ACL:访问控制列表
ACL:访问控制列表 -- 策略
作用:
- 访问控制 -- 在路由器流量进或出的接口上,匹配流量,产生动作-- 允许、拒绝
- 定义感兴趣流量 --- 协同其他协议,抓取兴趣流量提供给其他协议进行策略
匹配规则:
至上而下逐一匹配,上条匹配按上条执行,不再查看下一条;
思科系设备在列表末尾隐含一条拒绝所有。
华为系设备在列表末尾隐含一条允许所有。
分类:
- 标准ACL-- 仅关注数据包里面的源ip地址;
- 扩展ACL-- 同时关注数据包中源、目标ip地址,还可以同时关注目标端口号或协议号。
配置命令:
- 标准ACL的配置
由于标准ACL,仅关注数据包中的源ip地址,故调用时应该尽量的靠近目标,避免误删。
一台路由器上可以创建多张ACL列表,一张列表中可以存在N条规则;但一个接口的一个方向上只能调用一张列表
编号2000-2999 为标准列表 3000-3999为扩展列表
[r2]acl 2000
[r2-acl-basic-2000]
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
拒绝 源ip 通配符
[r2-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
允许 源ip地址范围
[r2-acl-basic-2000]rule deny source any
拒绝 所有
默认以5为步调添加序列号,便于删除和插入
[r2-acl-basic-2000]undo rule 20 基于序号删除条目
[r2-acl-basic-2000]rule 7 permit source 192.168.2.0 0.0.0.255 基于序号插入到列表中间
通配符和ospf的反掩码使用规则的不同之处在于,通配符可以0与1穿插编写;
注:ACL列表被编写好以后并不会直接工作,需要调用于使用位置后方可生效
[r2]interface g0/0/1
inbound Apply ACL to the inbound direction of the interface
outbound Apply ACL to the outbound direction of the interface
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
出方向 acl编号
调用时,一定注意方向。
- 扩展ACL
同时关注数据包中源、目标ip地址,不存在误删流量;故调用时建议尽量靠近源
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
[r1-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.2 0
[r1-acl-adv-3000]rule permit ip source any destination any
动作 源ip 目标ip
[r1]interface g0/0/0 接口调用,注意方向
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
- 扩展acl的扩展应用
在关注数据包中的源、目标ip地址的同时,还关注目标端口号
[r1-acl-adv-3002]rule deny tcp source 192.168.1.4 0 destination 192.168.1.1 0 destination-port eq 23
动作 协议 源ip 目标ip 目标端口号
以上策略,拒绝了 192.168.1.4对192.168.1.1的TCP目标端口23的访问-- 拒绝telnet
[r1-acl-adv-3003]rule deny icmp source 192.168.1.4 0 destination 192.168.1.1 0
动作 协议 源ip 目标ip
以上动作为拒绝192.168.1.4对192.168.1.1的ICMP访问--拒绝ping
Telnet:远程登录
基于TCP 23号端口工作
设备开启远程登录
[r1]aaa
[r1-aaa]local-user panxi privilege level 15 password cipher 123456
账户panxi 权限15级(超级管理员 ) 密码123456
[r1-aaa]local-user panxi service-type telnet
定义该账户为telnet使用
[r1-aaa]q
先创建远程登录的账号、权限、密码,定义账号功能
[r1]user-interface vty 0 4 开启telnet功能
[r1-ui-vty0-4]authentication-mode aaa