什么是ACL访问控制列表

描述

来源:公众号【网络技术干货圈】

作者:圈圈

ID:wljsghq

通过之前的文章简单介绍了华为交换机如何配置SSH远程登录,在一些工作场景,需要特定的IP地址段能够SSH远程访问和管理网络设备,这样又需要怎么配置呢?下面通过一个简单的案例带着大家去了解一下。

要实现这个功能其实很简单,我们只需要把允许访问的IP流量放通,其他IP流量禁止就能实现了。这里使用ACL就能轻松实现了。

什么是ACL?

ACL(Access Control List)访问控制列表,是由一条或多条规则组成的集合。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。

ACL应用原则

标准ACL,尽量用在靠近目的点

扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)

方向:在应用时,一定要注意方向

案例分享

拓扑图

SSH

描述: 机房交换机不允许非管理网络SSH登录。上述拓扑中PC2属于管理网络,能远程SSH登录交换机SW1。而PC3不需要管理网络不能SSH登录交换机SW1.

配置思路

创建VLAN10和20,并为VLANIF10和20配置IP地址。

分别为PC2和PC3配置IP地址及网关IP,并加入对应的VALN中。

在SW1上配置SSH远程登录。

配置ACL,允许管理网络远程登录,禁用非管理网络登录。

关键配置

创建VLAN10和20,并为VLANIF10和20配置IP地址。

 

[SW1]vlan batch 10 20  #创建 vlan 10 20
[SW1]interface Vlanif 10 #进入vlan10配置模式
[SW1-Vlanif10]ip address  192.168.10.254 24 #配置vlan10 IP地址
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip address 192.168.20.254 24 

 

分别为PC2和PC3配置IP地址及网关IP,并加入对应的VALN中。

 

[SW1]interface GigabitEthernet 0/0/24 #进入接口模式
[SW1-GigabitEthernet0/0/24]port link-type access #配置接口模式为access
[SW1-GigabitEthernet0/0/24]port default vlan 10 #把接口加入到vlan10中
[SW1]interface GigabitEthernet 0/0/23 
[SW1-GigabitEthernet0/0/23]port link-type access 
[SW1-GigabitEthernet0/0/23]port default vlan 20

 

在SW1上配置SSH远程登录。

配置ACL,允许管理网络远程登录,禁用非管理网络登录。

 

[SW1]acl name ssh_kongzhi 2001 #定义acl名称为ssh_kongzhi
#匹配允许192.168.10网络的流量
[SW1-acl-basic-ssh_kongzhi]rule 5 permit source 192.168.10.0 0.0.0.255 
[SW1-acl-basic-ssh_kongzhi]rule  10 deny #禁止其他网络流量

#在vty接口应用acl 2001
[SW1-ui-vty0-4]acl  2001 inbound 

 

通过以上的ACL访问控制列表,就能完美的把允许的流量放行,其他的流量就禁止。其中ACL还有很多的应用场景。感兴趣的小伙伴们可以深入探讨。

 

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分