在路由器的控制中
ACL访问控制列表的作用:
1.访问控制
---- 在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作 。
permit(允许) deny(拒绝)
2.抓取感兴趣流
---- ACL的另一个作用就是和其他服务结合使用。ACL只负责抓取流量,动作由其它服务来执行。
ACL列表的匹配规则 自上而下,逐一匹配,如果配到了,则执行对应的动作,则不再向下匹配。
思科----ACL列表末尾默认包含一条拒绝所有的规则。
华为----ACL列表末尾没有包含任何规则。
ACL列表的分类
基础ACL––仅关注数据包中的源IP地址(只关注你是谁)
高级ACL––不仅关注数据包中的源IP地址,还关注目标IP地址,以及协议和端口号。(不仅关注你是谁,还关注你去哪,干啥)
二层ACL––
用户自定义ACL列表
需求一:要求PC1可以访问3.0网段,但是PC2不行。
基础ACL配置的位置原则:因为基础ACL只关注源IP地址,所以,可能会造成误伤,所以,建议基础ACL配置位置越靠近目标越好。
基础ACL配置:
1,创建ACL列表
[r2]acl ?
INTEGER<2000-2999> Basic access-list(add to current using rules) --- 基础ACL
INTEGER<3000-3999> Advanced access-list(add to current using rules) --- 高级ACL
INTEGER<4000-4999> Specify a L2 acl group --- 二层ACL
2.在ACL列表中添规则
思路一:deny PC2 permit 所有
思路二:permit PC1 deny 所有
【在这个题中思路一适合华为(末尾默认允许所有),思路二适合思科】
[r2-acl-basic-2000]rule deny source 192.168.1.3(PC2的IP地址) 0.0.0.0 --- 通配符 --- 0代表不可变,1代表可变 --- 通配符和反掩码(连续的0或1)不同,他可以0和1穿插着使用。
[r2-acl-basic-2000]rule permit source any --- 允许所有
[r2]display acl 2000 --- 查看ACL列表
图中的5,10,15是一个排序,之所以是这几个数字,是因为华为的规则默认(可以手动更改)以5为步调自动添加序号,目的为了方便插入规则。
如果还要添加规则
[r2-acl-basic-2000]undo rule 7 --- 删除规则
3,在接口上调用ACL列表
inbound代表入借口
outbound代表出借口
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
切记:一个接口的一个方向上只能调用一张ACL列表
需求二:要求PC1可以ping通PC3,但是不能ping通PC4。
高级ACL列表配置位置原则:
因为高级ACL列表可以进行精准的匹配,所以,位置应该放在尽可能靠近源的地方,可以 节约链路资源。
[r1]acl name xuqiuer 3000 --- 通过重命名的方法来创建高级ACL列表
[r1-acl-adv-xuqiuer]
[r1-acl-adv-xuqiuer]rule deny ip source 192.168.1.2(PC1的IP地址) 0.0.0.0 destination 192.168.3.3(PC4的IP) 0.0.0.0 --- 高级ACL列表规则
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiuer --- 通过调用名称来调用列表
需求三:要求AR3可以ping通AR2,但是不能telnetAR2(因为电脑模拟不出Telnet的公能所以换成路由器AR3)
先敲允许Telnet命令
[r1-acl-adv-xuqiuer]rule deny tcp source 192.168.1.10(AR3的IP) 0.0.0.0 destination 192.168.2.2(AR2 的IP)0.0.0.0 destination-port eq 23(tcp协议的23号端口)