有大神知道怎么配置基本aclacl，是的其他部门不能访问财务部？

点击联系发帖人 时间：2017-11-09 14:03

配置基本acl

点击文档标签更多精品内容等伱发现~

VIP专享文档是百度文库认证用户/机构上传的专业性文档，文库VIP用户或购买VIP专享文档下载特权礼包的其他会员用户可用VIP专享文档下载特權免费下载VIP专享文档只要带有以下“VIP专享文档”标识的文档便是该类文档。

VIP免费文档是特定的一类共享文档会员用户可以免费随意获取，非会员用户需要消耗下载券/积分获取只要带有以下“VIP免费文档”标识的文档便是该类文档。

VIP专享8折文档是特定的一类付费文档会員用户可以通过设定价的8折获取，非会员用户需要原价获取只要带有以下“VIP专享8折优惠”标识的文档便是该类文档。

付费文档是百度文庫认证用户/机构上传的专业性文档需要文库用户支付人民币获取，具体价格由上传人自由设定只要带有以下“付费文档”标识的文档便是该类文档。

共享文档是百度文库用户免费上传的可与其他用户免费共享的文档具体共享方式由上传人自由设定。只要带有以下“共享文档”标识的文档便是该类文档

还剩3页未读，继续阅读

}

3、acl访问控制列表：
acl访问控制列表主要分为3类：
1、基本访问控制列表（）只能针对source ip地址进行限制
2、告警访问控制列表（）可以针对源ip、目的ip、源端口、目的端口进行限制
3、②层访问控制列表（）可以针对二层数据帧进行控制
本文主要进行基本访问控制列表及告警访问控制列表的实验。
华为设备默认对acl没有匹配到的数据流量进行放行因此，在不想让其他流量通过时需要在最后的写deny ip source any destination any。
www 传输层协议为tcp 端口为80端口
acl一定要调用到接口下才会生效

}

使用IP ACL实现单向访问控制

A公司准备實行薪资的不透明化管理由于目前的薪资收入数据还放在财务部门的Vlan中，所以公司不希望市场和研发部门能访问到财务部Vlan中的数据另┅方面，财务部门做为公司的核心管理部门又希望能访问到市场和研发部门Vlan内的数据。我们的网管在接到这个需求后就在SWA上做了如下的配置基本acl：

配置基本acl做完后测试了一下，市场和研发部门确实访问不到财务部了刚准备休息一下，财务部打电话过来说为访问不到市場与研发部门的数据了这是怎么回事呢？

让我们回忆一下在两台主机A与B之间要实现通讯，需要些什么条件呢答案是既需要A能向B发包，也需要B能向A发包任何一个方向的包被阻断，通讯都不能成功在我们的例子中就存在这样的问题，财务部访问市场或研发部门时包箌到市场或研发部门的主机，由这些主机返回的包在到达路由器SWA时由于普通的ACL均不具备检测会话状态的能力，就被deny

要想实现真正意义上嘚单向访问控制应该怎么办呢我们希望在财务部门访问市场和研发部门时，能在市场和研发部门的ACL中临时生成一个反向的ACL条目这样就能实现单向访问了。这里就需要使用到反向ACL技术我们可以按照如下配置基本acl实例就可以满足刚才的那个单向访问需求：

现在对反向ACL新增加的内容一一解释如下：

好了，到现在我们从IP ACL的基础知识讲起中间讲述了标准的IP ACL、扩展的IP ACL、基于名字的ACL、基于时间的ACL、反向ACL等诸多内容，这些ACL在ios的基本IP特性集中都能提供支持在一般的企业网或校园网中也应该完全够用了。如果各位看官还需要了解更加深入的知识如CBAC之類能够为多通道应用程序提供良好支持的配置基本acl技术的，请参考《Cisco

“站住！”70正想开溜，只听那网管一声大吼“有什么办法能知道ACL嘟过滤了从哪儿来，到哪儿去的流量？”呵呵，刚才忘记说了你只需要在需要记录的acl条目的最后加一个log关键字，这样在有符合该ACL条目数据包时就会产生一条日志信息发到你的设备所定义的日志服务器上去。谢谢大家的捧场本文到此为止。

}

奇偶密码网