锐捷睿易:acl的制定和应用 | 您所在的位置:网站首页 › 锐捷路由器nat配置案例 › 锐捷睿易:acl的制定和应用 |
一、acl简介
在网关路由器上配置ACL访问控制功能,多用于以下场景: ◆ 实现内网不同网段之间不能互访 ◆ 配置单向通信,例如:1网段无法访问2网段,但2网段可以访问1网段 ◆ 禁止内网部分用户上互联网,但是允许内网互访 二、引入背景客户一楼栋为新建办公楼,由中心机房核心交换机接入到楼栋核心机房nbr上,且为其接入端口划分为52网段。 要求: 1、新建办公楼不可访问外网 2、新建办公楼内能够互相访问 3、新建办公楼能够访问中心机房服务器192.68.8.254和192.168.8.253 三、ACL配置此处以NBR6135-E为例做配置 : 由中心机房接入过来的线接到NBR6135-E的WAN0口,动态获取52段地址,LAN0口接新建楼栋的核心交换机 ,开始新建项目时为LAN0口划分152网段,掩码为255.255.255.0,开启DHCP 图形化界面配置:
安全认证→ACL访问列表→添加ACL列表,再按顺序添加ACE规则 1、创建扩展acl
3、152网段能够访问服务器地址192.168.8.254和192.18.8.253
5、最后再加一条放通所有流量的ace规则,目的是让其他信息流通过,或以后有其他网段可以通过 制定好之后 6、将ACL规则应用到接口上,安全认证→接口访问控制→添加接口访问控制,应用到接核心交换机的接口LAN0口上,分别配置in和out两个方向 ![]() Ruijie#configure terminal Ruijie(config)#ip access-list extended 152 Ruijie(config-ext-nacl)#10 permit udp any any range bootps bootpc //放通dhcp的UDP 67-68端口,防止内网用户获取不到地址 Ruijie(config-ext-nacl)#20 permit ip 192.168.152.0 0.0.0.255 192.168.152.0 0.0.0.255 //允许192.168.152.0/24访问192.168.152.0/24 Ruijie(config-ext-nacl)#30 permit ip 192.168.152.0 0.0.0.255 host 192.168.8.254 Ruijie(config-ext-nacl)#40 permit ip 192.168.152.0 0.0.0.255 host 192.168.8.253 //允许192.168.152.0访问服务器 Ruijie(config-ext-nacl)#50 deny ip 192.168.152.0 0.0.0.255 any //192.168.1.0/24访问所有 Ruijie(config-ext-nacl)#60 permit ip any any //最后一定要允许所有!!! Ruijie(config-ext-nacl)#exit //退到上一级 Ruijie(config)#interface GigabitEthernet 0/0 //进入接口 Ruijie(config-if-GigabitEthernet 0/0)#ip access-group 152 in //调用在接口in方向 Ruijie(config-if-GigabitEthernet 0/0)#end //退回特权模式 Ruijie#write //保存
|
CopyRight 2018-2019 实验室设备网 版权所有 |