Day18ACL

ACL：
1.Access Control List
2.ACL是一种包过滤技术
3.ACL基于IP包头的IP地址，四层tcp/udp头部的端口号【5层数据】基于三层和四层过滤
4.ACL在路由器上配置，也可以在防火墙上配置（一般称为策略），一般情况下防火墙放在公司最外侧控制流量的
5.ACL主要分为两大类：
1）标准ACL
2）拓展ACL
6.标准ACL：
表号范围：1-99
功能/特点：只能基于源IP对包进行过滤
命令：
conf t
access-list 表号 permit/deny 源IP/源网段 反子网掩码
注释：反子网掩码：将正子网掩码0和1倒置
255.0.0.0-----0.255.255.255
255.255.0.0------0.0.255.255
255.255.255.0----0.0.0.255
反子网掩码作用：用来匹配与0对应的需要严格匹配，与1对应的忽略！
eg：access-list 1 deny 10.1.1.1 0.0.255.255
拒绝10.1.0.0
access-list 1 deny 10.0.0.0 0.255.255.255
拒绝以10开头的网段
access-list 1 deny 10.1.1.1 0.0.0.0
拒绝IP为10.1.1.1的主机
access-list 1 deny 0.0.0.0 255.255.255.0

7.拓展ACL
表号：100-199
特点：可以基于源IP、目标IP、端口号、协议等对包过滤
8.ACL原理：
1）ACL表必须应用到接口的进/出方向才生效
2）一个接口的一个方向只能应用到一张表
3）进还是出方向应用？取决于流量控制总方向
4）ACL表是严格自上而下检查每一条，所以要注意书写顺序
5）每一条是由条件和动作组成，当流量满足条件时查看下一条，当某流量没有满足某条件，则继续检查下一条
acl表中在最后隐藏一条any ×
当表里没有你的信息时会被干掉
6）标准acl尽量写在靠近目标方向的地方
7）wencoll小原理：
1.做流量控制，首先要判断acl写的位置，方向与控制方向一致标准acl/控制acl
（哪个路由器？哪个接口的哪个方向）
2.再考虑怎么写acl
3.如何写？
首先要判断最终要允许所有还是拒绝所有？
然后写的时候要注意将严格的控制写在前面
8）一般情况下，标准。拓展acl一旦编写好，无法修改某一条，也无法删除某一条，也无法修改顺序，也无法往中间位置插入新的条目，只能一直在最后添加新条目。
如想要修改/插入/删除，只能删除整张表
重新写
conf t
no access-list 表号 //删除整张表
查看acl表
show ip access-list [表号id]
将acl应用到接口
int f0/x
ip access-group 表号 in/out
exit
sh run

1.acc 2 deny 10.1.1.0 0.0.0.255
acc 2 deny 40.1.1.1 0.0.0.0
acc 2 deny host 40.1.1.1
int f0/1
ip access-group 2 out
do sh ip acce
ping 50.1.1.1 //20.1.1.2应答无响应？why？路由器给接口回包，从哪个接口出就从哪个接口回包
ACL表把数据包干掉了，导致目标主机不可达
ping 50.1.1.2
10.1.1.2 ：ping 50.1.1.——不可访问
R3：f0/1：不同路由器上表号相同也不是同一张表，不可用
acc 2 deny host 10.1.1.1
acc 2 permit any
int f0/1
ip access-group 2 out
10.1.1.1 ping 40.1.1.1
exit
do sh ip acce
10
20
30
40
代表这一条的名字是什么，不是代表第几条
(8 match(es))条目已成功丢了14个帧
扩展ACL命令：
acc 100 permit/deny 协议 源IP或网段 反子网掩码 目标IP或网段 反子网掩码 [eq 端口号]
[]中的可写可不写
eq equal =
gt >
ge <
lt >=
le <=
案例：
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 permit ip any any
注释：协议：tcp/udp/icmp/ip
80TCP写80时必须写端口所依赖的协议tcp
acc 100 deny udp host 10.1.1.1 any eq 53
53:DNS的服务
pc请求哪一台DNS服务器都不让你过，无端口号时，4个协议都可以写
acc 100 deny tcp host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 permit icmp host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
1)p tcp h 10.1 h 20.1 eq 80
2)d ip h 10.1 h 20.1 eq 80
3)p ip h 10.1 20.1.1.0 0.0.0.255//可不写因为第四步是允许所有人通过
4)permit ip any any
9)命名ACL：
作用：可以对标准/扩展ACL进行自定义命名
好处/优点：自定义命名更容易辨认，便于记忆，可任意修改某一条，或删除某一条，也可以往中间插入一条数据
一个路由器
conf t
do sh ip acce
acc 1 deny host 10.1.1.1
acc 1 deny host 20.1.1.1
acc 1 permit any any
do sh ip acce
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 deny tcp host 30.1.1.1 host 20.1.1.3 eq 23
acc 100 permit ip any any
do sh ip acce

conf t
ip access-list ?//extened/standard
//ip access-list extended kongzhi80
ip access-list extended kz-80-oa
进入Router(config-ext-nacl)配置模式
permit tcp 192.168.0.0 0.0.255.255 host 10.1.1.1 eq 80
permit tcp 172.16.0.0 0.0.255.255 host 10.1.1.1 eq 80
deny ip 192.168.0.0 0.0.255.255 host 10.1.1.0
exit
do sh ip acce
ip access-list extended kz-80-oa进入表
no 20
exit
do sh ip acce
写成10，20，30，40是为了方便我们插入数据
ip access-list extended kz-80-oa
15 permit tcp 172.16.0.0 0.0.255.255 host 10.1.1.1 eq 80
ip access-list extended kz-80-hr
1000 permit ip any any
do sh ip acce
ip access-list extended 100
no 20
exit
命令：删除某一条
conf t
ip access-list standard/extended 自定义表名
开始从deny/permit编写acl条目，no 条目id，no 后面的代码都可以
exit
插入某一条
条目id 动作 条件
exit