IA-------配置ACL
1.分类
基础ACL --- 仅关注数据包中的源IP地址
高级ACL --- 除了关注数据包中的源IP地址以外,还会关注目标IP地址,以及协议和端口号
2.定义
访问控制列表
1.访问控制 --- 在路由器流量流入或者流出的接口上,匹配流量,然后执行设定动作。 ---- permit(允许),deny(拒绝)
2.抓取感兴趣流 ---- ACL可以和其他的服务进行结合使用。ACL负责匹配对应的流量,而其他的服务对匹配到的流量执行相应的动作。
3.ACL的匹配规则 --- 自上而下,逐一匹配。如果匹配到则按照对应规则执行动作而不再向下匹配。
思科 --- ACL列表末尾隐含一条拒绝所有的规则。
华为 --- ACL列表末尾没有隐含规则
3.基础ACL命令
基础ACL列表配置位置原则 ---- 因为基础ACL列表并不是精准的匹配,仅关注源IP地址,所以,建议配置在靠近目标的地方,防止误伤
PC1可以访问3.0网段,但是PC2不行。
1.创建表
[r2]acl ?
INTEGER<2000-2999> Basic access-list(add to current using rules) --- 基础ACL
INTEGER<3000-3999> Advanced access-list(add to current using rules) --- 高级ACL
INTEGER<4000-4999> Specify a L2 acl group --- 二层ACL
ipv6 ACL IPv6
name Specify a named ACL
number Specify a numbered ACL
[r2]acl 2000
[r2-acl-basic-2000]
2.写规则
0.0.0.0 ---- 通配符 ---- 0代表不可变,1代表可变 ---- 0和1可以穿插使用
[r2-acl-basic-2000]rule deny source 192.168.1.20 0.0.0.0
[r2-acl-basic-2000]rule permit source any --- 允许所有
[r2]display acl 2000 --- 查看ACL列表
华为设备默认ACL列表的规则是以5为步调自动设置的。为了方便插入和删除规则
source 后面地址的写法 1.网段写法(192.168.1.0 0.0.0.255 )子网掩码必须这样写才能够识别为192.168.1.0网段,否则就识别为192.0.0.0网段,其他段的写法也是如此 2.单个IP地址的写法(192.168.1.1 0 ) 写一个IP地址,在后面加个0即可
3.删除规则
[r2-acl-basic-2000]undo rule 7
4.调用
在接口上调用规则
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
注意:一个接口的一个方向上只能调用一张ACL列表
因为基础ACL列表并不是精准的匹配,仅关注源IP地址,所以,建议配置在靠近目标的地方,防止误伤-----一般选择发出口---outbound
1.inbound就是数据包进入路由,可以在端口设置拒绝或者允许数据包经过 2.outbound就是数据包已经存在于路由器当中,现在想从路由器中出去,我们可以在端口设置拒绝或者允许数据包从路由器中出去
4.高级ACL命令
1.高级ACL位置原则
因为高级ACL实现的是精准的匹配,所以,不怕误伤,则尽可能在靠近源的位置配置。
要求PC1可以ping通3.10,但是不能ping通3.20
2.创建表
以重命名的方式创建ACL列表
[r1]acl name xuqiuer 3000
[r1-acl-adv-xuqiuer]
3.写规则
写高级ACL的规则
[r1-acl-adv-3000]rule ?
INTEGER<0-4294967294> ID of ACL rule
deny Specify matched packet deny------------拒绝
permit Specify matched packet permit-----------允许
[r1-acl-adv-3000]rule deny ?----------加协议
<1-255> Protocol number
gre GRE tunneling(47)
icmp Internet Control Message Protocol(1)
igmp Internet Group Management Protocol(2)
ip Any IP protocol
ipinip IP in IP tunneling(4)
ospf OSPF routing protocol(89)
tcp Transmission Control Protocol (6)
udp User Datagram Protocol (17)
[r1-acl-adv-3000]rule deny ip ?
destination Specify destination address----目的地
dscp Specify dscp
fragment Check fragment packet
none-first-fragment Check the subsequence fragment packet
precedence Specify precedence---------指定优先级
source Specify source address--------来源地
time-range Specify a special time
tos Specify tos
-instance Specify a VPN-Instance
Please press ENTER to execute command
[r1-acl-adv-xuqiuer]rule deny ip source 192.168.1.10 0.0.0.0 destination 192.168.3.20 0.0.0.0
4.调用
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiuer
traffic-filter----------流量过滤器------控制流量
因为高级ACL实现的是精准的匹配,所以,不怕误伤,则尽可能在靠近源的位置配置,一般选择接入口-----.inbound
1.inbound就是数据包进入路由,可以在端口设置拒绝或者允许数据包经过 2.outbound就是数据包已经存在于路由器当中,现在想从路由器中出去,我们可以在端口设置拒绝或者允许数据包从路由器中出去
5.需求三(写acl)
要求PC5可以ping通R2,但是不能telnetR2
[r1-acl-adv-3001]rule deny tcp source 192.168.1.30 0.0.0.0 destination 192.168.2.2 0.0.0.0
destination-port eq 23
注:telnet 是基于tcp的23号端口的,这个代码意思是拒绝192.168.1.30的主机使用远程登录连接到192.168.2.2 注:和端口做对比 如等于23 等等eq 等于 gt 大于 lt 小于