabitEthernet0/0/1]ip address 200.1.1.1 30
[AR2-GigabitEthernet0/0/1]q
[AR2]ip route-static 0.0.0.0 0 172.16.1.1     // //配置缺省路由，在數(shù)據(jù)包向外發(fā)送的時候都從發(fā)往172.16.1.1這個地址
[AR2]

驗證客戶端1、2能不能訪問FTP Server服務(wù)器：

image.png

客戶端1、2可以訪問FTP Server服務(wù)器，配置ACL阻止客戶端2訪問FTP server服務(wù)器：
在AR1上面配置：
1.配置acl規(guī)則

[AR1]acl name gj-acl      //給ACL配置一個名字：gj-acl
[AR1-acl-adv-gj-acl]rule deny tcp source 10.2.2.2 0 destination 200.1.1.2 0 dest
ination-port eq 21      //配置規(guī)則拒絕tcp源10.2.2.2 0到目標(biāo)200.1.1.2 0 目的
端口為 21 的數(shù)據(jù)

2.查看配置的acl,可看到我們只命名了名字：gj-acl，系統(tǒng)自己定義acl ID為3999

[AR1]dis acl all      //查看ACL
 Total quantity of nonempty ACL number is 1 

Advanced ACL gj-acl 3999, 2 rules
Acl's step is 5
 rule 5 deny tcp source 10.2.2.2 0 destination 200.1.1.2 0 destination-port eq f
tp (10 matches)
 rule 10 permit ip (10 matches)
[AR1]

[AR1]acl 3999
[AR1-acl-adv-gj-acl]rule permit ip    //沒有匹配的可以通過
[AR1-acl-adv-gj-acl]q
[AR1]

3.找到距離源最近的端口配置，可看到最近的端口是0/0/1.2

[AR1]display ip interface brief 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 5
The number of interface that is DOWN in Physical is 1
The number of interface that is UP in Protocol is 4
The number of interface that is DOWN in Protocol is 2

Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              172.16.1.1/30        up         up        
GigabitEthernet0/0/1              unassigned           up         down      
GigabitEthernet0/0/1.1            10.1.1.1/24          up         up        
GigabitEthernet0/0/1.2            10.2.2.1/24          up         up        
GigabitEthernet0/0/2              unassigned           down       down      
NULL0                             unassigned           up         up(s)     

4.在端口上應(yīng)用定義的acl規(guī)則

[AR1]
[AR1-GigabitEthernet0/0/1.2]traffic-filter inbound acl name gj-acl   //應(yīng)用入站規(guī)則名字為：gj-acl的acl
[AR1-GigabitEthernet0/0/1.2]q
[AR1]

配置驗證：
用客戶端2訪問FTP Server 服務(wù)器：

客戶端2

提示連接服務(wù)器失敗，這就說明我們配置的ACL起作用了。