Contents
使用基本ACL实现网络安全
一、项目需求:
1.源IP地址为私有地址的流量不能从Internet进入企业网络。(外网到内网)
2.财务部服务器只能由财务部中的计算机访问。
二、环境准备
配置前确保各方的计算机都能访问服务器
创建VLAN
[Huawei]sys AR1
[AR1]vlan batch 10 20 30配置VLAN 20-AR1
[AR1]int Ethernet 0/0/2
[AR1-Ethernet0/0/2]port link-type access
[AR1-Ethernet0/0/2]port default vlan 20
[AR1-Ethernet0/0/2]int Ethernet 0/0/3
[AR1-Ethernet0/0/3]port link-type access
[AR1-Ethernet0/0/3]port default vlan 20
[AR1-Ethernet0/0/3]quit
[AR1]int vlanif 20
[AR1-Vlanif20]ip address 192.168.2.1 24配置VLAN30-AR1
[AR1]int Ethernet 0/0/4
[AR1-Ethernet0/0/4]port link-type access
[AR1-Ethernet0/0/4]port default vlan 30
[AR1-Ethernet0/0/4]int Ethernet 0/0/5
[AR1-Ethernet0/0/5]port link-type access
[AR1-Ethernet0/0/5]port default vlan 30
[AR1-Ethernet0/0/5]quit
[AR1]int vlanif 30
[AR1-Vlanif30]ip addr 192.168.3.1 24配置VLAN 10-AR1
[AR1-Vlanif30]int Ethernet 0/0/0
[AR1-Ethernet0/0/0]port link-type access
[AR1-Ethernet0/0/0]port default vlan 10
[AR1-Ethernet0/0/0]int Ethernet 0/0/1
[AR1-Ethernet0/0/1]port link-type access
[AR1-Ethernet0/0/1]port default vlan 10
[AR1-Ethernet0/0/1]quit
[AR1]int vlanif 10
[AR1-Vlanif10]ip address 192.168.1.1 24配置VLAN 40-AR2
<Huawei>sys
[Huawei]sys AR2
[AR2]vlan 40
[AR2-vlan40]quit
[AR2]int Ethernet 0/0/0
[AR2-Ethernet0/0/0]port link-type access
[AR2-Ethernet0/0/0]port default vlan 40
[AR2-Ethernet0/0/0]int Ethernet 0/0/1
[AR2-Ethernet0/0/1]port link-type access
[AR2-Ethernet0/0/1]port default vlan 40
[AR2-Ethernet0/0/1]quit
[AR2]int vlanif 40
[AR2-Vlanif40]ip addr 20.1.2.1 24配置AR1,AR2路由
配置路由-AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip addr 12.2.1.1 24
[AR1-GigabitEthernet0/0/0]quit
[AR1]ip route-static 0.0.0.0 0 12.2.1.2配置路由-AR2
<Huawei>sys
[Huawei]sys AR2
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip addr 12.2.1.2 24
[AR2-GigabitEthernet0/0/0]quit
[AR2]ip route-static 192.168.0.0 16 12.2.1.1测试
目标:环境内部各个PC,服务器都能互联互通
财务部-》财务部服务器
INTERNET-》企业内部
三、财务部服务器只能由财务部中的计算机访问
[AR1]dis acl all
Total quantity of nonempty ACL number is 0
<AR1>sys
[AR1]acl 2000
[AR1-acl-basic-2000]rule 5 permit source 192.168.2.0 0.0.0.255
[AR1-acl-basic-2000]rule deny
[AR1-acl-basic-2000]quit
[AR1]interface vlanif 30
[AR1-Vlanif30]traffic-filter outbound acl 2000
PC1不能PING通财务部服务器
如果允许PC1访问服务器
<AR1>sys
[AR1]acl 2000
[AR1-acl-basic-2000]rule 4 permit source 192.168.1.2 0.0.0.0
四、配置入站规则
<AR1>sys
[AR1]acl 2000
[AR1-acl-basic-2000]rule 4 permit source 192.168.1.2 0.0.0.0
[AR1-acl-basic-2000]quit
[AR1]acl 2010
[AR1-acl-basic-2010]rule 5 deny source 192.168.0.0 0.0.255.255 #-私网地址
[AR1-acl-basic-2010]rule 10 deny source 172.16.0.0 0.15.255.255 #-私网地址
[AR1-acl-basic-2010]rule 15 deny source 10.0.0.0 0.255.255.255 #-私网地址
[AR1-acl-basic-2010]int g0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 2010(非源IP地址为私有地址)可以访问市场部,禁止个人电脑访问企业内部
(非源IP地址为私有地址)不可以访问财务部服务器
五、172.16.0.0 – 172.31.0.0 怎么算反转掩码,后两位不固定
步骤1: 确定地址范围的核心变化部分
IP地址 172.x.y.z 属于 B类地址,核心变化在第二个字节(16 → 31):
- 起始:
172.16.0.0→10101100.00010000.00000000.00000000(二进制) - 结束:
172.31.0.0→10101100.00011111.00000000.00000000(二进制)
关键发现:
仅第二个字节的低4位变化(0000 → 1111),其他部分固定:
步骤2: 计算反转掩码
反转掩码 = 需忽略的比特位设为1,需匹配的比特位设为0:
- 第一字节(172):全部固定 → 通配符
- 第二字节:
- 高4位
0001固定 → 通配符低4位需设为1(忽略变化) - 计算:
00001111(二进制) =15(十进制)
- 高4位
- 第三字节:全部不固定 → 255
- 第四字节:全部不固定 → 通配符
255**
最终反转掩码:0.15.255.255
(对应:第一字节全匹配 | 第二字节低4位忽略 | 第三字节全匹配 | 第四字节全匹配)