当前位置:   article > 正文

锐捷睿易:acl的制定和应用_锐捷acl配置实例

锐捷acl配置实例

一、acl简介

在网关路由器上配置ACL访问控制功能,多用于以下场景

◆ 实现内网不同网段之间不能互访

◆ 配置单向通信,例如:1网段无法访问2网段,但2网段可以访问1网段

◆ 禁止内网部分用户上互联网,但是允许内网互访

二、引入背景

客户一楼栋为新建办公楼,由中心机房核心交换机接入到楼栋核心机房nbr上,且为其接入端口划分为52网段。

要求:

1、新建办公楼不可访问外网

2、新建办公楼内能够互相访问

3、新建办公楼能够访问中心机房服务器192.68.8.254和192.168.8.253

三、ACL配置

此处以NBR6135-E为例做配置 :

由中心机房接入过来的线接到NBR6135-E的WAN0口,动态获取52段地址,LAN0口接新建楼栋的核心交换机 ,开始新建项目时为LAN0口划分152网段,掩码为255.255.255.0,开启DHCP          

图形化界面配置:

3ba86badbd464899b7082fd0fc57814f.png        8bd4e8bda20443708d63d7ab4c50f3c1.png创建好后按要求做acl配置

安全认证→ACL访问列表→添加ACL列表,再按顺序添加ACE规则

1、创建扩展acl

330f76e3384a47de9332d0ecc536201b.png 2、152网段能够互访                                                                                      

b45851b6618441c39e616c425b3ac092.png

 3、152网段能够访问服务器地址192.168.8.254和192.18.8.253

86d8df52039a4f439b256b7027a4fcb3.png

1a6e0e1e57394485855a0b4ad2ee3342.png 4、152网段禁止访问互联网

dc62e46b33394497a6f9f23d3b654179.png

5、最后再加一条放通所有流量的ace规则,目的是让其他信息流通过,或以后有其他网段可以通过

19cf1f9dd64c40c9974e0e9f97650bc5.png

 制定好之后

f49c05e6446a4205b0e320bc8ddb3fd2.png

6、将ACL规则应用到接口上,安全认证→接口访问控制→添加接口访问控制,应用到接核心交换机的接口LAN0口上,分别配置in和out两个方向

c20d693e24d64a2ca1f9aeeca66f59df.png

 07f8371cb5a24019beae7d146b369ccf.png

9b98fc4187a640b1a13987a37b15cd16.png
令配置 1、创建ACL 152并调用在LAN0口

Ruijie#configure terminal

Ruijie(config)#ip access-list extended 152

Ruijie(config-ext-nacl)#10 permit udp any any range bootps bootpc //放通dhcp的UDP 67-68端口,防止内网用户获取不到地址

Ruijie(config-ext-nacl)#20 permit ip 192.168.152.0 0.0.0.255 192.168.152.0 0.0.0.255 //允许192.168.152.0/24访问192.168.152.0/24

Ruijie(config-ext-nacl)#30 permit ip 192.168.152.0 0.0.0.255 host 192.168.8.254

Ruijie(config-ext-nacl)#40 permit ip 192.168.152.0 0.0.0.255 host 192.168.8.253 //允许192.168.152.0访问服务器

Ruijie(config-ext-nacl)#50 deny ip 192.168.152.0 0.0.0.255 any //192.168.1.0/24访问所有 Ruijie(config-ext-nacl)#60 permit ip any any //最后一定要允许所有!!!

Ruijie(config-ext-nacl)#exit //退到上一级

Ruijie(config)#interface GigabitEthernet 0/0 //进入接口

Ruijie(config-if-GigabitEthernet 0/0)#ip access-group 152 in //调用在接口in方向

Ruijie(config-if-GigabitEthernet 0/0)#end //退回特权模式

Ruijie#write //保存

 

 

 

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/花生_TL007/article/detail/527882
推荐阅读
相关标签
  

闽ICP备14008679号