ACL访问控制列表:
**1.访问权限:**在路由器流量进或者出的接口上匹配流量,之后对其进行限制;
2.定义感兴趣流量
匹配规则:
自上而下逐一匹配,上条匹配成功俺上条执行;不再查看下条;
Cisco在末尾隐含一条拒绝所有;
华为在末尾隐含一条允许所有;
ACL 的分类:
**1.标准ACL:**仅匹配流量中的源IP地址;
**2.扩展ACL:**匹配流量中源/目IP地址,目标端口号或目标协议号;
**
ACL的写法:
**
1.编号:
标准:2000-2999;
扩展:3000-3999;(一个编号为一张表)
标准ACL:
在标准ACL中,只匹配流量中源IP地址,
调用时为避免误删,尽量靠近目标;
[Huawei]acl 2000 //创建编号为2000的ACL
[Huawei-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0 //拒绝以个具体的IP地址
[Huawei-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255 //拒绝一个地址范围
注:ACL使用的是通配符,OSPF使用反掩码;
区别:通配符的0,1可以穿插
[Huawei-acl-basic-2000]rule deny source 192.168.1.1 0.255.0.255
默认以5为步调增加需要,便于插入规则;
[Huawei-acl-basic-2000]rule 4 permit source 192.168.1.9 0
同时序号可以方便删除条目:
[Huawei-acl-basic-2000]undo rule 4
[Huawei-acl-basic-2000]dis this
[V200R003C00]
#
acl number 2000
rule 5 deny source 192.0.1.0 0.255.0.255
rule 10 deny source 192.168.1.2 0
rule 15 deny source 192.168.1.6 0
#
return
2.命名:
[Huawei]acl name classroomB basic
[Huawei-acl-basic-classroomB]
//使用命名方式来创建一个标准ACL列表;
切记:ACL定制完成后,必须要到接口上进行调用才能生效工作;
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traff
[Huawei-GigabitEthernet0/0/0]traffic-filter in
[Huawei-GigabitEthernet0/0/0]traffic-filter ?
inbound Apply ACL to the inbound direction of the interface //进入方向
outbound Apply ACL to the outbound direction of the interface //出方向
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
[Huawei-GigabitEthernet0/0/0]undo traffic-filter inbound 2000
//撤销这个命令
扩展ACL配置:
扩展ACL课清楚的标记目标,故调用时建议尽量靠近源
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.1 0 destination 192.168.1.2 0
序号 动作 协议 源IP地址 目标IP地址
[r1]int g0/0/0 //接口调用
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
拒绝ping
[r1-acl-adv-3000]rule deny icmp source 192.168.1.1 0 destination 192.168.1.2 0
拒绝telnet
[r1-acl-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.1.2 0 de
stination-port eq 23
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
tip;
telnet基于tcp下的23端口号进行;
http基于tcp下的80端口号进行;
RIP基于UDP下的520端口号进行;