ACL访问控制列表
目录
思科
标准ACL(1-99)
扩展ACL(100-199)
自反ACL
H3C
基本ACL
高级ACL
二层ACL
自反ACL
HUAWEI
基本ACL
高级ACL
二层ACL
自反ACL
基本ACL、高级ACL、二层ACL(华为、H3C)、命名ACL
H3C在ACL中匹配源目后双向管控,CISCO是单向管控
访问控制列表的原理
对路由器接口来说有两个方向
出:已经经路由器的处理,正离开路由器接口的数据包
入:已经到达路由器接口的数据包,将被路由器处理。
匹配顺序为:“自上而下,依次匹配”。默认为拒绝
访问控制列表的类型
标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上
扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向
命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号
访问控制列表使用原则
1、最小特权原则
只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则
所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则
在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
思科
单臂路由必须配置在路由器子接口上
acl默认deny any
标准ACL(1-99)
标准访问列表,一般来说配置尽量靠近目的端。
禁止192.168.60网段 访问 192.168.61网段
路由配置
Router>en
Router#conf t
Router(config)#access-list 10 deny 192.168.60.0 0.0.0.255
Router(config)#access-list 10 permit any
Router(config)#int f0/0.3
Router(config-subif)#ip access-group 10 out
三层交换机配置
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#access-list 10 deny 192.168.60.0 0.0.0.255
Switch(config)#access-list 10 permit any
Switch(config)#int vlan61
Switch(config-if)#ip access-group 10 out
扩展ACL(100-199)
格式
access-list [100-199] [deny/permit] Protocol Source-address Destination-address
路由器
Router(config)#access-list 120 deny icmp 192.168.60.0 0.0.0.255 192.168.61.0 0.0.0.255
Router(config)#access-list 120 permit icmp any any
Router(config)#int f0/0.3
Router(config-subif)#ip access-group 120 out
交换机
Switch(config)#access-list 120 deny icmp 192.168.60.0 0.0.0.255 192.168.61.0 0.0.0.255
Switch(config)#access-list 120 permit icmp any any
Switch(config)#int vlan61
Switch(config-subif)#ip access-group 120 out 
自反ACL
允许最近出站数据包的目的地发出的应答流量回到该出站数据包的源地址(单向ping通)
实现60不能访问61,61正常访问60
Router(config)#access-list 110 deny icmp 192.168.61.0 0.0.0.255 192.168.60.0 0.0.0.255 echo-reply ####源为61网段,目标为60网段
Router(config)#access-list 110 permit ip any any
Router(config)#int f0/0.1
Router(config-subif)#ip access-group 110 out ####0.1接口出站
H3C
基本ACL
只根据数据包的源IP地址制定规则,序号为2000~2999,定义时间段也属于基本ACL
交换机
[H3C]acl basic 2000
[H3C-acl-ipv4-basic-2000]rule 99 deny source 192.168.61.0 0.0.0.255
[H3C-acl-ipv4-basic-2000]int g1/0/4
[H3C-GigabitEthernet1/0/1]packet-filter 2000 inbound ####靠近源IP用inbound
路由器
[H3C]acl basic 2000
[H3C-acl-ipv4-basic-2000]rule 1 deny source 192.168.61.0 0.0.0.255
[H3C]interface GigabitEthernet0/0.1
[H3C-GigabitEthernet0/0.1]packet-filter 2000 outbound ####靠近目标IP用outbound
高级ACL
可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议,高级ACL序号取值范围3000~3997
交换机
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 99 deny icmp source 192.168.61.0 0.0.0.255
[H3C-acl-ipv4-adv-3000]int g1/0/4
[H3C-GigabitEthernet1/0/4]undo packet-filter 3000 inbound
路由器
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 99 deny icmp source 192.168.61.0 0.0.0.255
[H3C-acl-ipv4-adv-3000]int g0/0.1
[H3C-GigabitEthernet0/0.1]packet-filter 3000 outbound
二层ACL
根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则,序号取值范围为4000~4999
[H3C]acl mac 4000
[H3C-acl-mac-4000]rule 99 deny source-mac 2eb5-7d12-d408 ffff-ffff-ffff
自反ACL
[H3C-acl-ipv4-adv-3000]rule 99 deny icmp source 192.168.61.0 0.0.0.255 icmp-type
echo-reply
HUAWEI
与H3C基本一致,个别命令不一样
基本ACL
交换机
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 99 deny source 192.168.61.0 0.0.0.255
[Huawei]interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
路由器
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 100 deny source 192.168.61.0 0.0.0.255
[Huawei-acl-basic-2000]int g0/0/0.1
[Huawei-GigabitEthernet0/0/0.1]traffic-filter outbound acl 2000 高级ACL
交换机
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 11 deny icmp source 192.168.61.0 0.0.0.255
[Huawei-acl-adv-3000]int g0/0/2
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3000
路由器
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 111 deny icmp source 192.168.61.0 0.0.0.255
[Huawei-acl-adv-3000]int g0/0/0.1
[Huawei-GigabitEthernet0/0/0.1]traffic-filter outbound acl 3000二层ACL
与H3C一样
自反ACL
[Huawei-acl-adv-3000]rule 111 deny icmp source 192.168.61.0 0.0.0.255 icmp-type
ec