ACL(访问控制列表),是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。
访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
通常用于对设备进行一些保护,比如限定具体的IP访问或者端口保护。
一般情况下,2000-2999 基本的访问控制列表,只能匹配源IP地址。3000-3999 高级的访问控制列表,可以匹配源IP、目的IP、源端口、目的端口。
需要注意的是:1、一个接口的同一个方向,只能调用一个ACL;2、一个ACL的规则是从上向下依次执行的,如果被某个规则匹配后就不再继续向下匹配。
今天在H3C S3100上对一些网络设备进行了保护。
1、只能指定的IP进行访问,比如路由器、交换机、服务器或者关键设备。
创建ACL
acl number 2000 rule 5 permit source x.y.z.m1 0 rule 10 permit source x.y.z.m2 0 rule 15 permit source x.y.z.m3 0 rule 20 deny
应用于telnet
telnet server enable telnet server acl 2000
2、保护网络打印机,只能指定的IP可以打印。
定义ACL
acl basic 2019 description ProtectNetworkPrint:x.y.z.k rule 5 permit source x.y.z.m1 0 rule 10 permit source x.y.z.m2 0 rule 15 deny
应用于端口
interface Ethernet1/0/15 description NetworkPrint:x.y.z.k port access vlan 19 packet-filter 2019 outbound
3、限制具体行为
例如:拒绝x1.y1.z1.m1对设备x2.y2.z2.m2进行telnet访问。
rule 5 deny tcp source x1.y1.z1.m1 0 destination x2.y2.z2.m2 0 destination-port eq telnet
例如:限制x1.y1.z1.m1上外网
rule 5 permit tcp source x1.y1.z1.m1 0 destination-port eq www
ACL还有很多应用,比如进行端口或者VLAN的流量控制等。
