访问控制列表ACL是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝。
按照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表.
基本ACL可以使用报文的源IP地址、时间段信息来定义规则,编号范围为2000-2999。
高级ACL在匹配项上做了扩展,编号范围为3000-3999,既可使用报文的源IP,也可使用目的IP、IP优先级、IP协议类型、ICMP类型、TCP源/目端口、UDP源/目端口等信息来定义规则。
一个ACL可以由多条“deny/permit”语句组成,每一条语句描述一条规则,每条规则有一个rule-ID。Rule-ID可以由用户进行配置,也可以由系统自动根据步长生成,默认步长为5,Rule-ID默认按照配置先后顺序分配5、10、15等,匹配顺序按照ACL的Rule-ID的顺序,从小到大进行匹配。
AR1配置
<Huawei>sy
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.0.13.1 24
[Huawei-GigabitEthernet0/0/0]int loopback0
[Huawei-LoopBack0]ip add 1.1.1.1 32
[Huawei-LoopBack0]q
[Huawei]ospf 1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255[Huawei-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
AR2配置
<Huawei>sy
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.0.23.2 24
[Huawei]ospf 1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
AR3配置
<Huawei>sy
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.0.13.3 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 10.0.23.3 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 10.0.34.3 24
[Huawei-GigabitEthernet0/0/2]int loopback0
[Huawei-LoopBack0]ip address 3.3.3.3 32[Huawei-LoopBack0]q
[Huawei]ospf 1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255[Huawei-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
AR4配置
<Huawei>sy
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.0.34.4 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]int loopback0
[Huawei-LoopBack0]ip address 4.4.4.4 32
[Huawei-LoopBack0]int loopback1
[Huawei-LoopBack1]ip address 40.40.40.40 32[Huawei-LoopBack1]q
[Huawei]ospf 1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255[Huawei-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0
[Huawei-ospf-1-area-0.0.0.0]network 40.40.40.40 0.0.0.0
测试R1的环回口于R4的环回口之间的连通性
R4上配置Telnet,并且使用密码:zhangsan
R4配置
<Huawei>sy
[Huawei]user-in
[Huawei]user-interface vty 0 4 //允许0-4个用户访问
[Huawei-ui-vty0-4]authentication-mode pass
[Huawei-ui-vty0-4]authentication-mode password //设置登录telnet的模式 密码登录
Please configure the login password (maximum length 16):zhangsan
建立R1到R4之间的Telnet连接
成功
建立R2到R4之间的Telnet连接
成功
配置基本ACL,仅允许1.1.1.1访问4.4.4.4
R4配置
<R4>sy
Enter system view, return user view with Ctrl+Z.
[R4]acl 2000
[R4-acl-basic-2000]rule 5 permit source 1.1.1.1 0
[R4-acl-basic-2000]rule 10 deny source any
[R4-acl-basic-2000]q
[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 2000 inbound
使用R1的环回口地址1.1.1.1测试telnet访问4.4.4.4的连通性
尝试在R2上远程登录R4,无法登录,说明ACL配置已经生效
需要R3能够使用其环回口3.3.3.3访问R4
R4配置
[R4]acl 2000
[R4-acl-basic-2000]rule 6 permit source 3.3.3.3 0
[R4-acl-basic-2000]q
[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 2000 inbound
测试连通性
用高级ACL设置R1的环回接口1.1.1.1只能访问R4的环回接口0地址4.4.4.4,而不能访问R4的环回接口1地址40.40.40.40
R4配置
[R4]acl 3000
[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0
[R4-acl-adv-3000]q
[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 3000 inbound
测试连通性
1.1.1.1 访问 4.4.4.4 成功
1.1.1.1 访问 40.40.40.40
依旧可以使用ICMP协议与4.4.4.4和40.40.40.40通信
在R4 G0/0/0端口上应用ACL,只能由R1所连的PC(本实验使用环回接口模拟)ping通R4,其他设备均不能ping通。
R4配置
[R4]acl 3002
[R4-acl-adv-3002]rule 5 permit ip source 1.1.1.1 0 destination 4.4.4.4 0
[R4-acl-adv-3002]rule 10 permit ip source 1.1.1.1 0 destination 40.40.40.40 0
[R4-acl-adv-3002]q
[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]traffic-filter inbound acl 3002
测试连通性
测试R3与R4的连通性 无法访问
R1所连PC只能ping通R4上的4.4.4.4这台服务器,R4上的另一台40.40.40.40这台服务器不能被ping通。
R4配置
[R4]acl 3003
[R4-acl-adv-3003]rule 5 permit ip source 1.1.1.1 0 destination 4.4.4.4 0
[R4-acl-adv-3003]rule 10 deny ip source any
[R4-acl-adv-3003]q
[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]undo traffic-filter inbound //注销原本的规则
[R4-GigabitEthernet0/0/0]traffic-filter inbound acl 3003
测试连通性
 "GPT-4o mini 比gpt-3.5更便宜(2024年7月18日推出)")