ACL(Access Control List)访问控制列表:可以基于3层、4层的数据做过滤
1.ACL(Access Control List)访问控制列表:可以基于3层、4层的数据做过滤。
ACL的工作原理(匹配规则):
按照从上到下依次匹配;
如果有一条一旦匹配完成,就不再进行后续报文的匹配;
隐含的一条是拒绝所有;
ACL中最少要有一条允许的条目,否则没有意义;
2.ACL的分类:标准ACL和扩展ACL
(1)标准访问控制列表
基于源IP地址过滤数据包
标准访问控制列表的访问控制列表号是1~99
(2)扩展访问控制列表
基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包
扩展访问控制列表的访问控制列表号是100~199
3.标准ACL的配置:
(1)基本格式:
Router(config)#access-list 编号 { permit允许| deny拒绝 } source 通配符掩码
通配符掩码:是用来对Ip地址进行匹配的,用0表示精确匹配(必须匹配),用“1”表示模糊匹配(可以不匹配)
access-list 1 permit 192.168.1.0 0.0.0.255 ====>匹配流量:192.168.1.0/24
access-list 1 permit 192.168.2.2 0.0.0.0 ====>匹配流量是一个主机:192.168.2.2
access-list 1 permit host 192.168.2.2 =====>匹配一个主机的流量
access-list 1 deny 0.0.0.0 255.255.255.255 ====>access-list 1 deny any 拒绝所有流量
access-list 10 permit 192.168.1.1 0.0.0.0 //允许192.168.1.1主机地址(1)
access-list 10 deny 192.168.1.0 0.0.0.255 //拒绝192.168.1.0/24这个网段(2)
access-list 10 permit 172.16.0.0 0.0.255.255 //允许172.16.0.0/16这个网段(3)
access-list 10 deny host 192.168.2.3 //拒绝主机192.168.2.3(4)
access-list 10 permit 10.0.0.0 0.0.0.255 //允许10.0.0.0/24这个网段(5)
access-list 10 deny 192.168.0.0 0.0.255.255 //拒绝192.168.0.0/16这个网段(6)
192.168.1.1/24====》允许===》1
192.168.2.3/24====》拒绝===》4
192.168.2.2/24====》拒绝===》6
192.168.10.10/24===》拒绝===》6
192.168.30.20/24===》拒绝===》6
200.1.1.1/24=======》拒绝===》隐含的一条拒绝所有
101.1.1.1/24=======》拒绝===》隐含的一条拒绝所有
10.5.5.5/24========》拒绝===》隐含的一条拒绝所有
10.3.3.3/16========》拒绝===》隐含的一条拒绝所有
10.6.6.6/8=========》拒绝===》隐含的一条拒绝所有
10.0.0.1/24========》允许===》5
34.1.1.1/24========》拒绝===》隐含的一条拒绝所有
(2)ACL的配置步骤:ACL的书写规则就是让范围小的条目尽量靠前。
第一步:定义ACL
第二步:应用到接口——————尽量应用到入接口。
特别说明:ACL只有应用到接口,才会生效。
int f0/1
ip access-group 编号 in/out
第三步;检查ACL的匹配情况
Router#show access-lists //match表示匹配了该条目
Standard IP access list 10
10 permit host 192.168.1.1 (4 match(es))
扩展ACL
1.扩展ACL:可以基于源目Ip、源目端口、协议来对数据流量做过滤。
举例1;定义一个ACL,编号为101,拒绝192.168.1.0/24 到达 192.168.2.2 的FTP服务
Router(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
举例2:定义ACL101,拒绝192.168.1.0/24访问192.168.2.2的ICMP服务
access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2
举例3:允许或拒绝所有流量
access-list 101 permit ip any any //第一个any是源,第二个any是目标
2.实验举例:
R2(config)#access-list 100 permit tcp host 192.168.1.1 host 192.168.2.3 eq 80
R2(config)#access-list 100 deny ip host 192.168.1.1 host 192.168.2.3
R2(config)#access-list 100 permit icmp host 192.168.1.1 host 192.168.2.1
R2(config)#access-list 100 deny icmp host 192.168.1.1 host 192.168.2.2
R2(config)#access-list 100 permit tcp host 192.168.1.2 host 12.1.1.2 eq telnet
interface Serial0/2/0
ip address 12.1.1.2 255.255.255.252 //配置IP
encapsulation ppp //设置封装格式
ip access-group 100 in //应用到接口
clock rate 4000000 //设置时钟频率,给客户端分配的带宽
检查命令:show access-lists
如果删除某条ACL,就要使用命名ACL的规则:
R2(config)#ip access-list extended 100 //extended表示修改扩展ACL,编号为100
R2(config-ext-nacl)#no 80 //删除ACL条目编号为80
补充特殊的ACL:FTP的被动模式
access-list 100 permit tcp host 192.168.1.2 host 192.168.2.3 eq ftp //放行192.168.1.2到192.168.2.3的TCP-21,FTP控制连接
access-list 100 permit tcp host 192.168.1.2 host 192.168.2.3 range 1024 65535 //放行数据连接,目标端口号为大于1024的范围
远程登录配置:
R2(config)#line vty 0 4
R2(config)#password 123456
R2(config)#login
R2(config)#enable password 123456
扩展ACL.pkt
105.1 KB
3.常见服务和端口的对应关系
UDP服务:DHCP(udp-67,68)、DNS(udp-53)、NTP(udp-123,用于linux中的时间同步)
TFTP(udp-69)
TCP服务:
FTP(tcp-21和20)
http(tcp-80);https(tcp-443)
远程桌面RDP(tcp-3389)
Telnet(tcp-23)
MySQL(tcp-3306)
ssh(tcp-22)
SMTP(tcp-25)
POP3(tcp-110)
共享(tcp-445)