ajaxjsp网站开发从入门到精通网络优化大师下载

ACL(访问控制列表）

1、基础内容

• 访问控制列表ACL(Access ControlList)是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。
• 通过一系列规则来匹配报文，如果规则拒绝，报文阻止，如果规则允许，则报文正常转发
• 报文流向

2、华为设备上ACL工作过程

• 设备收到一个数据流量后，首先查看接口上是否应用了规则，如果应用了（检查第一条，匹配，则根据允许还是拒绝进行处理，不匹配，继续检查下一条），默认情况下，如果没有匹配到任何规则，则放通流量
• 匹配一个表号中的规则，根据表号中的规则编号顺序从小到大依次匹配
• 规则编号在配置时不指定，默认以5递增（第一条是5，第二条是10），也可以配置时指定规则编号

3、华为设备ACL分类

• 基本ACL：仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。表号：2000~2999
• 高级ACL：既可使用IPV4报文的源IP地址，也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则（五元组（源IP、目的IP、源端口、目的端口、协议（网络层和传输层）））。表号：3000~3999
• 二层ACL:

4、基本ACL配置

#配置相应的IP地址

#在交换机中配置VLAN
[~HUAWEI]vlan batch 10 20
[*HUAWEI]commit
[~HUAWEI]int gl/O/2
[~HUAWEI-GE1/0/2lp l a
[~HUAWEI-GE1/O/2lp d v 10
[*HUAWEI-GE1/0/2]int gl/0/5
[*HUAWEI-GE1/0/5lp l a
[*HUAWEI-GE1/0/5lp d v 10
[*HUAWEI-GE1/0/5]int g1/0/6
[*HUAWEI-GE1/0/6]p l a
[*HUAWEI-GE1/O/6lp d v 20
[*HUAWEI-GE1/0/6]commit
[~HUAWEI-GE1/O/6]int g1/0/2
[~HUAWEI-GE1/0/2]undo shut
[~HUAWEI-GE1/0/2]undo shutdown
[*HUAWEI-GE1/0/2]commit
[~HUAWEI-GE1/O/2]int g1/0/5
[~HUAWEI-GE1/0/5]undo shut
[~HUAWEI-GE1/0/5]undo shutdown
[*HUAWEI-GE1/0/5]commit
[~HUAWEI-GE1/0/5]int g1/0/6
[~HUAWEI-GE1/0/6]undo shut
[~HUAWEI-GE1/0/6]undo shutdown
[*HUAWEI-GE1/0/6]commi[~HUAWEI-GE1/O/6]int g1/0/7
[~HUAWEI-GE1/0/7]undo shut
[*HUAWEI-GE1/0/7]undo post
[*HUAWEI-GE1/0/7]undo ports
[*HUAWEI-GE1/0/7]undo portswitch
[*HUAWEI-GE1/0/7]commit
[~HUAWEI-GE1/0/7]ip add172.16.1.1 30
[*HUAWEI-GE1/0/7]commit[~HUAWEI-GE1/0/7]intvlan 10
[*HUAwEI-Vlanif10]ip add 192.168.10.254 24
[*HUAWEI-Vlanif1O]commit
[~HUAwEI-Vlanif1O]int vlan 20
[*HUAWEI-Vlanif20]ip add 192.168.20.254 24
[*HUAWEI-Vlanif20]commit[~HUAwEI]ip route-static 192.168.100.0 24 172.16.1.2 #也要在AR1中配置静态路由用于回包
[*HUAWEI]commit  

经过上述配置，可以实现通信

实验要求：

基本ACL（在路由器上配置）

1、拒绝PC2访问PC4

2、拒绝vlan20所有主机访问pc4

#在AR1中配置
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule deny source 192.168.10.20 ?
[Huawei-acl-basic-2ooo]rule deny source 192.168.10.20 0 #一台主机
#拒绝vlan20所有主机访问pc4
[Huawei-acl-basic-2000]rule deny source 192.168.20.0 0.0.0.255 #一个网段
[Huawei-acl-basic-2000][Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 #应用规则

192.168.10.20/24主机IP参数
192.168.10.0/24主机所在的网络地址
192.168.10.20/32表示网络中的唯一主机
192.168.10.20/0表示网络中唯一主机的反码

5、高级ACL配置

1、client1可以通过域名访问HTTP服务器，但不能访问FTP服务器
2、Client2不能通过域名访问http服务器，只能通过IP访问，也可以访问FTP服务器
3、client可以ping通server，但server无法ping通client

#在AR1中配置
<Huawei>sys
[Huawei]int gO/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.10.254 24
[Huawei-GigabitEthernetO/0/o]int gO/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.20.254 24

client1可以通过域名访问HTTP服务器，但不能访问FTP服务器

Client2不能通过域名访问http服务器，只能通过IP访问，也可以访问FTP服务器

client可以ping通server，但server无法ping通client