正文

ACL策略（交換機(jī)acl策略）

發(fā)布時間：2023-04-13 21:08:23 稿源：創(chuàng)意嶺閱讀： 106

大家好！今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于ACL策略的問題，以下是小編對此問題的歸納整理，讓我們一起來看看吧。

開始之前先推薦一個非常厲害的Ai人工智能工具，一鍵生成原創(chuàng)文章、方案、文案、工作計劃、工作報告、論文、代碼、作文、做題和對話答疑等等

只需要輸入關(guān)鍵詞，就能返回你想要的內(nèi)容，越精準(zhǔn)，寫出的就越詳細(xì)，有微信小程序端、在線網(wǎng)頁版、PC客戶端

官網(wǎng)：https://ai.de1919.com。

創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè)，服務(wù)客戶遍布全球各地，如需了解SEO相關(guān)業(yè)務(wù)請撥打電話175-8598-2043，或添加微信：1454722008

本文目錄:

1、如何使用acl進(jìn)行vlan間的限制
2、華為acl無效
3、H3C路由器ACL策略沒生效
4、請分析訪問控制列表（ACL）與包過濾防火墻的區(qū)別

ACL策略（交換機(jī)acl策略）

一、如何使用acl進(jìn)行vlan間的限制

你好，

以下配置及說明以Cisco配置為前提。

因為通信是相互的，所以Cisco設(shè)備中的ACL在應(yīng)用中默認(rèn)是雙向限制的。

如何按需實現(xiàn)單向訪問？即不能讓B訪問A，但允許A訪問B。

假設(shè)A和B屬于不同的Vlan，Vlan間的路由通過三層交換機(jī)實現(xiàn)。

此時有兩種方法實現(xiàn)單向訪問控制：

1）在三層交換機(jī)上做Vlan-Filter；

2）利用reflect做ACL。

基于你的拓?fù)浣Y(jié)構(gòu)，是采取單臂路由來實現(xiàn)Vlan間的通信，所以只能采取方法2，并在路由器做配置。

配置如下：（兩步）

//第一步：建立訪問控制列表

ip access-list extended ACL-inbound //“ACL-inbound”是自定義的ACL名稱

//我并不阻止Vlan10內(nèi)部的主機(jī)訪問外網(wǎng)，為什么還要建立Vlan10站內(nèi)的ACL呢？

//這是因為在這里要指定“reflect”策略，在制定站外策略（Vlan20訪問Vlan10）時需要用到！

permit ip host 192.168.10.2 host 192.168.20.2 reflect ACL-Ref

//指定一個reflect策略，命名為“ACL-Ref”，在制定站外ACL時要用到

permit ip any any //允許站內(nèi)任意主機(jī)到站外任意地址的訪問，必配，否則Vlan10其他主機(jī)無法出站訪問！

ip access-list extended ACL-outbound //站外訪問控制策略

evaluate ACL-Ref //允許前面定義的reflect策略（ACL-Ref）中指定通信的返回數(shù)據(jù)

deny ip host 192.168.20.2 host 192.168.10.2 //阻止192.168.20.2訪問192.168.10.2

permit ip any any //允許站外其他任意主機(jī)訪問Vlan10內(nèi)的任意主機(jī)

//第二步：端口應(yīng)用ACL

interface fa0/0.1 //進(jìn)入Vlan10的通信端口配置

ip address 192.168.10.1 255.255.255.0

ip access-group ACL-inbound in //應(yīng)用站內(nèi)訪問控制策略“ACL-inbound”

ip access-group ACL-outbound out //應(yīng)用站外訪問控制策略“ACL-outbound”

以上，供參考。

二、華為acl無效

由于ACL參數(shù)設(shè)置不正確導(dǎo)致ACL訪問控制策略不生效

發(fā)布時間: 2015-07-22 查看英文案例

問題描述

如圖所示，Router作為某企業(yè)出口，配置防火墻功能限制Internet上主機(jī)訪問企業(yè)內(nèi)部服務(wù)器。在Router上配置NAT功能使內(nèi)部服務(wù)器對外使用的IP地址為1.1.2.2。

ACL訪問控制策略不生效案例組網(wǎng)圖：

相關(guān)配置文件如下：

nat static protocol tcp global ip 1.1.2.2 inside ip 10.26.103.70 //配置從內(nèi)部地址10.26.103.70到外部地址1.1.2.2的一對一轉(zhuǎn)換

acl number 3000 //配置規(guī)則禁止PC機(jī)1.1.1.1向1.1.2.2地址發(fā)送IP報文

rule 1 deny ip source 1.1.1.1 0 destination 1.1.2.2 0

rule 2 permit ip

interface Ethernet0/0/1

ip address 1.1.2.1 255.255.255.224

firewall enable

packet-filter 3000 inbound //對入方向的報文進(jìn)行過濾

但是配置ACL后策略不生效，PC依然能夠訪問內(nèi)部服務(wù)器。

告警信息

處理過程

ACL策略不生效主要涉及兩方面原因，一是防火墻的配置，二是ACL的配置。

1. 檢查防火墻的功能是否開啟。

在配置文件里看到firewall enable，執(zhí)行命令display firewall zone查看指定安全區(qū)域的配置信息，可以查看到域的信息。因此確認(rèn)防火墻已經(jīng)開啟，排除防火墻的原因。

2. 檢查ACL的rule規(guī)則配置是否正確。

從Router的配置文件中可知，rule規(guī)則配置的是禁止從PC機(jī)到外部地址1.1.2.2的IP報文傳輸，但是由于在Router上配置了NAT功能，已經(jīng)將內(nèi)網(wǎng)地址與外網(wǎng)地址進(jìn)行了轉(zhuǎn)換，即PC機(jī)訪問的地址已經(jīng)變更為10.26.103.70，所以rule規(guī)則應(yīng)該配置的是禁止PC機(jī)到10.26.103.70的IP報文傳輸。所以現(xiàn)修改ACL的規(guī)則如下：

acl number 3000

rule 1 deny ip source 1.1.1.1 0 destination 10.26

三、H3C路由器ACL策略沒生效

msr設(shè)備沒有時間芯片，重啟就丟失時間信息

四、請分析訪問控制列表（ACL）與包過濾防火墻的區(qū)別

ACL一般用在交換機(jī)和路由器上，應(yīng)用的時候是有方向的（入方向或者出方向），我們知道數(shù)據(jù)包是有來有回的，acl只能做到單向訪問限制。比如交換機(jī)上配了2個vlan，vlan10和vlan20，vlan10的192.168.10.1訪問vlan20的192.168.20.1，如果在vlan10上啟用acl應(yīng)用在inbound方向，策略為允許192.168.10.1訪問192.168.20.1，然后又在vlan20上啟用acl應(yīng)用在inbound方向，策略為192.168.20.1拒絕訪問192.168.10.1。這種情況下其實兩邊都是不通的。應(yīng)為從192.168.10.1ping192.168.20.1去的時候是可以到達(dá)的，但是回來的時候就讓vlan20上的acl給阻止了。

但是如果交換機(jī)換成防火墻就不一樣了，防火墻是基于5元組的包過濾的方式實現(xiàn)的訪問控制，如果是上面同樣的配置，那么結(jié)果就是192.168.10.1能訪問192.168.20.1，反過來就不通了。

因為192.168.10.1去訪問192.168.20.1的時候這條會話會別標(biāo)記，能去就能會，這是跟acl的本質(zhì)區(qū)別，能記錄數(shù)據(jù)的來回，而acl做不到。

手打，謝謝。

以上就是關(guān)于ACL策略相關(guān)問題的回答。希望能幫到你，如有更多相關(guān)問題，您也可以聯(lián)系我們的客服進(jìn)行咨詢，客服也會為您講解更多精彩的知識和內(nèi)容。