ACL --- 访问控制列表
1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作。(pemit 允许,deny 拒绝)
2. 抓取感兴趣流:ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。而其他服务对匹配到流量执行相应的动作。
ACL的匹配规则:自上而下,逐一匹配。匹配上就按照对应的动作来执行,而不向下匹配。
思科体系的设备,ACL列表末尾隐含了一条拒绝所有的规则;
华为体系的设备,对ACL列表中匹配不到的流量不做任何处理。
3. ACL的分类:
① 基本ACL:仅关注数据包中的源IP
② 高级ACL:关注数据包中源IP以及目标IP,及协议类型和目标端口号。
③ 二层ACL;④ 用户自定义ACL;
4. ACL的配置:
需求一:PC1可以访问3.0网段,PC2不行
基本ACL的位置原则:由于基本ACL仅关注数据包中的源IP地址,故调用时应尽量靠近目标,避免对其他地址访问造成误伤。
1. 创建ACL列表
[r1]acl ?
INTEGER<2000-2999> Basic access-list(add to current using rules) ---- 基本ACL
INTEGER<3000-3999> Advanced access-list(add to current using rules) ---- 高级ACL
INTEGER<4000-4999> Specify a L2 acl group ---- 二层ACL
ipv6 ACL IPv6
name Specify a named ACL
number Specify a numbered ACL[r1]acl 2000
[r1-acl-basic-2000]
2. 在ACL列表中添加规则
[r1-acl-basic-2000]rule deny source 20.1.1.254 0.0.0.0 --- 通配符:0对应位不可变,1对应位可变,通配符和反掩码的区别是0和1可以穿插使用,例如:0.255.0.0。
[r1-acl-basic-2000]rule permit source any --- 允许所有
ACL的规则序号默认以5为步调自动添加 --- 方便添加和删除规则
[r1-acl-basic-2000]rule 6 deny source 10.1.1.254 0.0.0.0 --- 添加规则
[r1-acl-basic-2000]undo rule 6 --- 删除规则
3. 在接口上调用ACL列表
[r2-GigabitEthernet0/0/0]traffic-filter outbound 2000
切记:在一个接口的一个方向只能调用一张ACL列表
需求二:要求PC1可以ping通PC3,但是不能ping通PC4
高级ACL的位置原则:由于高级ACL对流量进行精确的匹配,可以避免误伤。在调用时,应尽量靠近源,节省链路资源
1. 通过重命名的方法创建ACL列表
[r1]acl name xuqiu2 3000
[r1-acl-adv-xuqiu2]
2. 添加规则
[r1-acl-adv-xuqiu2]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0
华为默认是对ACL列表中匹配不到的流量不做任何处理。所以可以不写允许所有。
3. 通过重命名的方式调用ACL列表
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiu2
需求三:要求PC1可以ping通R2,但不能telnet R2
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
参数:eq---等于;gt---大于;lt---小于;range----范围
[r1-GigabitEthernet0/0/0]undo traffic-filter inbound --- 删除ACL列表