华为、思科和瞻博网络三个厂商如何配置基本ACL和高级ACL？

news2024/9/21 14:31:31

今天给大家带来基本ACL和高级ACL的配置，主要会介绍三个厂商的配置：

其他厂商也可以参考，比如华三的可以参考华为的，锐捷的参考思科的。

1. 基本ACL配置

基本ACL（Access Control List）是一种简单的网络安全功能，用于控制网络流量的传输。在华为、思科和瞻博网络设备上，基本ACL配置可以通过以下方式实现：

华为设备

在华为设备上，可以使用以下命令配置基本ACL：

[设备] acl number ACL编号
[设备-acl-basic-number-ACL编号] rule ACL规则序号 [deny | permit] 协议 源地址 目的地址 [源端口目的端口]

以下是一个基本ACL配置示例：

[设备] acl number 2001
[设备-acl-basic-number-2001] rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255
[设备-acl-basic-number-2001] rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 10.0.0.0 0.255.255.255

上述配置创建了一个ACL编号为2001的基本ACL。规则5允许从源地址为192.168.1.0/24，目的地址为10.0.0.0/8的TCP流量通过；规则10拒绝从源地址为192.168.2.0/24，目的地址为10.0.0.0/8的所有IP流量。

思科设备

在思科设备上，可以使用以下命令配置基本ACL：

access-list ACL编号 {deny | permit} 协议 源地址 目的地址 [源端口目的端口]

以下是一个基本ACL配置示例：

access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 10.0.0.0 0.255.255.255

上述配置创建了一个ACL编号为100的基本ACL。第一条规则允许从源地址为192.168.1.0/24，目的地址为10.0.0.0/8的TCP流量通过；第二条规则拒绝从源地址为192.168.2.0/24，目的地址为10.0.0.0/8的所有IP流量。

瞻博网络设备

在瞻博网络设备上，可以使用以下命令配置基本ACL：

acl number ACL编号 [deny | permit] 协议 源地址 源掩码 目的地址 目标掩码 [源端口:目标端口]

以下是一个基本ACL配置示例：

acl number 100
rule 5 permit tcp source 192.168.1.0 255.255.255.0 destination 10.0.0.0 255.0.0.0
rule 10 deny ip source 192.168.2.0 255.255.255.0 destination 10.0.0.0 255.0.0.0

上述配置创建了一个ACL编号为100的基本ACL。规则5允许从源地址为192.168.1.0/24，目的地址为10.0.0.0/8的TCP流量通过；规则10拒绝从源地址为192.168.2.0/24，目的地址为10.0.0.0/8的所有IP流量。

2. 高级ACL配置

高级ACL提供更精细的流量控制和策略实施。下面是华为、思科和瞻博网络设备上配置高级ACL的方法：

华为设备

在华为设备上，可以使用以下命令配置高级ACL：

[设备] acl number ACL编号
[设备-acl-advanced-number-ACL编号] rule ACL规则序号 [deny | permit] 协议 {源地址 源地址掩码 | 源地址组} {目的地址 目的地址掩码 | 目的地址组} [源端口 目标端口]

以下是一个高级ACL配置示例：

[设备] acl number 3001
[设备-acl-advanced-number-3001] rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 source-port eq 80
[设备-acl-advanced-number-3001] rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 10.0.0.0 0.255.255.255

上述配置创建了一个ACL编号为3001的高级ACL。规则5允许从源地址为192.168.1.0/24，目的地址为10.0.0.0/8，源端口为80的TCP流量通过；规则10拒绝从源地址为192.168.2.0/24，目的地址为10.0.0.0/8的所有IP流量。

思科设备

在思科设备上，可以使用以下命令配置高级ACL：

ip access-list {standard | extended} ACL编号
{deny | permit} 协议 源地址 源掩码 目的地址 目标掩码 [源端口目标端口]

以下是一个高级ACL配置示例：

ip access-list extended 200
permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255 eq 80
deny ip 192.168.2.0 0.0.0.255 10.0.0.0 0.255.255.255

上述配置创建了一个ACL编号为200的扩展型高级ACL。第一条规则允许从源地址为192.168.1.0/24，目的地址为10.0.0.0/8，源端口为80的TCP流量通过；第二条规则拒绝从源地址为192.168.2.0/24，目的地址为10.0.0.0/8的所有IP流量。

瞻博网络设备

在瞻博网络设备上，可以使用以下命令配置高级ACL：

acl number ACL编号 [deny | permit] 协议 {源地址 源掩码 | 源地址组} {目的地址 目的地址掩码 | 目的地址组} [源端口:目标端口]

以下是一个高级ACL配置示例：

acl number 200
rule 5 permit tcp source 192.168.1.0 255.255.255.0 destination 10.0.0.0 255.0.0.0 source-port 80
rule 10 deny ip source 192.168.2.0 255.255.255.0 destination 10.0.0.0 255.0.0.0

上述配置创建了一个ACL编号为200的高级ACL。规则5允许从源地址为192.168.1.0/24，目的地址为10.0.0.0/8，源端口为80的TCP流量通过；规则10拒绝从源地址为192.168.2.0/24，目的地址为10.0.0.0/8的所有IP流量。

3. 配置场景示例

以下是针对不同场景的基本ACL和高级ACL配置示例：

场景1：限制外部访问内部网络的HTTP流量

基本ACL配置示例：

思科设备：
access-list 100 deny tcp any any eq 80
access-list 100 permit ip any any

华为设备：
[设备] acl number 2001
[设备-acl-basic-number-2001] rule 5 deny tcp any any eq 80
[设备-acl-basic-number-2001] rule 10 permit ip any any

瞻博网络设备：
acl number 100
rule 5 deny tcp any any eq 80
rule 10 permit ip any any

高级ACL配置示例：

思科设备：
ip access-list extended 200
deny tcp any any eq 80
permit ip any any

华为设备：
[设备] acl number 3001
[设备-acl-advanced-number-3001] rule 5 deny tcp any any eq 80
[设备-acl-advanced-number-3001] rule 10 permit ip any any

瞻博网络设备：
acl number 200
rule 5 deny tcp any any eq 80
rule 10 permit ip any any

场景2：允许特定源地址访问特定目的地址的SSH流量

基本ACL配置示例

思科设备：
access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255 eq 22
access-list 100 deny ip any any

华为设备：
[设备] acl number 2001
[设备-acl-basic-number-2001] rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 source-port eq 22
[设备-acl-basic-number-2001] rule 10 deny ip any any

瞻博网络设备：
acl number 100
rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 source-port 22
rule 10 deny ip any any

高级ACL配置示例：

思科设备：
ip access-list extended 200
permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255 eq 22
deny ip any any

华为设备：
[设备] acl number 3001
[设备-acl-advanced-number-3001] rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 source-port 22
[设备-acl-advanced-number-3001] rule 10 deny ip any any

瞻博网络设备：
acl number 200
rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 source-port 22
rule 10 deny ip any any

以上是针对限制外部访问内部网络的HTTP流量和允许特定源地址访问特定目的地址的SSH流量两个场景的基本ACL和高级ACL配置示例。您可以根据实际需求和网络设备类型进行相应的配置。请注意，在实际应用中，还需要根据具体网络拓扑和安全策略进行细化配置，并定期审查和更新ACL规则，以确保网络安全性。

欢迎点赞转发收藏，感谢🙏

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/674083.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！