高级ACL实现网络安全

高级ACL实现网络安全

如图1所示，在AR1路由器上创建高级ACL实现以下功能：

• 允许工程部能够访问Internet。
• 允许财务部能够访问Internet，但只允许访问网站和收发电子邮件。
• 允许财务部能够使用ping命令测试到Internet网络是否畅通。
• 禁止财务部服务器访问Internet。

​

图1 高级ACL的应用

本案例实现的功能基于源地址和协议，就要使用高级ACL来实现。在AR1上创建一个高级ACL，将该ACL绑定到AR1的GE 0/0/0接口的出向。

允许财务部能够访问Internet网站，访问网站需要域名解析，域名解析使用的协议是DNS，DNS协议使用的是UDP的53端口，访问网站使用的协议是HTTP协议和HTTPS协议，HTTP协议使用的是TCP的80端口，HTTPS协议使用的是TCP的443端口。

为了避免以上实验创建的基本ACL对本实验的影响，先删除全部ACL，再在Vlanif 1和GE0/0/0上解除绑定的ACL。

[AR1]undo acl all --删除以上实验创建的全部ACL

[AR1]interface Vlanif 10

[AR1-Vlanif10]undo traffic-filter outbound --删除接口上的绑定

在AR1上创建高级ACL，基于TCP和UDP创建规则时需要指定目标端口。

[AR1]acl 3000 --创建高级ACL

[AR1-acl-adv-3000]rule 5 permit ? --查看可用的协议

<1-255> Protocol number

gre GRE tunneling(47)

icmp Internet Control Message Protocol(1)

igmp Internet Group Management Protocol(2)

ip Any IP protocol --ip协议包含了tcp、udp和icmp

ipinip IP in IP tunneling(4)

ospf OSPF routing protocol(89)

tcp Transmission Control Protocol (6)

udp User Datagram Protocol (17)

[AR1-acl-adv-3000]rule 5 permit ip source 10.10.20.0 0.0.0.255 destination any

[AR1-acl-adv-3000]rule 10 permit udp source 10.10.30.0 0.0.0.255 destination any ?

--udp需要指定端口

destination-port Specify destination port

dscp Specify dscp

fragment Check fragment packet

none-first-fragment Check the subsequence fragment packet

……

[AR1-acl-adv-3000]rule 10 permit udp source 10.10.30.0 0.0.0.255 destination any

destination-port ? --指定大于、小于或等于某个端口或端口范围

eq Equal to given port number

gt Greater than given port number

lt Less than given port number

range Between two port numbers

[AR1-acl-adv-3000]rule 10 permit udp source 10.10.30.0 0.0.0.255 destination any

destination-port eq ? --可以指定端口号或应用层协议协名称

<0-65535> Port number

biff Mail notify (512)

bootpc Bootstrap Protocol Client (68)

bootps Bootstrap Protocol Server (67)

discard Discard (9)

dns Domain Name Service (53)

dnsix DNSIX Security Attribute Token Map (90)

echo Echo (7)

……

[AR1-acl-adv-3000]rule 10 permit udp source 10.10.30.0 0.0.0.255 destination any

destination-port eq dns

[AR1-acl-adv-3000]rule 15 permit tcp source 10.10.30.0 0.0.0.255 destination-port eq www

[AR1-acl-adv-3000]rule 20 permit tcp source 10.10.30.0 0.0.0.255 destination-port eq 443

[AR1-acl-adv-3000]rule 25 permit icmp source 10.10.30.0 0.0.0.255

[AR1-acl-adv-3000]rule 30 deny ip

[AR1-acl-adv-3000]quit

​

将ACL绑定到接口。

[AR1]interface GigabitEthernet 0/0/0

[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000

此文章来自于《华为认证（2021新版HCIA教材）》

京东购买本书

​https://item.jd.com/13706744.html​

学习计算机网络华为网络工程师 华三网络工程师课程中有问题联系韩老师

韩立刚老师wx hanligangdongqing

华为认证（2021新版HCIA教材）课程链接 ​​https://edu.51cto.com/course/28956.html​​​

​

韩老师招收正式学生、门徒级套餐

​https://edu.51cto.com/topic/819.html​