ACL访问控制列表

ACL 访问控制列表

1、访问限制 --- 在路由器流量进或出的接口上匹配流量，之后对其进行限制
2、定义感兴趣流量

ACL的限制手段---拒绝允许
匹配规则：
自上而下逐一匹配，上条匹配按上条执行，不再查看下条；
Cisco在末尾隐含一条拒绝所有；华为在末尾隐含允许所有；

ACL的分类：
1、标准ACL 仅匹配流量中的源IP地址
2、扩展ACL 匹配流量中的源/目ip地址,目标端口号或目标协议号;

ACL的写法：
1、编号标准 2000-2999 扩展3000-3999 一个编号为一张表
2、命名

命令：
1、标准ACL—因为只匹配流量中的源ip地址，故调用时为避免误删，尽量靠近目标；

[r2]acl 2000 创建编号为2000的ACL
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 拒绝一个具体的ip地址
[r2-acl-basic-2000]rule deny source 192.168.3.2 0 也拒绝一个ip，通配符简写了
[r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255 拒绝一个地址访问
注：ACL使用的是通配符，OSPF使用的是反掩码；区别在于通配符可以0、1穿插；
[r2-acl-basic-2000]rule deny source 192.168.3.0 0.255.0.255
默认以5为步调增加需要，便于插入规则
acl number 2000
rule 5 deny source 192.168.1.2 0
rule 10 deny source 192.168.2.0 0.0.0.255
rule 15 deny source 192.0.3.0 0.255.0.255

[r2-acl-basic-2000]rule 9 permit source 192.168.2.10 0

acl number 2000
rule 5 deny source 192.168.1.2 0
rule 9 permit source 192.168.2.10 0
rule 10 deny source 192.168.2.0 0.0.0.255
rule 15 deny source 192.0.3.0 0.255.0.255

[r2-acl-basic-2000]un rule 9 同时序号也可以方便删除条目；

[r2]acl name classroomB basic 使用命名方式来创建一个标准ACL列表；

切记：ACL在定制完成后，必须到接口上进行调用才能生效工作

[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter ?
inbound Apply ACL to the inbound direction of the interface 入向
outbound Apply ACL to the outbound direction of the interface 出向
[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2001

2、扩展ACL –因为扩展ACL可以清楚的标记目标，故调用时建议尽量的靠近源；

[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0 destination 192.168.3.2 0
序号动作协议源目标

[r1]interface GigabitEthernet 0/0/0 接口调用
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

telnet 远程登录；基于tcp下的23号端口进行； http-基于tcp下的80端口；
RIP基于UDP下的520端口；
条件：
1、登录与登录设备间可以正常通讯
2、被登录设备开启远程登录服务

配置登录用的账号和密码

[r2]aaa
[r2-aaa]local-user panxi password cipher cisco123 账号、密码
[r2-aaa]local-user panxi service-type telnet 该账号的功能
[r2-aaa]local-user panxi privilege level 15 账号权限

[r2]telnet server enable 开启被登录设备的远程登录功能

[r2]user-interface vty 0 4 虚拟登录接口调用认证
[r2-ui-vty0-4]authentication-mode aaa

拒绝ping

[r2-acl-adv-3001]rule deny icmp source 192.168.2.1 0 destination 192.168.2.2 0

拒绝Telnet

[r2-acl-adv-3002]rule deny tcp source 192.168.2.1 0 destination 192.168.2.2 0 destination-port eq 23

ACL访问控制列表

ACL 访问控制列表

你可能感兴趣的:(ACL访问控制列表)