目录
一、ACL概述
ACL(访问控制列表)是由一条或多条规则组成的集合。每条规则描述报文匹配条件(报文的源地址、目的地址、端口号等)的判断语句,设备基于这些规则进行报文匹配,可以过滤出特定的报文。
二、ACL作用
1、在流量转发的接口限制流量的进或出
2、为其他策略定义感兴趣流量
当数据包流量经过路由器接口进或出时,ACL可以匹配流量产生动作 ---允许 解决
匹配规则:自上而下逐一匹配,上条匹配按上条执行,不再查看下一条;
Cisco系在表格末尾隐含拒绝所有; 华为系在表格末尾隐含允许所有
三、ACL分类
1、标准 仅关注数据包中源IP地址
2、扩展 关注数据包中的源、目标IP地址 还可以关注目标端口号或协议
四、配置命令
1、标准ACL
由于标准ACL仅关注数据包中源IP地址,故调用时,应该尽量的靠近目标,以免误删流量
编号2000-2999均为标准列表
一台设备上可以创建多张表格,但一个接口的一个方向上只能调用一张表格
命令:
[R2]acl 2000
[R2-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0
[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[R2-acl-basic-2000]rule deny source any
在编辑ACL规则时,需要清楚定义动作--允许或拒绝使用通配符精确设计范围
默认以5为步调,自动添加序号,便于插入和删除
[R2-acl-basic-2000]rule 7 permit source 192.168.1.2 0.0.0.0
[R2-acl-basic-2000]undo rule 10
规则编写完成后,必须在接口调用后方可生效;
[R2]interface g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter ? 调用时一定注意方向
inbound Apply ACL to the inbound direction of the interface
outbound Apply ACL to the outbound direction of the interface
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001
2、扩展ACL
由于扩展ACL精确匹配流量源、目地址,故调用时尽量靠近源头,避免资源浪费;
1)关注数据包中的源、目标ip地址;
[R1]acl 3000
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
源ip地址 目标地址
源、目ip地址均使用使用通配符标定范围,或any代表所有;切记表格调用到接口方可生效;
2)关注数据包中的源、目标ip地址,以及目标端口号;
[r1]acl 3000
[r1-acl-adv-3000]rule deny tcp source 192.168.1.2 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
以上规则拒绝了192.168.1.2 对192.168.2.2 的tcp下目标端口23访问-- 拒绝telnet
[r1-acl-adv-3001]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.2.2 0.0.0.0
拒绝192.168.1.2 对192.168.2.2的ICMP访问--拒绝ping
eq 等于 gt大于 lt小于
Telent远程登录
基于TCP的23号端口进行访问; 要求登录与被动设备可达,其次被登录设备开启了远程登录的服务
在被登录设备上预设登录的账号及密码
[R1]aaa
[R1-aaa]local-user panxi privilege level 15 password cipher 123456
[R1-aaa]local-user panxi service-type telnet
[R1]user-interface vty 0 4 虚拟登录接口调用
[R1-ui-vty0-4]authentication-mode aaa
display current-configuration查看所有配置