ACL配置

ACL：访问控制列表

1. 在路由器流量进或出接口上，匹配流量产生动作-- 允许?拒绝?（访问限制）
2. 定义感兴趣流量--- 匹配流量后，将流量提交给其他的协议进行策略

匹配规则：

至上而下逐一匹配，上条匹配按上条执行，不再查看下条；

在思科系设备中，表格末尾含义一条拒绝所有的规则；

在华为系设备中，表格末尾含义一条允许所有的规则；

分类：

1. 标准ACL --- 仅关注数据包中的源ip地址；
2. 扩展ACL --- ?关注数据包中的源、目标ip地址，同时可以再关注协议号或目标端口号

配置命令：

【1】标准ACL --- 由于其仅关注数据包中源ip地址，因此到调用时应该尽量的靠近目标，避免误删除流量；

[r2]acl 2000??创建ACL列表2000 ??2000-2999为标准ACL，一个编号为一张大表 ??

[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

[r2-acl-basic-2000]rule ?permit source ?192.168.3.0 0.0.0.255

[r2-acl-basic-2000]rule ?deny source ?any

在编辑具体时，使用通配符进行匹配；通配符和OSPF的反掩码匹配规则一致，但区别在于通配符支持0和1混编

[r2]display ?acl 2000

编写时，协议自动以5为步调添加序列号，便于删除和插入；

[r2-acl-basic-2000]rule 7 permit source 192.168.2.0 0.0.0.255 ?使用序列号插入

[r2-acl-basic-2000]undo rule 7 ???删除

只有到ACL被调用后，方可工作，在路由器的流量进或出接口调用；一个接口的一个方向上只能调用一张表

[r2]interface g0/0/1

[r2-GigabitEthernet0/0/1]traffic-filter ??调用时，一定注意方向

??inbound ??Apply ACL to the inbound direction of the interface

??outbound ?Apply ACL to the outbound direction of the interface

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

【2】扩展ACL -- 由于扩展acl精确匹配目标和源，故调用时尽量靠近源

1、仅针对源、目标ip地址

[r1]acl 3000??编号3000-3999为扩展列表

[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

[r1-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[r1-acl-adv-3000]rule deny ip source ?192.168.1.3 0.0.0.0 destination ?any

????????????????????协议??????源ip地址?????????????目标ip地址

无论源还是目标ip地址的部分，均可使用通配符匹配一个ip或一个范围或any；?????????????????

[r1]interface g0/0/0

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

2、针对源、目标ip地址，加目标端口号

目标端口号用于对应具体的服务协议，比如我访问http服务器时，目标ip地址为该服务器ip，传输基于TCP，目标端口为80号；在访问该服务器时，若目标端口修改为21，那么实际该访问该服务器FTP服务；---访问相同目标ip地址，但不同的目标端口，实际在访问不同的服务了

[r1-acl-adv-3002]rule ?deny ?tcp source 192.168.1.4 0 destination 192.168.1.1 0 destination-port eq 23

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?协议????源ip???????目标ip???????????目标端口号

限制源ip地址192.168.1.4对目标ip地址192.168.1.1，同时传输层协议为tcp，且目标端口号为23的流量；

[r1-acl-adv-3003]rule deny icmp source ?192.168.1.4 0 destination 192.168.1.1 0

限制源ip地址192.168.1.4，对目标ip地址192.168.1.1的icmp访问--限制ping

Telnet?远程登录：用于终端设备远程登录网络设备，在线进行配置和管理；

Telnet 服务基于TCP23号端口工作；也就是说在访问目标ip地址时，若传输层使用tcp，且目标端口号23，那么便是在进行telnet登录

开启网络设备的远程登录：

1. 登录与被登录设备ip可达
2. 被登录设备设置了登录的账号秘钥

[r1]aaa ???进入aaa服务，该服务用于管理账号信息??

[r1-aaa]local-user panxi privilege level 15 password cipher 123456

????????????????账号????????????权限?????????????????秘钥

[r1-aaa]local-user panxi service-type telnet ??定义账号功能

[r1-aaa]q

[r1]user-interface vty 0 4??再在VTY（远程登录虚拟接口）上调用aaa服务

[r1-ui-vty0-4]authentication-mode aaa

<r2>telnet 192.168.1.1