目录
ACL访问控制列表的匹配原则——自上而下,逐一匹配,一旦匹配上则不再向下匹配
ACL——访问控制列表
配置了ACL的网络设备根据事先制定好的规则,然后对经过该设备的流量按照对应的规则进行匹配,对匹配上的流量执行相应的动作
ACL的功能:
1.访问控制:允许(Permit),拒绝(deny)
2.抓取流量:ACL只匹配流量,至于具体的动作将和其他协议或者一些服务联合起来使用
ACL访问控制列表的匹配原则——自上而下,逐一匹配,一旦匹配上则不再向下匹配
华为默认ACL列表末尾隐含一条允许所有的指令(不做处理)
思科默认ALC列表末尾隐含拒绝所有的指令
ACL的分类
基础的ACL:仅关注数据包中的源IP地址
编号范围:2000-2999
高级ACL:除了关注数据包中的源IP地址之外,还会关注数据包中的目标IP,端口号等等。
编号范围:3000-3999
用户自定义的ACL
ACL的调用
ACL的调用:在路由器的接口,并且ACL的配置需要区分流量的流向(流入或者流出)
[R1]acl 2000——创建一个ACL列表
[R1-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0——给ACL列表写规则,相当于拒绝192.168.1.3这个IP
0.0.0.0——通配符(32位二进制构成)——0代表不可变,1代表可变
192.168.1.3 0.255.0.255 ——192.X.0.X
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000——接口调用ACL列表,需要注意流量的流向,in流入,out流出
inbound——流入
outbound——流出
[R1]display acl 2000——查看acl列表的规则
注意:基础ACL的配置尽量靠近目标,尽量避免误伤
(1)创建acl2000
[R2]acl 2000
(2)给acl写规则
[R2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0
(3)接口调用——注意调用位置
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
一步长值(ACL列表默认步长为5)
另一方面,为了方便acl之间插入一些规则
[r2-acl-basic-2000]undo rule 10 -----删除规则
[r2-GigabitEthernet0/0/1]undo traffic-filter outbound ---删除接口的调用
[R2-acl-basic-2000]rule 7 permit source 192.168.1.3 0.0.0.0——设定步长
高级ACL配置:
高级acl的调用位置尽量靠近源,避免资源的浪费(同时因为高级ACL,即关注源也关注目标所以不会误伤)
[R1]acl 3000——创建一个ACL列表
[R1-acl-adv-3000]rule deny icmp source 192.168.1.3 0.0.0.0 destination 192.168.3
.2 0.0.0.0——创建规则,拒绝源192.168.1.3ping目标192.168.3.2的流量
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000——接口调用
注意:一个接口的一个方向只能调用一张列表
[R1-acl-adv-3000]rule deny tcp source 192.168.1.3 0.0.0.0 destination 192.168.3
.2 0.0.0.0——拒绝192.168.1.3访问3.2所有的TCP相关服务
[R2-acl-adv-3001]rule deny tcp source 192.168.2.1 0.0.0.0 destination 192.168.2.
2 0.0.0.0 destination-port eq 23 ——拒绝源为192.168.2.1目标为192.168.2.2并且访问服务为Telent服务的流量
destination-port eq 23 ——拒绝端口号为27的流量(代表的服务是Telent)
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001——接口调用
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
