ACL..

策略
ACL——访问控制列表
配置ACL的网络设备,根据事先制定好的规则,然后对经过该设备的流量按照对于的规则进行匹配,对匹配到的流量执行相应的动作
ACL的功能
访问控制:
允许Permit
拒绝deny

抓取流量:
ACL只匹配流量,至于具体动作将和其他协议或者一些服务联合起来使用
ACL访问控制列表的匹配原则——
自上而下,逐一匹配,一旦匹配上则不再向下匹配
华为默认ACL列表末尾隐含一条允许所有指令(不做处理)
思科默尔ACL列表末尾隐含一条拒绝所有指令

ACL的分类
基础acl:仅关注数据包中的源IP地址
2000—2999
高级acl:除了关注数据包中的源IP地址外,还会关注数据包中的目标IP,端口号等等
3000-3999
用户自定义的ACL:
ACL的调用:路由器的接口,并且ACL的调用需要区分流量的流向(流入或
者流出)

配置:
1.创建ACL
[r1]acl 2000
2.给ACL列表写规则
[r1-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0—相当于拒绝
192.168.1.3这一个IP
0.0.0.0—通配符(32位二进制构成):0代表不可变,1代表可变
192.168.1.3 0.255.0.255
3.接口调用ACL列表
[r1]display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 deny source 192.168.1.3 0 (5 matches)——需要注意流量的流向,IN—
流入 OUT——流出
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000—接口调用ACL列表
[r1]display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 deny source 192.168.1.3 0 (5 matches)—查看ACL列表的规则

注意:基础ACL的配置位置,尽量靠近目标 尽量避免误伤

1.创建ACL [r2]acl 2000

2.给ACL列表写规则 acl number 2000 rule 5 deny source 192.168.1.3 0

3.接口调用—注意调用位置 traffic-filter outbound acl 2000 5—步长值(ACL列表默认步长为5)

另一方面,为了便于规则之间插入一些规则 [r2-acl-basic-2000]undo rule 10 -----删除规则

高级ACL的调用位置尽量靠近源,避免资源的浪费(同时因为高级ACL,即关注源也关注目标,所以 不会造成误伤)

[R1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.3.2 0.0. 0.0 —拒绝源1.3 访问3.2所有的TCP相关的服务

配置:

1.创建 [R1]acl 3000

2.写规则 rule 10 deny icmp source 192.168.1.3 0 destination 192.168.3.2 0 —拒绝源192.168.1.3ping目标 192.168.3.2的流量

3.接口调用规则 interface GigabitEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 traffic-filter inbound acl 3000—注意一个接口的一个方向实际只能调用一张列表

[r2-GigabitEthernet0/0/1]undo traffic-filter outbound ---删除接口的调用

 

 配置

acl number 3001

rule 5 deny tcp source 192.168.2.1 0 destination 192.168.2.2 0 destination-port eq 23 (代表服务为Telent)

—拒绝源为192.168.2.1 目标为192.168.2.2 并且访问服务为Telent服务的流量(访问目标端口 号为23的流量

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值