在默认情况下,ACL的策略是“允许”,这意味着除非明确指定了拒绝或限制的规则,否则所有不符合规则的数据包都将被允许通过。当设置ACL时,需要将源地址和目的地址用“MAC+掩码”或“IP+掩码”的格式来表示,确保单个MAC地址的掩码为FF-FF-FF-FF-FF-FF,单个IP地址的掩码为255.255.255.255。
一个ACL可以包含多条访问控制规则,每条规则都有一个唯一的ID以区分。以下是一个具体的应用场景,我们将通过逐步分析和设置来说明如何实现访问控制。
假设有一个公司,工作时间内(工作日08:30-18:00),希望限制局域网内的主机A仅访问内部网络,而主机段B只能访问特定的内网服务器1。
首先,需要创建一个时间段,定义工作时间为周一至周五的8:30至18:00。这可以通过在网络设备的时间管理功能中添加相应的时段规则来实现。
接下来,创建两种类型的ACL:MAC ACL和标准IP ACL。MAC ACL用于控制基于MAC地址的访问,而标准IP ACL用于控制基于IP地址的访问。
对于主机A,使用MAC ACL设置规则,阻止它向路由器接口Z发送数据。具体操作是添加一个ACL条目,指定丢弃来自主机A的数据包。而对于主机段B,使用标准IP ACL设置规则,允许其访问内网服务器1,并丢弃其他所有数据包。
完成ACL条目的配置后,需要将这些条目关联到相应的策略(Policy)中。策略是ACL规则实际生效的载体,它将规则应用到特定的网络流量上。创建两个策略,分别命名为Policy0和Policy100,并将之前创建的ACL0和ACL100与它们关联。
最后一步是将策略绑定到相应的网络端口。例如,如果主机A连接在端口1上,而主机段B连接在端口2至10上,则需要将这些端口与相应的策略绑定。这样,ACL规则就会在对应的端口上生效,从而根据规则控制数据包的流动。
通过上述设置,网络管理员可以确保主机A在工作时间内无法访问外网,而主机段B则只能访问特定的内部服务器。这种细致的访问控制策略有助于提高网络的安全性,同时确保网络资源的合理使用。
访问控制(ACL)通过数据包的源IP地址、目的IP地址、源MAC地址、目的MAC地址、协议、VLAN ID以及生效时间等来控制交换机上主机互相访问的权限,并可以通过建立Policy,将ACL和流镜像、流监控、Qos Remarking、端口重定向等动作组合起来,组成一个访问控制策略,对符合相应ACL规则的数据包进行控制。
1、ACL访问控制默认策略为“允许”,即“不符合规则的允许通过”。
2、源地址和目的地址均需采用“MAC+掩码”或者“IP+掩码”的方式表示。设置时需要将MAC地址段转换为“MAC地址+掩码”方式,IP地址段转换为“IP地址+掩码”方式,单个MAC地址掩码为FF-FF-FF-FF-FF-FF,单个IP掩码为255.255.255.255。
3、一个访问控制列表下可以建立多条访问控制规则,以规则ID区分。
例:工作时间(工作日08:30-18:00)内,局域网主机A仅禁止访问外网,主机段B仅允许访问内网服务器1,前端路由器LAN口为Z。
【分析】:主机A禁止发送数据到路由器接口Z,主机段B允许发送数据到服务器1,禁止其他数据通过。可分为MAC ACL和IP ACL两种实现方式。
【设置】:
1、 新建时间段。先添加时间片段8:30-18:00,之后选好周期:周一至周五,填写名称,然后提交即可新建工作时间段。可以在时间段列表中查看结果。
2、新建ACL。ACL有MAC ACL和标准IP ACL以及扩展IP ACL三种方式。本列已MACACL和标准IP ACL进行操作,扩展IP ACL只是比标准IP ACL多了一些协议上的控制。新建MAC ACL ID:0或标准IP ACL ID:100.
3、设置ACL条目。下面对主机A以MAC ACL条目设置;对主机段B以标准IP ACL条目进行设置。
①MAC ACL。添加条目:丢弃主机A发送到路由器接口Z的数据。
添加完后可以在ACL列表中选择相应ACL进行查看。
②标准IP ACL。要添加条目:允许主机段C发送到内网服务器1的数据,丢弃其他数据。
添加完后可以在ACL列表中选择相应ACL进行查看。
此时ACL条目已配置完成。但此时ACL并不生效,必须要将ACL与相应Policy关联起来,并绑定到对应的端口才会生效。
4、创建Policy。分别创建“Policy0”和“Policy100”。填入Policy名称后提交即可。
5、配置Policy。选择刚才创建的Policy0和之前建立的ACL0,提交。
选择刚才创建的Policy100和之前建立的ACL100,提交。
6、端口绑定。将配置好的Policy绑定到相应的端口,本例中主机A在1端口,主机段B在2-10端口,绑定后ACL将会在对应的端口上生效。
绑定好之后如下图:
通过以上设置可以满足用户需求。
