ACL访问控制列表
一、作用
- 访问控制 --- 在路由器流量进或出的接口上,匹配流量产生动作---允许、拒绝
- 定义感兴趣流量 --- 抓取流量,之后给到其他的策略,让其他策略进行工作;
二、匹配规则
至上而下逐一匹配,上条匹配按上条执行,不再查看下条;cisco系默认末尾隐含拒绝所有;华为系末尾隐含允许所有;
三、分类
- 标准 --- 仅关注数据包中的源ip地址
- 扩展 --- 关注数据包中的源、目标ip地址,目标端口号或协议号
四、配置命令
1、标准列表配置
由于标准ACL仅关注数据包中的源ip地址;故调用时必须尽量的靠近目标;
避免对其他流量访问的误删;
编号2000-2999 为标准列表编号,一个编号为一张表;
[r2]acl 2000
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0
[r2-acl-basic-2000]rule deny source 192.168.0.0 0.0.255.255
[r2-acl-basic-2000]rule deny source any
动作 源ip地址
源ip地址需要使用通配符来匹配范围;通配符和反掩码的区别,在于通配符可以0与1穿插书写;
ACL定义完成后,必须在接口上调用方可执行;调用时一定注意方向;一个接口的一个方向上只能调用一张表;
[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter ?
inbound Apply ACL to the inbound direction of the interface
outbound Apply ACL to the outbound direction of the interface
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001
2、扩展列表配置
由于扩展ACL 源、目ip地址均关注,故调用时尽量靠近源;尽早处理流量;
[r1]acl 3000 扩展列表编号 3000-3999
[r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.3.2 0.0.0.0
源ip地址 目标ip地址
源、目ip地址位置,使用通配符0标记一个主机,或使用反1标记段,或使用any均可
3、使用扩展列表,同时关注目标端口号
目标端口号:服务端使用注明端口来确定具体的服务;
ICMPV4 -- internet控制管理协议 -- ping
Telnet -- 远程登录 明文(不加密) 基于tcp,目标端口23;
条件:
1、被登录设备与登录设备网络可达
2、被登录设备进行了telnet服务配置
[r1]aaa
[r1-aaa]local-user panxi privilege level 15 password cipher 123456
[r1-aaa]local-user panxi service-type telnet
创建名为panxi的账号,权限最大,密码123456;该账号仅用于telnet 远程登录
[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa 在vty线上开启认证
[r1]acl 3001
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23
拒绝192.168.1.10 对192.168.1.1 访问时,传输层协议为tcp,且目标端口号为23;
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0
仅拒绝192.168.1.10 对192.168.1.1的ICMP访问