ACL 简介 (三层技术)
ACL :access control list 访问控制列表 用于数据包的
访问控制。
acl 常用两种:
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端
口、目标端口等三层和四层的字段。
ACL 两种作用:
① 用来对数据包做访问控制
② 结合其他协议用来匹配范围
② 基本ACL:basic acl
基础配置:ip地址和静态路由 使全网互通 略
需求:在R2配置基本acl 拒绝PC1 访问172.16.10.0 网络
R2:
acl 2000 创建acl 2000
rule deny source 192.168.10.1 0
int gi 0/0/1 在接口的出方向调用acl
traffic-filter outbound acl 2000
outbound:出方向 从路由器的“肚子”出来 从接口向外
发出 站在路由器的角度考虑
inbound :入方向 和outbound 相反
调试:dis acl 2000
③ 高级ACL
需求:在R2上配置高级acl 拒绝PC1和PC2 ping server,但
是允许其HTTP 访问server
acl number 3000
rule 5 deny icmp source 192.168.10.0 0.0.0.255
destination 172.16.10.2 0
注意:只有报文是① icmp、且② 源地址是192.168.10.x、且③ 目标地址是172.16.10.2 才会被拒绝。需同时满足这三个条件才会被匹配。
interface GigabitEthernet0/0/1
traffic-filter outbound acl 3000
需求:拒绝源地址192.168.10.2 telnet 访问 12.0.0.2
acl 3005
rule deny tcp source 192.168.10.2 0 destination 12.0.0.2 0
destination-port eq 23
需求:允许源地址1.1.1.1访问2.2.2.2.其他剩下的报文全部被拒绝。
acl 3008
rule 5 permit ip source 1.1.1.1 0 destination 2.2.2.2 0
rule 10 deny ip
需求:拒绝任何人上QQ :传输层 UDP 8000
acl 3101
rule deny udp destination-port eq 8000
注意:
① 如果某acl 没有被调用,该acl不起任何作用
② acl 属于三层技术 只能部署在三层设备上面 ,acl合
用于不同网段互访的访问控制
③ 相同vlan 相同网段的pc互访控制(这种情况不适用acl),建议使用端口隔离来实现。
④ ACL用于控制telnet
例如:只允许12.1.1.5 远程telnet R2
R2开启telnet (略)
R2:
acl number 2008
rule 5 permit source 12.1.1.5 0
rule 10 deny
user-interface vty 0 4 到vty 接口调用
acl 2008 inbound
⑤ ACL 用于多层交换机
方式1:acl 写法和路由器保持一致。华为设备需在物理接口下调用acl。
int Gi0/0/2
traffic-filter outbound acl 3006
方式2:全局:
[ ]traffic-filter vlan 10 inbound acl 2000
acl 2000 只对vlan 10 生效,类似将acl 2000 调用到了vlanif 10口。
ACL使用注意事项:
注1:一个接口的同一个方向,只能调用一个acl
注2:一个acl里面可以有多个rule 规则,从上往下依次执行
注3:数据包一旦被某rule匹配,就不再继续向下匹配
注4: 用来做数据包访问控制时,默认隐含放过所有(华为设备)