ACL第六天

ACL:访问控制列表 访问控制—在路由器流量进或出接口上，定制列表匹配流量后产生动作—允许、拒绝定义感兴趣流量 — 帮助其他的策略技术抓取流量分类：标准 – 仅关注数据包中的源ip地址 扩展 – 关注数据包中的源、目标ip地址，目标端口号或协议号匹配规则：至上而下逐一匹配，上条匹配按上条执行，不再查看下条；华为设备默认隐含允许所有；Cisco设备默认隐含拒绝所有；配置命令：【1】标准ACL的配置： 由于仅关注数据包中的源ip地址，为避免误删，配置时建议调用时尽量靠近目标； 标准列表编号 2000-2999 一个编号为一张表；一张表中可以配置多条内容信息[r2]acl 2000[r2-acl-basic-2000][r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 拒绝一个ip地址[r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255 拒绝一段[r2-acl-basic-2000]rule deny source any 拒绝所有[r2-acl-basic-2000]rule permit source any 允许所有注：ACL 使用了类似OSPF的反掩码来匹配范围；但ACL使用的是通配符；和反掩码的区别在于，通配符可以0/1穿插使用；自动以5位步调增加序列号；序列号的意义在于便于，插入和删除；[r2-acl-basic-2000]rule 7 permit source 192.168.2.1 0.0.0.0[r2-acl-basic-2000]undo rule 15ACL编辑完成后，需要到接口调用方可生效； 调用时注意方向，在一个接口的一个方向上只能调用一张；若删除了ACL，调用的命令虽然还在接口上，但没有意义；[r2-GigabitEthernet0/0/1]traffic-filter ? inbound Apply ACL to the inbound direction of the interface outbound Apply ACL to the outbound direction of the interface [r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000可以通过命名的方式来标记该ACL的工作性质[r2]acl name classroom-G 2000[r2-acl-basic-classroom-G]【2】扩展ACL –由于扩展ACL可以精确匹配流量，故调用时建议尽量的靠近源[r1]acl 3000 [r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0[r1-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination any 源ip地址 目标ip地址使用扩展ACL来进行目标行为的限制：Telnet—远程登录 基于tcp下的23号端口工作设置条件：登录设备与被登录设备可以通信被登录设备开启的远程登录服务[r1]aaa 在AAA服务中定制账号、权限、密码，功能[r1-aaa]local-user huawei privilege level 15 password cipher 123456[r1-aaa]local-user huawei service-type telnet再在vty虚拟登录线缆上调用账号[r1]user-interface vty 0 4 [r1-ui-vty0-4]authentication-mode aaa[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23拒绝192.168.1.10 对192.168.1.1的TCP目标端口23访问 – 仅拒绝Telnet服务[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0仅拒绝192.168.1.10 对192.168.1.1的icmp请求—ping