ACL配置学习(附练习题)------ensp

从此文了解ACL配置,欢迎学习、指导。

目录

基本ACL配置举例

高级ACL配置举例

ACL配置练习题 


定义

访问控制列表ACL(Access Control List)本质上是一种报文过滤器。

范围:   OSI七层模型中的网络层、传输层的信息。

滤芯:五元组-分别是报文的源地址、目的地址、源端口、目的端口、IP协议类型等。

扩展:ACL(访问控制列表) 和 IP prefix-list(前缀列表)的路由匹配区别

目的

ACL过滤穿过路由器的报文,不能过滤由本路由器上始发的报文。

路由器本地产生的报文(链路状态通告,路由表通告等等),直接路由表查表转发。

本地始发的报文,过滤至少要在下一个路由器

ACL的常用匹配项

ACL配置学习(附练习题)------ensp_第1张图片

IP承载的协议类型

格式:protocol-number  协议号/协议名
协议:ICMP(1)、TCP(6)、UDP(17)、GRE(47)、IGMP(2)、IP(指任何IP层协议)、OSPF(89)
举例:rule 5 permit ospf //表示允许OSPF报文通过
      rule 6 deny ip destination 10.1.1.1 0 //表示拒绝目的IP为10.1.1.1的报文

源/目的IP地址及其通配符掩码 

格式:source   <通配符> destination   <通配符>
举例:rule 5 permit ip source 192.168.1.0 0.0.0.255 
     //允许192.168.1.0 /24网段的主机通过。
注意:
0代表严格匹配、1代表不严格匹配
0和1可以不连续  10.1.2.0   0.0.254.255 
//匹配  10.1.xxxx xxx0.xxxx xxxx  (x可以为0、1)

 
源/目的MAC地址及其通配符掩码

格式:source-mac   <通配符> destination-mac   <通配符>
举例:rule 5 permit source-mac i00e0-fc01-0101  ffff-ffff-ffff
     //仅仅允许00e0-fc01-0101这一个MAC地址的主机通过。
注意:
1代表严格匹配、0代表不严格匹配
0和1可以不连续  

TCP/UDP端口号匹配

格式:source-port  <端口>  destination-port  <端口> 
端口:range port-start port-end:指定端口的范围。
eq port:指定端口。
gt port:指定大于端口。
lt port:指定小于端口

tcp:ftp数据(20)、ftp控制(20)、telnet(21)、www(80)、bgp(179)
udp:dns(53)、tftp(69)、snmp(161)、rip(520)

举例:rule deny tcp destination-port eq www/80
     //拒绝登录万维网。 

生效时间段

格式:time-range  from    to   
举例:time-range test from 00:00 2014/01/01 to 23:59 2014/12/31
调用:acl number 2001                                                                  
     rule 5 permit time-range test 

默认隐私语句

华为ACL默认不匹配时permit(放行)

ACL中配置了规则,但没有报文匹配上规则

FTP、Telnet、HTTP、SFTP、TFTP、FTP默认(deny)拒绝登录。

登录协议调用ACL:只需配置Permit规则,无需配置deny规则,没有匹配上规则会被默认deny。 

RIP和OSPF协议调用ACL区别TFTP

  1. OSPF路由协议使用IP协议89进行封装,没有固定的端口号。
  2. IS-IS路由协议使用IP协议124进行封装,没有固定的端口号。
  3. IGRP路由协议使用IP协议9进行封装,    没有固定的端口号。
  4. EIGRP路由协议使用IP协议88进行封装,没有固定的端口 
RIP    端口UDP 520      特定的组播224.0.0.9   
ospf   没有固定端口号    特定的组播224.0.0.6 224.0.0.7  

rule 5 deny  ip   ospf //禁止IP层中的OSPF协议进行通信。
rule 5 deny  ip   ripf //禁止IP层中的rip协议进行通信。

rule 5 deny  ip   destination-ip 224.0.0.6   //拒绝OSPF协议中的Hello消息通过。
rule 5 deny udp   destination-ip 224.0.0.9 destination-port 520//拒绝RIP协议通告

基本ACL配置举例

基于源IP配置

限制ftp访问:  ftp  acl   2000
限制http访问: http acl acl 2000
限制tftp访问: tftp-server  acl acl 2000

限制Telnet登录: [Telnet_Server] user-interface vty 0 14
[Telnet_Server-ui-vty0-14] protocol inbound telnet
[Telnet_Server-ui-vty0-14] acl 2001 inbound 

高级ACL配置举例

基于五元组配置

不能ping,但能访问telnet/www/ftp
acl 3000
rule  deny icmp source 192.168.1.3 0 destination 192.168.3.1 0
rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 23/80/21

ACL配置练习题 

练习题http://t.csdn.cn/l2keE练习题前缀列表能够同时匹配IP地址前缀以及掩码长度,列表默认动作为拒绝。ACL访问控制列表,即用于流量的匹配与控制,但也能够用于匹配路由条目。而前缀列表主要用于路由的匹配,所以前缀列表在匹配路由上远胜于ACL。路由策略,即对路由相关属性进行修改。而对于另一种技术:策略路由,即作用是直接控制路由。export:应用于本身路由器,对传递出去的路由进行过滤。import:应用于本身路由器,对接收到的路由进行过滤。关于export方向,只能在ASBR设备上应用过滤5类的路由条目。关于import方向,可以应用在任何路https://blog.csdn.net/qq_45443704/article/details/128789435

练习题icon-default.png?t=N2N8http://t.csdn.cn/7Wonb 

你可能感兴趣的:(HICP历程,网络,tcp/ip,安全,服务器)