博客

ACL 访问控制列表

  • Post author:
  • Post category:其他

ACL 访问控制列表

1、访问控制 在路由器流量进出接口上匹配流量 之后对其进行限制
2、定义感兴趣的流量

ACL限制手段
拒绝
允许

匹配规则
自上而下 匹配到则停止
cisco默认最后隐含拒绝所有
华为默认最后允许所有

ACL分类
1、标准ACL 仅匹配流量中的源IP地址
2、扩展ACL 匹配流量中的源目ip地址,目标端口号或协议号

ACL写法:
1、编号 标准2000-2999,扩展3000-3999
2、命名 类似描述

编号写法:

[r2]acl 2000
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
[r2-acl-basic-2000]rule deny source 192.168.2.1 0
[r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255
[r2-acl-basic-2000]rule deny source 192.168.1.0 0.255.0.255
注意:ACL使用的是通配符,OSPF使用的是反掩码,区别是通配符可以01交替

acl编号默认步长为5,方便插入规则

[r2-acl-basic-2000]dis this
[V200R003C00]

acl number 2000
rule 5 deny source 192.168.1.2 0
rule 10 deny source 192.168.2.1 0
rule 15 deny source 192.168.2.0 0.0.0.255
rule 20 deny source 192.0.1.0 0.255.0.255

[r2-acl-basic-2000]rule 9 deny source 192.168.1.1 0.0.0.0
[r2-acl-basic-2000]dis this
[V200R003C00]

acl number 2000
rule 5 deny source 192.168.1.2 0
rule 9 deny source 192.168.1.1 0
rule 10 deny source 192.168.2.1 0
rule 15 deny source 192.168.2.0 0.0.0.255
rule 20 deny source 192.0.1.0 0.255.0.255

命名写法:
[r2]acl name yunjisuan basic match-order auto
[r2-acl-basic-yunjisuan]rule deny source 192.168.3.0 0.0.0.255
[r2-acl-basic-yunjisuan]dis this
[V200R003C00]

acl name yunjisuan 2999 match-order auto
rule 5 deny source 192.168.3.0 0.0.0.255

命令:
1、标准ACL 因为只能匹配流量中的源IP地址,避免扩大范围,所以在靠近目标位置进行配置
2、扩展ACL 因为可以匹配更多特征,所以在靠近流量源头进行配置

1、拒绝192.168.1.1访问192.168.2.1和192.168.2.2主机

#定义acl2001
[r2]acl 2001
[r2-acl-basic-2001]rule deny source 192.168.1.1 0

#在接口上应用ACL规则
[r2]int g0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

#如果是cisco设备,需要在ACL上做如下配置
[r2-acl-basic-2001]rule permit source any

2、 拒绝192.168.1.1访问192.168.2.1

#删除之前的规则
[r2-GigabitEthernet0/0/1]undo traffic-filter outbound

#创建新的ACL
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.1 0 destination 192.168.2.1 0

#接口上应用ACL
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

3、允许192.168.0.1telnet连接到192.168.0.2,但禁止ping

#配置路由器添加账号,允许telnet登陆,授予权限
[r2]aaa
[r2-aaa]local-user haha password cipher huawei
Info: Add a new user.	
[r2-aaa]local-user haha service-type telnet 
[r2-aaa]local-user haha privilege level 15    #1-15  15权限最大

#或许会有telnet server enable

#应用aaa认证
[r2]user-interface vty 0 4
[r2-ui-vty0-4]authentication-mode aaa

#编写acl
[r2]acl 3000
[r2-acl-adv-3000]rule deny icmp source 192.168.0.1 0 destination 192.168.0.2 0
[r2-acl-adv-3000]q

#应用该ACL
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

4、拒绝192.168.0.1登陆192.168.0.2的telnet服务

[r2]acl 3001
[r2-acl-adv-3001]rule deny tcp source 192.168.0.1 0 destination 192.168.0.2 0 destination-port eq 23
[r2-acl-adv-3001]q
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
版权声明:本文为weixin_46540009原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。