ACL配置

发布时间:2024年01月18日

ACL:访问控制列表

  1. 在路由器流量进或出接口上,匹配流量产生动作-- 允许?拒绝?(访问限制)
  2. 定义感兴趣流量--- 匹配流量后,将流量提交给其他的协议进行策略

匹配规则:

至上而下逐一匹配,上条匹配按上条执行,不再查看下条;

在思科系设备中,表格末尾含义一条拒绝所有的规则;

在华为系设备中,表格末尾含义一条允许所有的规则;

分类:

  1. 标准ACL --- 仅关注数据包中的源ip地址;
  2. 扩展ACL --- ?关注数据包中的源、目标ip地址,同时可以再关注协议号或目标端口号

配置命令:

【1】标准ACL --- 由于其仅关注数据包中源ip地址,因此到调用时应该尽量的靠近目标,避免误删除流量;

[r2]acl 2000??创建ACL列表2000 ??2000-2999为标准ACL,一个编号为一张大表 ??

[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

[r2-acl-basic-2000]rule ?permit source ?192.168.3.0 0.0.0.255

[r2-acl-basic-2000]rule ?deny source ?any

在编辑具体时,使用通配符进行匹配;通配符和OSPF的反掩码匹配规则一致,但区别在于通配符支持0和1混编

[r2]display ?acl 2000

编写时,协议自动以5为步调添加序列号,便于删除和插入;

[r2-acl-basic-2000]rule 7 permit source 192.168.2.0 0.0.0.255 ?使用序列号插入

[r2-acl-basic-2000]undo rule 7 ???删除

只有到ACL被调用后,方可工作,在路由器的流量进或出接口调用;一个接口的一个方向上只能调用一张表

[r2]interface g0/0/1

[r2-GigabitEthernet0/0/1]traffic-filter ??调用时,一定注意方向

??inbound ??Apply ACL to the inbound direction of the interface

??outbound ?Apply ACL to the outbound direction of the interface

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

【2】扩展ACL -- 由于扩展acl精确匹配目标和源,故调用时尽量靠近源

1、仅针对源、目标ip地址

[r1]acl 3000??编号3000-3999为扩展列表

[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

[r1-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[r1-acl-adv-3000]rule deny ip source ?192.168.1.3 0.0.0.0 destination ?any

????????????????????协议??????源ip地址?????????????目标ip地址

无论源还是目标ip地址的部分,均可使用通配符匹配一个ip或一个范围或any;?????????????????

[r1]interface g0/0/0

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

2、针对源、目标ip地址,加目标端口号

目标端口号用于对应具体的服务协议,比如我访问http服务器时,目标ip地址为该服务器ip,传输基于TCP,目标端口为80号;在访问该服务器时,若目标端口修改为21,那么实际该访问该服务器FTP服务;---访问相同目标ip地址,但不同的目标端口,实际在访问不同的服务了

[r1-acl-adv-3002]rule ?deny ?tcp source 192.168.1.4 0 destination 192.168.1.1 0 destination-port eq 23

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?协议????源ip???????目标ip???????????目标端口号

限制源ip地址192.168.1.4对目标ip地址192.168.1.1,同时传输层协议为tcp,且目标端口号为23的流量;

[r1-acl-adv-3003]rule deny icmp source ?192.168.1.4 0 destination 192.168.1.1 0

限制源ip地址192.168.1.4,对目标ip地址192.168.1.1的icmp访问--限制ping

Telnet?远程登录:用于终端设备远程登录网络设备,在线进行配置和管理;

Telnet 服务基于TCP23号端口工作;也就是说在访问目标ip地址时,若传输层使用tcp,且目标端口号23,那么便是在进行telnet登录

开启网络设备的远程登录:

  1. 登录与被登录设备ip可达
  2. 被登录设备设置了登录的账号秘钥

[r1]aaa ???进入aaa服务,该服务用于管理账号信息??

[r1-aaa]local-user panxi privilege level 15 password cipher 123456

????????????????账号????????????权限?????????????????秘钥

[r1-aaa]local-user panxi service-type telnet ??定义账号功能

[r1-aaa]q

[r1]user-interface vty 0 4??再在VTY(远程登录虚拟接口)上调用aaa服务

[r1-ui-vty0-4]authentication-mode aaa

<r2>telnet 192.168.1.1

文章来源:https://blog.csdn.net/2302_81167603/article/details/135671408
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。