ACL-访问控制列表
1,访问控制-在路由器流量入或出的接口上,匹配流量,之后产生动作—允许、拒绝
2,定义感兴趣流量—帮助其他的策略协议抓流量;
匹配规则
至上而下逐一匹配,上条匹配按上条执行,不再查看下条;
在思科体系中,末尾隐含拒绝所有;在华为体系中,末尾隐含允许所有;
分类:
标准--仅关注数据包中的源ip地址;
扩展--关注数据包中的源、目标ip地址,协议号或目标端口号;
标准ACL配置:
由于标准ACL仅关注数据包中的源IP地址;故调用时尽量的靠近目标;避免源对其他地址的访问被误删;
[r2]acl ?
INTEGER< 2000- 2999>标准ACL编号
INTEGER<3000-3999>扩展ACL编号
一个编号是一张规则,一张规则列表中可以容纳大量的具体规则;
[r2]acl 2000
[r2-acl-basic- 2000]rule deny source 192.168.1.2 0.0.0.0
在匹配地址时,需要使用通配符;
ACL的通配符与OSPF的反掩码匹配规则相同;唯一的区别在于通配符可以0,1穿插
[r2-acl- basic- 2000]rule permit source 192.168.2.0 0.0.0.255
[r2-acl-basic- 2000]rule permit source any 允许所有
默认以5为步调自动添加序列号;便于插入和删除
[r2-acl-basic- 2000]rule 7 deny source 192.168.2.1 0
[r2- acl-basic- 2000]undo rule 7
[r2]acl name classroom-A 2001 在创建 ACL时,可以通过命名来标记策略应用的位置
切记:在路由一个接口的一个方向上只用调用一张ACL列表;
ACL编写完成后,必须在相应的位置调用时,方可生效;及时已经调用,若同时删除了ACL;那么调用无效;
[r2- GigabitEthernet0/0/O]traffic-filter ?
inbound Apply ACL to the inbound direction of the interface 入方向
outbound Apply ACL to the outbound direction of the interface 出方向
[r2- GigabitEthernet0/0/O]traffic-filter outbound acl 2000
扩展ACL配置:
关注源/目标IP地址,目标端口号或协议号;
由于扩展ACL对流量进行精确的匹配,故可避免误删,因此调用时尽量靠近源
1,仅关注源、目标ip地址;
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
源ip地址 目标ip地址
[r1-GigabitEthernet0/0/0]traffic- filter inbound acl 3000 接口调用
2,在关注源、目标ip地址的同时,再关注目标端口号
[r1-acl- adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23
拒绝源ip地址192.168.1.10 对目标ip地址192.168.1.1的目标端口为23的TCP通讯行为- -telnet 被拒绝
扩展:Telnet远程登录 基于TCP的23端口工作
条件:1,登录与被登陆设备间必须可达 2,被登陆设备,开启telnet设定;
[r1]aaa 进入AAA服务
[r1- aaa]local-user zhanghao privilege level 15 password cipher 123456
[r1-aaa]local-user zhanghao service-type telnet
创建账号zhanghao,密码123456,该账号只能用于远程登录
[r1]user-interface vty 0-4
[r1-ui-vty0-4]authentication-mode aaa