本文详细介绍了ACL(访问控制列表)在网络中的使用,区分了标准ACL关注IP地址,而扩展ACL关注源/目标IP和端口号。通过实例演示了如何配置和应用这些ACL规则,以及如何在接口和AAA服务中实施权限管理和端口过滤。
ACL(访问控制列表)
分类:
标准------仅关注数据包中的IP地址
扩展------关注数据包中的源/目标IP,协议号或目标端口号
配置标准ALC
由于标准ACL仅关注数据包中的源IP,故调用时要尽量靠近目标,避免对其他地址的访问被误杀
2000-2999 标准ACL的编号范围
3000-3999 扩展ACL的编号范围
注意:一个编码就是一张规则,一张规则可以容纳大量的具体规则
[R2]ACL 2000 创建标准ACL 2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0(通配符)
规定 拒绝 源 192.168.1.2
在匹配地址时,需要使用通配符
ACL的通配符与OSPF的反掩码规则相同,唯一区别在于通配符可以进行0 1 穿插。
[R2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
规定 允许 源 192.168.1.0 这个网段通过
[R2-acl-basic-2000]rule deny source any
规定 拒绝 所有
[R2-acl-basic-2000]display ACL 2000
查看2000这张表
[R2-acl-basic-2000]rule 7 deny source 1922.168.1.1 0.0.0.0
规定 第7条 为 拒绝 源 192.168.1.1
[R2]interface g 0/0/0
进入需要调用规则的接口
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
1、仅关注源/目标IP
由于扩展ACL对流量进行了精确匹配,故 可以避免误杀因此调用时要尽量靠近源
[R1]acl 3000 创建扩展配置ACL编号为3000
[R1-acl-adv-3000]rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.2.2 0.0.0.0
规定 拒绝 源 192.168.1.2 向目标192.168.2.2 的一切IP行为
telnet远程登陆 基于TCP23 端口
条件:
①登录设备必须与被登录设备之间必须可以达
②被登录设备必须打开telnet设定
[R1]acl aaa 开启aaa服务
[R1-aaa]local-user AAA privilege level 15 password cipher 123456
创建一个名为AAA的用户 其等级为15 密码为123456
[R1-aaa]local-user AAA service-type telnet
定义AAA为远程登录所用
[R1]user-interface vty 0 4 创建0-4 一共5个虚拟接口通道
[R1-ui-vty0-4]authentication-mode aaa
定义该通道服务于aaa
2、关注源/目标IP地址的同时,关注目标端口号
[R1-acl-adv-3000]rule deny tcp source 192.168.1.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
规定 拒绝 源192.168.1.1 向 目标 192.168.2.2 的TCP端口23号行为
[R1-acl-adv-3001]rule deny icmp source 192.168.1.1 0.0.0.0 destination 192.168.2.2 0.0.0.0
规定 拒绝 源 192.168.1.1 对目标192.168.2.2 发起icmp请求行为
扫一扫
1928
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
