ACL
ACL简介
- ACL
- Access control list : 访问控制列表,是有permit或者deny语句组成的一系列有顺序由的规则集合。
- 简单理解就是对你设置的列表中的网络流量做一些控制,是访问还是拒绝,以及在比如做NAT转换时规划列表中的网络可以通过NAT转换
- Access control list : 访问控制列表,是有permit或者deny语句组成的一系列有顺序由的规则集合。
rule 5 perimit sorce 10.0.0.0 0.0.255.255 | 抓取编号5中的来自(源IP)为10.0.0.0 16的流量 |
---|---|
0.0.255.255 | 通配符掩码 |
通配符掩码计算
- A:对于一个网络而言,其通配符掩码就是255.255.255.255减去子网掩码,对应位进行相减[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(
B:要匹配的目标不是一个网络时,要匹配的位置0,无关位置1,转换为10进制。例如写一条语句,将10.0.0.0/9网络中,所有最后一个十进制数为奇数的IP地址匹配出来。
-
☆: ACL注意顺序,编号从小到大,不设置编号时,华为默认为5开始的步长为5,
5,10,15. … 思科默认为10开始步长为10, 10,20,30… 。
-
所以匹配原则是从ACL列表从上到小,在需要添加一个小网络并且想要它优先被匹配,可以将编号设置成更小的,开始有 10 20 30 编号的acl, 你想加一个就可以把你要加的ACL编号设置比他们更小。
拓展:基本环境 – Telent 访问(远程访问)
[s2]aaa | 系统视图下进入aaa视图 |
---|---|
[s2-aaa] local-user ZRH passward simple huawei | 创建用户以及设置密码 |
[s2-aaa]local-user ZRH service-type telnet | 说明用户的用途是telnet访问 |
[s2-aaa]local-user ZRH privilege level 15 | 设置权限等级为15 |
[s2]user-interface vty 0 4 | 进入所有的VTY线路(需要查看设备有多少线路)本例为5条 (0-4) |
[s2-ui-vty0-4]authentication-mode aaa | 设置aaa认证,默认为telnet登录 |
[s4] telnet 10.43.30.2 (s2的ip地址) | |
思科版
s2(config) line vty 0 15 | 可以通过查看全部配置得知有几条VTY线路或者 敲 line vty ? 敲出? 后,下面会有提示,可以根据提示知道 |
---|---|
s2(config-line)# transport input telnet | 设置模式为Telnet |
s2(config-line)# password cisco | 设置密码为cisco |
s2(config-line)# login | 启用认证 |
s2(config-line)# enable sercet class | 设置一个神秘口令 , 因为在没有设置privilege等级下,telnet访问时,只能进入至最开始的模式(s2> ) |
演示: | |
[PC1] telnet 10.43.30.2 | PC1远程访问s2 |
Password: cisco | 输入密码 |
s2> | 进入到S2了 |
s2>en | 进入特权模式 |
Password:class | 刚刚设置的神秘口令 |
ACL–vty界面访问控制
-
配置好telnet访问设置
-
利用ACL抓取流量,限制所要限制访问的IP,只放行自己指定的IP地址
华为版
[s2]acl 进入acl,默认进入基础acl [s2-acl-basic-2000]rule 5 perimit sorce 10.43.30.4 0 抓取编号5中的来自(源IP)为10.43.30.4 的流量给予放行 [s2-acl-basic-2000]rule deny source any 拒绝任何IP访问 acl创建后,需要被调用才能生效 (不管是NAT还是VTY),这里是VTY,所以我们需要到VTY调用 [s2] user-interface vty 0 4 [s2-ui-vty0-4]acl 2000 inbound 当有流量进入S2设备的VTY,就调用acl 2000 ACL – 过滤 [R5] int g6/0/1 当需要在R5上创建后ACL想要调用它时,我们需要 [R5-GigabitEthernet6/0/1] traffic-filter outbound acl 2002 在g6/0/1接口出口方向上开启过滤 思科版
s2(config) # ip access-list standard 1 / access-list 1 permit host 10.43.20.20.11 创建ACL列表/ 1、2步合并 s2(config) # ip access-list standard 编号/ name acl列表的可设置编号或者是名字 s2(config-std-nacl)(#permit 10.43.20.20.11 0.0.0.0 设置抓取的流量以及动作 s2(config-std-nacl) #deny any s2(config-std-nacl) # do show ip acc 查看创建的acl列表 s2(config-std-nacl) # exit s2(config) # line vty 0 15 进入 vty 线路 s2 (config-line) # access-class 1 in 调用acl 列表 s2(config-if) ip acccess-group 1(这里是你的编号) 进入端口调用 -
这样即使知道密码,被限制的IP(设备)也无法访问
华为与思科的ACL的差别
思科标准的ACL编号 : 1-99 1300-1900
思科的ACL列表还可命名,不用编号时。
思科的默认隐藏式语句:拒绝所有
华为的默认隐藏式语句:允许所有