ACL
三、实验一相关知识点
ACL 访问控制列表
包含多条规则的过滤列表,这张表用来匹配、抓取感兴趣的数据流。
基本ACL 2000-2999 :检查数据包的源IP地址,不检查其他,比较粗略。
高级ACL 3000-3999 : 检查源IP地址、目的IP地址 、协议号 、源端口、目标端口 等
用ACL 进行过滤 常见方法:
确定数据包的转发路径 —重要
控制路由条目 —破坏路 —策略
过滤数据包 — 控制流量工具—ACL
基本ACL —-格式
高级ACL —格式
案例 1:基本ACL
确定:市场部访问资源服务器的数据转发路径
经过了 一个路由器 R1 ,要么在进接口G0//0 ,要么在出接口G0/0/2 做过滤
总结: 基本ACL 一般应用在 距离目标近的设备
<Huawei>UN T M
<Huawei>SY
[Huawei]SY R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]q
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.3.254 24
[R1-GigabitEthernet0/0/1]q
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/2]q
[R1]acl number 2000 //创建ACL2000
[R1-acl-basic-2000]rule deny source 192.168.1.1 0 //拒绝来自192.168.1.1 主机 的数据
[R1-acl-basic-2000]q
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000 //在接口的出方向调用ACL2000
[R1-GigabitEthernet0/0/2]
2000 代表的是表的名字
rule 代表的是规则
deny 代表的是每条规则里的动作
source 数据的源地址
0 通配符 , 用0来匹配,1不匹配 ,这里匹配可以理解为检查 ,只要是0对应的位置就进行检查,1对应的位置就忽略不检查
例子:0对应的位置严格检查, 1对应位置不检查
1.0.1.0 0.255.0.255
请选择正确的匹配内容
1.3.1.9 —OK
1.0.0.1
1.0.1.1 -OK
1.1.0.0
1.0.0.0
子网掩码: 1表示网络部分 、0 表示的主机部分 , 1要求连续
在接口调用ACL ,是有方向的 , 并且 当ACL 和接口的 traffic-filter 一起调用的时候,默认规则是允许
当ACL 与telnet 一起应用的时候,默认规则是拒绝的
案例 2 ,基本ACL
案例3: 基本ACL-telnet
[R4]ip route-static 0.0.0.0 0 192.168.20.2
[R5]ip route-static 192.168.10.0 24 192.168.20.1
[R6]ip route-static 0.0.0.0 0 192.168.30.2
[R5]telnet server enable
[R5]user-interface vty 0 4
[R5-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):HCIE
[R5-ui-vty0-4]protocol inbound all
[R5-ui-vty0-4]user privilege level 15
[R6]telnet server enable
[R6]user-interface vty 0 4
[R6-ui-vty0-4]authentication-mode aaa
[R6-ui-vty0-4]protocol inbound all
[R6-ui-vty0-4]q
[R6]aaa
[R6-aaa]local-user HCIP password cipher HCIE
[R6-aaa]local-user HCIP service-type telnet
[R6-aaa]local-user HCIP privilege level 15
<R4>telnet 192.168.30.1
Press CTRL_] to quit telnet mode
Trying 192.168.30.1 ...
Connected to 192.168.30.1 ...
Login authentication
Username:HCIP //输入用户名
Password: //输入密码 ,密码不显示
===========================
在R5上配置ACL
[R5]acl 2000
[R5-acl-basic-2000]rule permit source 192.168.10.254 0.0.0.0
[R5-acl-basic-2000]q
[R5]user-interface vty 0 4 //在VTY 选择验证方式的接口入方向调用ACL
[R5-ui-vty0-4]acl 2000 inbound
在R4上验证:
<R4>telnet 192.168.20.2
Press CTRL_] to quit telnet mode
Trying 192.168.20.2 ...
Error: Can't connect to the remote host
<R4>telnet -a 192.168.10.254 192.168.20.2
Press CTRL_] to quit telnet mode
Trying 192.168.20.2 ...
Connected to 192.168.20.2 ...
Login authentication
Password:
=======================================
需求2:
[R6]acl 2000
[R6-acl-basic-2000]rule deny source 192.168.10.254 0.0.0.0
[R6-acl-basic-2000]rule deny source 192.168.20.1 0.0.0.0
[R6-acl-basic-2000]rule permit source any
[R6-acl-basic-2000]q
[R6]user-interface vty 0 4
[R6-ui-vty0-4]acl 2000 inbound
验证:
<R4>telnet 192.168.30.1
Press CTRL_] to quit telnet mode
Trying 192.168.30.1 ...
<R4>telnet -a 192.168.10.254 192.168.30.1
Press CTRL_] to quit telnet mode
Trying 192.168.30.1 ...
<R5>telnet 192.168.30.1
Username:HCIP
Password:
实验1:高级ACL
需求:
1,PC1可以访问服务器的WEB 服务,但是不能访问其他的服务
2,PC1 可以访问PC3的任何服务
配置思路:
1,配置基本IP地址信息
2,配置静态路由
3,配置ACL ,实现需求
4,验证
[R1]acl 3000
[R1-acl-adv-3000]rule permit tcp source 192.168.1.1 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port eq 80
[R1-acl-adv-3000]rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.3.1 0.0.0.0
[R1-acl-adv-3000]rule permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.1 0.0.0.0
[R1-acl-adv-3000]q
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
[R1dis acl all
更多资源------>https://gitee.com/zhangwujistudy