ACL相关知识

ACL（包过滤防火墙）访问控制列表（一张表）
1.访问控制
在路由器流量进或者出的接口上规则流量
数据包的五元组：源IP 目的IP 源端口 目的端口 协议

ACL分类 ACL编号
基本ACL 2000-2999
使用源地址定义数据流，
高级ACL 3000-3999
使用源地址，目的地址，源端口号，目的端口号，上层协议号等多种元素组合定义数据流

一.配置 IP地址及地址池
R1：[R1-GigabitEthernet0/0/1]ip address 12.1.1.1 24
[R1-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[R1]ip pool xixi
[R1-ip-pool-xixi]network 192.168.1.0 mask 24
[R1-ip-pool-xixi]gateway-list 192.168.1.1
[R1-ip-pool-xixi]dns-list 8.8.8.8
[R1]dhcp enable
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]dhcp select global

R2：[R2-G2igabitEthernet0/0/2]ip address 23.1.1.2 24
[R2-GigabitEthernet0/0/0]ip address 192.168.2.1 24
[R2-GigabitEthernet0/0/1]ip address 12.1.1.2 24
[R2]ip pool haha
[R2-ip-pool-haha]network 192.168.2.0 mask 24
[R2-ip-pool-haha]gateway-list 192.168.2.1
[R2-ip-pool-haha]dns-list 8.8.8.8
[R2]dhcp enable
[R2]interface g0/0/0
[R2-GigabitEthernet0/0/0]dhcp select global

R3：[R3-GigabitEthernet0/0/1]ip address 23.1.1.3 24
[R3-GigabitEthernet0/0/0]ip address 192.168.3.1 24
[R3]ip pool xxx
[R3-ip-pool-xxx]network 192.168.3.0 mask 24
[R3-ip-pool-xxx]gateway-list 192.168.3.1
[R3-ip-pool-xxx]dns-list 8.8.8.8
[R3]dhcp enable
[R3]interface g0/0/0
[R3-GigabitEthernet0/0/0]dhcp select global

二.起个RIP协议，让全网互通
R1：[R1]rip 1
[R1-rip-1]version 2
[R1-rip-1]network 12.0.0.0
[R1-rip-1]network 192.168.1.0
R2：[R2]rip 1
[R2-rip-1]version 2
[R2-rip-1]network 23.0.0.0
[R2-rip-1]network 192.168.2.0
[R2-rip-1]network 12.0.0.0
R3：[R3]rip 1
[R3-rip-1]version 2
[R3-rip-1]network 192.168.3.0
[R3-rip-1]network 23.1.1.0
三.使得PC1 ping不通PC5和PC6（基本ACL）
R3：[R3]acl 2000
[R3-acl-basic-2000]rule 1 deny source 192.168.1.254 0.0.0.0
[R3]interface g0/0/0 （在接口上调用）
[R3-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

四.使得PC1 ping不通 PC6，但可以ping通PC5
[R1]acl 3000
[R1-acl-adv-3000]rule 1 deny ip source 192.168.1.254 0 destination 192.168.3.253 0[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

五.使得R1可以远程登录R3，ping不通R3
在R3上设置远程登录
[R3]user-interface vty 0 4
[R3-ui-vty0-4]authentication-mode aaa
[R3-ui-vty0-4]aaa
[R3-aaa]local-user huawei password cipher huawei
[R3-aaa]local-user huawei privilege level 15
[R3-aaa]local-user huawei service-type telnet
[R2]acl 3000
[R2-acl-adv-3000]rule 1 deny icmp source 12.1.1.1 0 destination 23.1.1.3 0
[R2]interface g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter inbound acl 3000


六.使得R1可以ping通R3，但不能远程登录R3
[R2]undo acl 3000
[R2]acl 3000
[R2-acl-adv-3000]rule 1 deny tcp source 12.1.1.1 0 destination 23.1.1.3 0 destination-port eq 23
此方法使telent不能从 g0/0/1（ 23.1.1.3）端口上登录，但其他端口（G0/0/0）上可以登录

从R1的g0/0/0端口上登录R3
telnet -a 192.168.1.0 23.1.1.3

让R1彻底无法登录R3
[R2-acl-adv-3000]rule 2 deny tcp source 12.1.1.1 0 destination 192.168.3.1 0 destination-port eq 23
[R2-acl-adv-3000]rule 3 deny tcp source 192.168.1.1 0 destination 23.1.1.3 0 destination-port eq 23
[R2-acl-adv-3000]rule 1 deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 23

七.ACL命名写法
acl name xixi basic
acl name xixi advance
调用时相应的也要改变
逐条删除ACL：

删除整张表：