当前位置：首页 > news >正文

分享从零开始学习网络设备配置--任务6.3 使用基本ACL限制网络访问

news 2025/7/7 13:03:11

任务描述

某公司构建了互联互通的办公网，为保护公司内网用户数据的安全，该公司实施内网安全防范措施。公司分为经理部、财务部和销售部，分属3个不同的网段，3个部门之间用路由器进行信息传递。为了安全起见，公司领导要求管理员对网络的数据流量进行控制，使销售部不能对财务部进行访问，但经理部可以对财务部进行访问。公司的财务部门涉及企业许多重要的财务信息和数据，因此保障公司管理部门的安全访问，减少普通部门对财务部的访问很有必要，这样可以尽可能地减少网络安全隐患。在路由器上应用标准访问控制列表，对访问销售部的数据流量进行限制，禁止技术部访问销售部的数据流量通过，但对财务部的访问不做限制，从而达到保护销售数据主机安全的目的。

任务要求

（1）使用基本ACL限制网络访问，网络拓扑图如图

（2）路由器的端口IP地址设置如表

（3）计算机的IP地址、子网掩码和默认网关如表

（4）使用静态路由协议实现全网互通。

（5）配置基本访问控制列表，限制技术部PC1所在的网络可以访问财务部PC2的网络、不能访问销售部PC3所在的网络，但允许财务部PC2所在的网络访问销售部PC3所在的网络。

知识准备

1．ACL的基本概念

访问控制列表（Access Control List，ACL）是由一系列规则组成的集合，ACL通过这些规则对报文进行分类，从而使设备可以对不同类型的报文进行不同的处理。一个ACL通常由若干条“deny | permit”语句组成，每条语句就是该ACL 的一条规则，每条语句中的“deny | permit”就是与这条规则相对应的处理动作。处理动作“permit”的含义是“允许”，处理动作“deny”的含义是“拒绝”。特别需要说明的是，ACL 技术总是与其他技术结合使用的，因此，所结合的技术不同，“permit”及“deny”的内涵及作用也不同。例如，当 ACL 技术与流量过滤技术结合使用时，“permit”就是“允许通行”的意思，“deny”就是“拒绝通行”的意思。 ACL 是一种应用非常广泛的网络安全技术，配置了ACL的网络设备的工作过程可以分为以下两个步骤。

（1）根据事先设定好的报文匹配规则对经过该设备的报文进行匹配。

（2）对匹配的报文执行事先设定好的处理动作。

2．ACL的规则原理

ACL负责管理用户配置的所有规则，并提供报文匹配规则的算法。ACL 规则管理的基本思想如下。

(1)每个ACL作为一个规则组存在，一般可以包含多条规则。

(2)ACL中的各条规则都通过规则ID来标识，规则ID可以自行设置，也可以由系统根据步长自动生成，即设备会在创建ACL 的过程中自动为每一条规则分配一个 ID。

(3）默认情况下，ACL 中的所有规则均按照规则ID从小到大的顺序与规则进行匹配。

(4)规则ID之间会留下一定的间隔。如果不指定规则ID，则具体间隔大小由“ACL 的步长”来设定。例如，将规则编号的步长设定为10（注意，规则编号步长的默认值为5)，则规则编号将按照10、20、30、40……的规律自动进行分配。如果将规则编号的步长设定为2，则规则编号将按照2、4、6、8……的规律自动进行分配。步长的大小反映了相邻规则编号之间的间隔大小。间隔的作用是方便在两个相邻的规则之间插入新的规则。

3．ACL的规则匹配

配置了ACL的设备在接收到一个报文之后，会将该报文与ACL 中的规则逐条进行匹配。如果无法匹配当前规则,则会继续尝试匹配下一条规则。一旦报文匹配上了某条规则，设备就会对该报文执行这条规则中定义的处理动作( permit 或 deny )，并且不再继续尝试与后续规则进行匹配。如果报文无法匹配 ACL 中的任何一条规则，则设备会对该报文执行“permit”动作。

4．ACL的分类

根据ACL具有的特性的不同，可以将ACL分成不同的类型,分别是基本ACL、高级ACL、二层ACL、用户自定义ACL。其中，应用最为广泛的是基本ACL和高级ACL。基本ACL只能基于IP报文的源地址、报文分片标记和时间段信息来定义规则，编号范围为2000～2999。

任务实施

1.根据如图6.3.1所示的网络拓扑图，连线全部使用直通线、开启所有设备电源和为每一台计算机设置好相应的IP地址、子网掩码和默认网关。

2.路由器R1的基本配置。

3.路由器R2的基本配置。

4.配置静态路由实现全网互通。

（1）在路由器R1上配置。

（2）在路由器R2上配置。

5.配置基本访问控制列表和查看访问控制列表信息。

6.应用访问控制列表在端口上。

任务实施

1.在PC1上ping PC3，结果是不通的；在PC1上ping PC2，结果是通的，如图

2.在PC2上ping PC3，结果是通的，如图

3.查看访问控制列表的应用状态。

任务小结

（1）注意在访问控制列表的网络掩码是反掩码。

（2）访问控制列表要在端口下应用才生效。

（3）基本访问控制列表要应用在尽量靠近目的地址的端口。

分享从零开始学习网络设备配置--任务6.3 使用基本ACL限制网络访问

任务描述

任务要求

知识准备

任务实施

任务实施

任务小结

相关文章：

分享从零开始学习网络设备配置--任务6.3 使用基本ACL限制网络访问

数据结构——线性表（静态链表、循环链表以及双向链表）

vue3_对接腾讯_实时音视频

一台电脑对应一个IP地址吗？‌探讨两台电脑共用IP的可能性

XInput手柄输入封装

NodeMCU-ESP8266+flash_download_tool_3.9.7 烧录

首例开源的自动驾驶混合运动规划框架，手握“规划可解释”和“决策准确”两张王牌！

数据结构之红黑树的 “奥秘“

【鸿蒙 HarmonyOS NEXT】使用EventHub进行数据通信

大模型RAG实战｜构建知识库：文档和网页的加载、转换、索引与存储

江协科技stm32————11-5 硬件SPI读写W25Q64

网络编程day04（UDP、Linux IO 模型）

【android10】【binder】【2.servicemanager启动——全源码分析】

Java实现简易计算器功能（idea）

Parsec问题解决方案

Swift 创建扩展(Extension)

九月五日（k8s配置）

某极验4.0 -消消乐验证

洛谷 P10798 「CZOI-R1」消除威胁

Pow(x, n)

基于当前项目通过npm包形式暴露公共组件

IT供电系统绝缘监测及故障定位解决方案

C++八股 —— 单例模式

高效线程安全的单例模式：Python 中的懒加载与自定义初始化参数

CSS | transition 和 transform的用处和区别

作为测试我们应该关注redis哪些方面

Python 高效图像帧提取与视频编码：实战指南

Java详解LeetCode 热题 100(26):LeetCode 142. 环形链表 II（Linked List Cycle II）详解

TCP/IP 网络编程 | 服务端客户端的封装

EasyRTC音视频实时通话功能在WebRTC与智能硬件整合中的应用与优势