ACL访问控制列表

ACL:访问控制列表

  1. 在路由器流量进或出接口上,匹配流量产生动作-- 允许 拒绝 (访问限制)
  2. 定义感兴趣流量--- 匹配流量后,将流量提交给其他的协议进行策略

匹配规则:

至上而下逐一匹配,上条匹配按上条执行,不再查看下条;

在思科系设备中,表格末尾含义一条拒绝所有的规则;

在华为系设备中,表格末尾含义一条允许所有的规则;

分类:

  1. 标准ACL --- 仅关注数据包中的源ip地址;
  2. 扩展ACL ---  关注数据包中的源、目标ip地址,同时可以再关注协议号或目标端口号

配置命令:

【1】标准ACL --- 由于其仅关注数据包中源ip地址,因此到调用时应该尽量的靠近目标,避免误删除流量;

[r2]acl 2000  创建ACL列表2000   2000-2999为标准ACL,一个编号为一张大表   

[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

[r2-acl-basic-2000]rule  permit source  192.168.3.0 0.0.0.255

[r2-acl-basic-2000]rule  deny source  any

在编辑具体时,使用通配符进行匹配;通配符和OSPF的反掩码匹配规则一致,但区别在于通配符支持0和1混编

[r2]display  acl 2000

编写时,协议自动以5为步调添加序列号,便于删除和插入;

[r2-acl-basic-2000]rule 7 permit source 192.168.2.0 0.0.0.255  使用序列号插入

[r2-acl-basic-2000]undo rule 7    删除

只有到ACL被调用后,方可工作,在路由器的流量进或出接口调用;一个接口的一个方向上只能调用一张表

[r2]interface g0/0/1

[r2-GigabitEthernet0/0/1]traffic-filter ? 调用时,一定注意方向

  inbound   Apply ACL to the inbound direction of the interface

  outbound  Apply ACL to the outbound direction of the interface

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

【2】扩展ACL -- 由于扩展acl精确匹配目标和源,故调用时尽量靠近源

  1. 仅针对源、目标ip地址

[r1]acl 3000  编号3000-3999为扩展列表

[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

[r1-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[r1-acl-adv-3000]rule deny ip source  192.168.1.3 0.0.0.0 destination  any

                    协议      源ip地址             目标ip地址

无论源还是目标ip地址的部分,均可使用通配符匹配一个ip或一个范围或any;                 

[r1]interface g0/0/0

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

  1. 针对源、目标ip地址,加目标端口号

目标端口号用于对应具体的服务协议,比如我访问http服务器时,目标ip地址为该服务器ip,传输基于TCP,目标端口为80号;在访问该服务器时,若目标端口修改为21,那么实际该访问该服务器FTP服务;---访问相同目标ip地址,但不同的目标端口,实际在访问不同的服务了

[r1-acl-adv-3002]rule  deny  tcp source 192.168.1.4 0 destination 192.168.1.1 0 destination-port eq 23

                   协议    源ip       目标ip           目标端口号

限制源ip地址192.168.1.4对目标ip地址192.168.1.1,同时传输层协议为tcp,且目标端口号为23的流量;

[r1-acl-adv-3003]rule deny icmp source  192.168.1.4 0 destination 192.168.1.1 0

限制源ip地址192.168.1.4,对目标ip地址192.168.1.1的icmp访问--限制ping

Telnet 远程登录:用于终端设备远程登录网络设备,在线进行配置和管理;

Telnet 服务基于TCP23号端口工作;也就是说在访问目标ip地址时,若传输层使用tcp,且目标端口号23,那么便是在进行telnet登录

开启网络设备的远程登录:

  1. 登录与被登录设备ip可达
  2. 被登录设备设置了登录的账号秘钥

[r1]aaa    进入aaa服务,该服务用于管理账号信息  

[r1-aaa]local-user panxi privilege level 15 password cipher 123456

                账号            权限                 秘钥

[r1-aaa]local-user panxi service-type telnet   定义账号功能

[r1-aaa]q

[r1]user-interface vty 0 4  再在VTY(远程登录虚拟接口)上调用aaa服务

[r1-ui-vty0-4]authentication-mode aaa

telnet 192.168.1.1

你可能感兴趣的:(网络)