ACL:访问控制列表
作用:
- 在流量转发的接口限制流量的进或出
- 为其他策略定义感兴趣流量;
当数据包流量经过路由器接口进或出时,ACL可以匹配流量产生动作 --- 允许 拒绝
匹配规则:自上而下逐一匹配,上条匹配按上条执行,不再查看下一条;
cisco系在表格末尾隐含拒绝所有(没有的话直接拒绝); 华为系在表格末尾隐含允许所有(没有的话还是可以通过);
分类:标准 扩展
标准 --- 仅关注数据包中的源ip地址
扩展 --- 关注数据包中的源、目标ip地址 还可以关注目标端口号或协议
配置命令(路由器要用3260或2240):
【1】标准ACL --- 由于标准ACL仅关注数据包中源ip地址,故调用时,应该尽量的靠近目标,以免误删流量
编号2000-2999均为标准列表 一台设备上可以创建多张表格,但一个接口的一个方向上只能调用一张表格
[R2]acl 2000(2000-2999给标准acl用,3000-3999给扩展acl用,4000-4999给交换机用)
[R2-acl-basic-2000]rule deny(拒绝) source 192.168.1.1 0.0.0.0
[R2-acl-basic-2000]rule permit(允许) source 192.168.2.0 0.0.0.255(跟反掩码不同的地方是零和一可以穿插,表示的范围更精确,而反掩码只能前面连续0后面连续1)
[R2-acl-basic-2000]rule deny source any
在编辑ACL规则时,需要清楚定义动作--允许或拒绝使用通配符精确设计范围
默认以5为步调,自动添加序号,便于插入和删除
[R2-acl-basic-2000]rule 7 permit source 192.168.1.2 0.0.0.0
[R2-acl-basic-2000]undo rule 10
规则编写完成后,必须在接口调用后方可生效;
[R2]interface g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter ? 调用时一定注意方向
inbound Apply ACL to the inbound direction of the interface
outbound Apply ACL to the outbound direction of the interface
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001
【2】扩展ACL --- 由于扩展ACL精确匹配流量源、目地址,故调用时尽量靠近源头,避免资源浪费;
- 关注数据包中的源、目标ip地址;
[R1]acl 3000
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
源ip地址 目标地址
源、目ip地址均使用使用通配符标定范围,或any代表所有;切记表格调用到接口方可生效;
- 关注数据包中的源、目标ip地址,以及目标端口号;
[r1]acl 3000
[r1-acl-adv-3000]rule deny tcp source 192.168.1.2 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
以上规则拒绝了192.168.1.2 对192.168.2.2 的tcp下目标端口23访问-- 拒绝telnet
[r1-acl-adv-3001]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.2.2 0.0.0.0
拒绝192.168.1.2 对192.168.2.2的ICMP访问--拒绝ping
[R2-GigabitEthernet0/0/1]traffic-filter inbound acl 3000(添加acl不能忘)
Telnet 远程登录 基于TCP的23号端口进行访问; 要求登录与被登录设备可达,其次被登录设备开启了远程登录的服务
在被登录设备上预设登录的账号及密码
[R1]aaa
[R1-aaa]local-user panxi privilege level 15 password cipher 123456
[R1-aaa]local-user panxi service-type telnet
[R1]user-interface vty(远程登录接口) 0 4 (0-4接口) 虚拟登录接口调用
[R1-ui-vty0-4]authentication-mode aaa
<R2>telnet 192.168.1.1(后面输入账号秘密即可远程登陆,只能在第一级模式)
完成以下实验巩固以下
要求:1.2不能ping通3.0网段而1.3可以
AR5:
<Huawei>sys
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[Huawei-GigabitEthernet0/0/1]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 192.168.3.0 24 192.168.2.2
AR6:
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.2.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.3.1 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]ip route-static 192.168.1.0 24 192.168.2.1
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
[Huawei-acl-basic-2000]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
要求:1.2能ping通3.2但是不能ping通3.3
AR5:
<Huawei>sys
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[Huawei-GigabitEthernet0/0/1]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 192.168.3.0 24 192.168.2.2
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0
[Huawei-acl-adv-3000]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
AR6:
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.2.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.3.1 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]ip route-static 192.168.1.0 24 192.168.2.1
要求:pc可以telnetR2,但不能ping通R2:
PC端配置:
<Huawei>sys
[Huawei]sysname r1
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip address 192.168.1.2 24
[r1-GigabitEthernet0/0/0]q
[r1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
R1上配置:
<Huawei>sys
[Huawei]sysname r1
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[r1]acl 3000
[r1-acl-adv-3000]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.2
.2 0.0.0.0
[r1-acl-adv-3000]int g0/0/0
[r1-GigabitEthernet0/0/0]undo traffic-filter inbound
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
R2上配置:
<Huawei>sys
[Huawei]sysname r2
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip address 192.168.2.2 24
[r2-GigabitEthernet0/0/0]q
[r2]ip route-static 192.168.1.0 24 192.168.2.1
[r2]aaa
[r2-aaa]local-user zxd privilege level 15 password cipher zxd666
[r2-aaa]local-user zxd service-type telnet
[r2-aaa]q
[r2]user-interface vty 0 4
[r2-ui-vty0-4]authentication-mode aaa
实验结果:
要求:pc可以pingR2,但不能telnetR2(与以上实验有改变的就只有R1,所以只展示R1代码):
<Huawei>sys
[Huawei]sysname r1
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[r1]acl 3000
[r1-acl-adv-3000]rule deny tcp source 192.168.1.2 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
[r1-acl-adv-3000]int g0/0/0
[r1-GigabitEthernet0/0/0]undo traffic-filter inbound
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000