一、acl简介
在网关路由器上配置ACL访问控制功能,多用于以下场景:
◆ 实现内网不同网段之间不能互访
◆ 配置单向通信,例如:1网段无法访问2网段,但2网段可以访问1网段
◆ 禁止内网部分用户上互联网,但是允许内网互访
二、引入背景
客户一楼栋为新建办公楼,由中心机房核心交换机接入到楼栋核心机房nbr上,且为其接入端口划分为52网段。
要求:
1、新建办公楼不可访问外网
2、新建办公楼内能够互相访问
3、新建办公楼能够访问中心机房服务器192.68.8.254和192.168.8.253
三、ACL配置
此处以NBR6135-E为例做配置 :
由中心机房接入过来的线接到NBR6135-E的WAN0口,动态获取52段地址,LAN0口接新建楼栋的核心交换机 ,开始新建项目时为LAN0口划分152网段,掩码为255.255.255.0,开启DHCP
图形化界面配置:
创建好后按要求做acl配置
安全认证→ACL访问列表→添加ACL列表,再按顺序添加ACE规则
1、创建扩展acl
2、152网段能够互访
3、152网段能够访问服务器地址192.168.8.254和192.18.8.253
4、152网段禁止访问互联网
5、最后再加一条放通所有流量的ace规则,目的是让其他信息流通过,或以后有其他网段可以通过
制定好之后
6、将ACL规则应用到接口上,安全认证→接口访问控制→添加接口访问控制,应用到接核心交换机的接口LAN0口上,分别配置in和out两个方向
令配置 1、创建ACL 152并调用在LAN0口
Ruijie#configure terminal
Ruijie(config)#ip access-list extended 152
Ruijie(config-ext-nacl)#10 permit udp any any range bootps bootpc //放通dhcp的UDP 67-68端口,防止内网用户获取不到地址
Ruijie(config-ext-nacl)#20 permit ip 192.168.152.0 0.0.0.255 192.168.152.0 0.0.0.255 //允许192.168.152.0/24访问192.168.152.0/24
Ruijie(config-ext-nacl)#30 permit ip 192.168.152.0 0.0.0.255 host 192.168.8.254
Ruijie(config-ext-nacl)#40 permit ip 192.168.152.0 0.0.0.255 host 192.168.8.253 //允许192.168.152.0访问服务器
Ruijie(config-ext-nacl)#50 deny ip 192.168.152.0 0.0.0.255 any //192.168.1.0/24访问所有 Ruijie(config-ext-nacl)#60 permit ip any any //最后一定要允许所有!!!
Ruijie(config-ext-nacl)#exit //退到上一级
Ruijie(config)#interface GigabitEthernet 0/0 //进入接口
Ruijie(config-if-GigabitEthernet 0/0)#ip access-group 152 in //调用在接口in方向
Ruijie(config-if-GigabitEthernet 0/0)#end //退回特权模式
Ruijie#write //保存