禁止内网不同网段之间互访(ACL业务访问控制)

1、【注意】ACL访问列表添加配置中最后一条一定是任意允许访问任意,如果未配置的话,接口调用后会导致整网断网。

2、配置不当可能造成全网断网,请在方便断网的时候配置测试。若出现断网,删除访问控制调用后就可以恢复

3、接口访问控制要调用in方向,调用顺序是匹配ACL访问列表的第一条就不会再匹配下面的,如果是第一条未匹配中,会按顺序往下匹配

4、若是192.168.1.0网段对应的接口是子接口,那么ACL在子接口下调用

三、组网拓扑

image.png

四、配置说明

NBR路由器内网有两个网段,正常接入互联网;

LAN0口下面接的用户是192.168.1.0/24网段的,网关地址是192.168.1.1

LAN1口下面接的用户是192.168.2.0/24网段的,网关地址是192.168.2.1

默认情况下2个网段没有限制,是可以互相访问的,并且都可以上互联网

现在想实现192.168.1.0网段不允许和192.168.2.0网段互访问

五、配置步骤

1、不同接口配置不同网段:👉点我查看

2、登录NBR的WEB页面,选择:安全认证>ACL访问列表>添加

image.png3、选择扩展ACL,填写ACL列表名称,可填写数字或英文、中文image.png

标准ACL:只支持对源地址进行控制

扩展ACL:支持对源地址、源端口、目的地址、目前端口、协议做精细化控制

4、选中创建好ACL列表,添加>+添加ACE规则,按照下面顺序进行添加

①禁止  192.168.1.0/24  访问  192.168.2.0/24

image.png

注:如果需要允许访问内网的多个网段,在此处继续添加多个。

②由于ACL默认最后有一条禁止所有,所以在最后一条要添加任意 允许 任意,代表放通其他网段上网。

image.png

配置完成后的ACE规则,如下图所示:

image.png

注:ACL列表的ACE规则是从上到下匹配的,只要匹配中,不会再往下匹配了。

假如需要允许访问192.168.2.0网段的192.168.2.2这个地址,只需要第一条配置允许192.168.1.0允许访问192.168.2.2的规则其他规则的配置顺序和上方的一样。

5、接口调用规则:安全认证>接口访问控制>+添加接口访问控制,在192.168.1.0/24对应的内网口LAN0口(Gi0/0)的收报文(in)调用ACL规则

image.png

6、配置完成,测试不同网段之间连通性以

#我是科技创作人#