ACL访问控制列表

ACL 访问控制列表

1、 访问限制 --- 在路由器流量进或出的接口上匹配流量,之后对其进行限制
2、 定义感兴趣流量

ACL的限制手段---拒绝 允许
匹配规则:
自上而下逐一匹配,上条匹配按上条执行,不再查看下条;
Cisco在末尾隐含一条拒绝所有;华为在末尾隐含允许所有;

ACL的分类:
1、 标准ACL 仅匹配流量中的源IP地址
2、 扩展ACL 匹配流量中的源/目ip地址,目标端口号或目标协议号;

ACL的写法:
1、 编号 标准 2000-2999 扩展3000-3999 一个编号为一张表
2、 命名

命令:
1、 标准ACL—因为只匹配流量中的源ip地址,故调用时为避免误删,尽量靠近目标;

[r2]acl 2000 创建编号为2000的ACL
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 拒绝一个具体的ip地址
[r2-acl-basic-2000]rule deny source 192.168.3.2 0 也拒绝一个ip,通配符简写了
[r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255 拒绝一个地址访问
注:ACL使用的是通配符,OSPF使用的是反掩码;区别在于通配符可以0、1穿插;
[r2-acl-basic-2000]rule deny source 192.168.3.0 0.255.0.255
默认以5为步调增加需要,便于插入规则
acl number 2000
rule 5 deny source 192.168.1.2 0
rule 10 deny source 192.168.2.0 0.0.0.255
rule 15 deny source 192.0.3.0 0.255.0.255

[r2-acl-basic-2000]rule 9 permit source 192.168.2.10 0

acl number 2000
rule 5 deny source 192.168.1.2 0
rule 9 permit source 192.168.2.10 0
rule 10 deny source 192.168.2.0 0.0.0.255
rule 15 deny source 192.0.3.0 0.255.0.255

[r2-acl-basic-2000]un rule 9 同时序号也可以方便删除条目;

[r2]acl name classroomB basic 使用命名方式来创建一个标准ACL列表;

切记:ACL在定制完成后,必须到接口上进行调用才能生效工作

[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter ?
inbound Apply ACL to the inbound direction of the interface 入向
outbound Apply ACL to the outbound direction of the interface 出向
[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2001

2、 扩展ACL –因为扩展ACL可以清楚的标记目标,故调用时建议尽量的靠近源;

[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0 destination 192.168.3.2 0
序号 动作 协议 源 目标

[r1]interface GigabitEthernet 0/0/0 接口调用
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

telnet 远程登录; 基于tcp下的23号端口进行; http-基于tcp下的80端口;
RIP基于UDP下的520端口;
条件:
1、 登录与登录设备间可以正常通讯
2、 被登录设备开启远程登录服务

配置登录用的账号和密码

[r2]aaa
[r2-aaa]local-user panxi password cipher cisco123 账号、密码
[r2-aaa]local-user panxi service-type telnet 该账号的功能
[r2-aaa]local-user panxi privilege level 15 账号权限

[r2]telnet server enable 开启被登录设备的远程登录功能

[r2]user-interface vty 0 4 虚拟登录接口调用认证
[r2-ui-vty0-4]authentication-mode aaa

拒绝ping

[r2-acl-adv-3001]rule deny icmp source 192.168.2.1 0 destination 192.168.2.2 0

拒绝Telnet

[r2-acl-adv-3002]rule deny tcp source 192.168.2.1 0 destination 192.168.2.2 0 destination-port eq 23

你可能感兴趣的:(ACL访问控制列表)