ACL---访问控制列表
ACL(访问控制列表)是一种网络流量限制技术,它可以通过为路由器或交换机接口配置特定的控制命令来实现对进出数据的包进行控制。在配置ACL时,首先需要定义访问条件,这可能包括创建一个唯一的列表编号(范围从1到99或100到199)或命名一个列表。随后,在指定的列表中添加流量筛选条件,如IP地址、路由信息或协议类型。这些条件可以是允许(permit)或拒绝(deny)。
分类:
标准----仅关注数据包中的源IP地址
扩展----关注数据包中的源/目标IP,协议号或目标端口号
配置标准ACL
由于标准ACL仅关注数据包中的源IP,故 调用时要尽量靠近目标,避免对其他地址的访问被误杀
2000-2999 标准acl的编号范围 3000-3999 扩展acl的范围
注意:一个编码就是一张规则,一张规则可以容纳大量的具体规则
[R2]acl 2000 创建标准acl 2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
规定 拒绝 源 192.168.1.2
在匹配地址时,需要使用通配符
Acl的通配符与ospf的反掩码规则相同,唯一区别在于通配符可以进行0 1 穿插。
[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
规定 允许 源 192.168.2.0 这个网段通过
[R2-acl-basic-2000]rule deny source any 规定 拒绝所有
[R2-acl-basic-2000]display acl 2000 查看acl2000
[R2-acl-basic-2000]rule 7 deny source 192.168.2.1 0.0.0.0 规定该规则步调为7 拒绝 源192.168.2.1
[R2]interface g 0/0/0 进入需要调用规则的接口
进入方向 出方向
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 在相应接口的出方向上调用acl2000
1.仅关注源/目标 IP
由于扩展ACL对流量进行了精确匹配,故 可以表面误杀,因此,调用时,尽量靠近源
[R1]acl 3000创建 扩展 ACL 编号为3000
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
规定 拒绝 源 192.168.1.2 向目标 192.168.3.0 的一切IP行为
2.在关注源/目标IP地址的同时,在关注目标端口号
[R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23
规定 拒绝 源IP为192.168.1.10 目标 IP为192.168.1.1 的TCP 端口23号 行为
[R1-acl-adv-3001]rule deny icmp source 192.168.2.2 0.0.0.0 destination 192.168.2.1 0.0.0.0 规定 拒绝 源192.168.2.2 向192.168.2.1 的 icmp 行为