ACL:访问控制列表
- 访问控制----在路由器的入或者出接口上,匹配流量,之后产生动作----允许和拒绝
- 定义感兴趣流量---帮助其他的策略抓流量
匹配规则:
至上而下,逐一匹配,上条匹配按照上条执行,不在查看下条;在思科的体系中,末尾隐含拒绝所有,在华为的体系中,末尾隐含允许所有。
分类:
标准-----仅关注数据包中的源IP地址
扩展-----关注数据包中的源/目标IP地址,协议号或目标端口号
标准ACL配置:由于标准ACL仅关注数据包中的源IP地址,故,调用时尽可能的靠近目标,避免对其他地址的访问被删除。
[R2]acl ?
INTEGER<2000-2999> 标准ACL 编号
INTEGER<3000-3999> 扩展ACL 编号
[R2-acl-basic-2000] 选择编号ACL2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
规定 拒绝 源IP为 192.168.1.2 尾号0.0.0.0 的意义就是定死这个IP
[R2-acl-basic-2000]rule permit source any
规则 允许 源IP为 所有
[R2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
规定 允许 源 192.168.1.0/24这个网段通过
在匹配地址时,需要使用通配符
ACL的通配符与ospf的反掩码匹配规则相同,唯一区别在于通配符可以进行0 1 穿插。
[R2]display acl 2000 查询acl 2000
步调 5为一跳 自动添加的序列号
[R2-acl-basic-2000]rule 7 deny source 192.168.1.1 0.0.0.0 步调
[R2-GigabitEthernet0/0/1] 进入需要调用acl的接口
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在出方向上调用acl2000
[R2]acl name classroom-A 2000 给acl表进行命名
扩展ACL配置:关注数据包中的源 目标IP地址 协议号 或 目标端口号
由于扩展ACL对流量进行了精确的匹配,故 可以避免误杀,因此,调用时,尽量的靠近源。
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
规定 拒绝 源 192.168.1.2 目标 192.168.3.2 IP行为
- 在关注源/目标IP地址的同时,在关注目标端口号
Telnet远程登录 基于TCP23号端口
条件:1.登录设备与被登录设备之间必须可达
2.被登录设备必须开启telnet设定
[R1]aaa 开启aaa服务
[R1-aaa]local-user MXY privilege level 15 password cipher 123456
创建账户MXY 提权 为15级 定义该账号密码为123465
[R1-aaa]local-user MXY service-type telnet 定义该账户用于远程登录
[R1]user-interface vty 0 4 开放五个虚拟接口
[R1-ui-vty0-4]authentication-mode aaa 认证模式为aaa
[R1-acl-adv-3003]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23
规定 拒绝 源 192.168.1.10 向 目标 192.168.1.1 tcp协议行为 目标行为 为23端口
路由器的出或者入接口上只能调用一张表
[R1-acl-adv-3003]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 规定拒绝源192.168.1.10向目标192.168.2.2的icmp(ping)行为