ACL基本概述与配置

最新推荐文章于 2024-07-26 14:22:46 发布

共黄昏

最新推荐文章于 2024-07-26 14:22:46 发布

阅读量3.3k

点赞数 6

分类专栏：网络文章标签：网络

本文链接：https://blog.csdn.net/weixin_49472648/article/details/120349610

版权

网络专栏收录该内容

17 篇文章 9 订阅

订阅专栏

参考文章：

(21条消息) 华为 ACL访问控制列表（高级ACL为例）_艺博东的博客-CSDN博客_华为acl访问控制列表

(21条消息) 华为-ACL-访问控制列表（基础理论与配置实验详解）_BIGmustang的博客-CSDN博客_华为acl配置命令详解

ACL基本概述：

ACL：访问控制列表

功能：通过过滤报文达到流量控制、攻击防范以及用户接入控制等

ACL限制手段：

deny	拒绝
permit	允许

匹配规则：
1、自上而下匹配到则停止
2、cisco默认最后隐含拒绝所有
3、华为默认最后允许所有

ACL分类：
1、标准ACL 仅匹配流量中的源IP地址
2、扩展ACL 匹配流量中的源目ip地址，目标端口号或协议号

ACL写法：
1、编号标准2000-2999，扩展3000-3999
2、命名类似描述

ACL的配置步骤：

（一）根据需求编写ACL；

（二）将ACL应用到路由器接口的某个方向

命令配置案例

编号写法：

[r2]acl 2000
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
[r2-acl-basic-2000]rule deny source 192.168.2.1 0
[r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255
[r2-acl-basic-2000]rule deny source 192.168.1.0 0.255.0.255

注意：ACL使用的是通配符，OSPF使用的是反掩码，区别是通配符可以01交替

acl编号默认步长为5，方便插入规则

[r2-acl-basic-2000]dis this
[V200R003C00]
#
acl number 2000  
 rule 5 deny source 192.168.1.2 0 
 rule 10 deny source 192.168.2.1 0 
 rule 15 deny source 192.168.2.0 0.0.0.255 
 rule 20 deny source 192.0.1.0 0.255.0.255 
#

插入规则9

[r2-acl-basic-2000]rule 9 deny source 192.168.1.1 0.0.0.0
[r2-acl-basic-2000]dis this
[V200R003C00]
#
acl number 2000  
 rule 5 deny source 192.168.1.2 0 
 rule 9 deny source 192.168.1.1 0 
 rule 10 deny source 192.168.2.1 0 
 rule 15 deny source 192.168.2.0 0.0.0.255 
 rule 20 deny source 192.0.1.0 0.255.0.255 
#

命名写法：

[r2]acl name yunjisuan basic match-order auto 
[r2-acl-basic-yunjisuan]rule deny source 192.168.3.0 0.0.0.255
[r2-acl-basic-yunjisuan]dis this
[V200R003C00]
#
acl name yunjisuan 2999  match-order auto
 rule 5 deny source 192.168.3.0 0.0.0.255 
#

命令：
1、标准ACL 因为只能匹配流量中的源IP地址，避免扩大范围，所以在靠近目标位置进行配置
2、扩展ACL 因为可以匹配更多特征，所以在靠近流量源头进行配置

1、拒绝192.168.1.1访问192.168.2.1和192.168.2.2主机

#定义acl2001
[r2]acl 2001
[r2-acl-basic-2001]rule deny source 192.168.1.1 0

#在接口上应用ACL规则
[r2]int g0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

#如果是cisco设备，需要在ACL上做如下配置
[r2-acl-basic-2001]rule permit source any

2、拒绝192.168.1.1访问192.168.2.1

#删除之前的规则
[r2-GigabitEthernet0/0/1]undo traffic-filter outbound

#创建新的ACL
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.1 0 destination 192.168.2.1 0

#接口上应用ACL
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

3、允许192.168.0.1telnet连接到192.168.0.2，但禁止ping

#配置路由器添加账号，允许telnet登陆，授予权限
[r2]aaa
[r2-aaa]local-user haha password cipher huawei
Info: Add a new user.	
[r2-aaa]local-user haha service-type telnet 
[r2-aaa]local-user haha privilege level 15    #1-15  15权限最大

#或许会有telnet server enable

#应用aaa认证
[r2]user-interface vty 0 4
[r2-ui-vty0-4]authentication-mode aaa

#编写acl
[r2]acl 3000
[r2-acl-adv-3000]rule deny icmp source 192.168.0.1 0 destination 192.168.0.2 0
[r2-acl-adv-3000]q

#应用该ACL
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

4、拒绝192.168.0.1登陆192.168.0.2的telnet服务

[r2]acl 3001
[r2-acl-adv-3001]rule deny tcp source 192.168.0.1 0 destination 192.168.0.2 0 destination-port eq 23
[r2-acl-adv-3001]q
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001

5、允许访问所有目标为443的端口

acl 3000
rule 5 permit ip source 192.168.101.25 0 destination 192.168.5.251 0  #允许访问单个ip，acl中子网掩码需 要写反掩码
rule 10 permit tcp source 192.168.101.25 0 destination-port eq 443       #允许访问所有目标为443的端口
interface GigabitEthernet 0/0/10  #进入10号口
traffic-filter inbound acl 3000  #入口方向应用acl 3000策略，出方向使用outbound

共黄昏

关注

6
点赞
踩
33

收藏

觉得还不错? 一键收藏
0
评论
ACL基本概述与配置

参考文章：(21条消息) 华为 ACL访问控制列表（高级ACL为例）_艺博东的博客-CSDN博客_华为acl访问控制列表(21条消息) 华为-ACL-访问控制列表（基础理论与配置实验详解）_BIGmustang的博客-CSDN博客_华为acl配置命令详解ACL基本概述：ACL：访问控制列表功能：通过过滤报文达到流量控制、攻击防范以及用户接入控制等ACL限制手段：deny拒绝permit允许匹配规则： 1、自上而下匹配到则停止 2、cisco默认最后
复制链接

扫一扫

专栏目录