欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 房产 > 建筑 > ACL初级总结

ACL初级总结

2025/3/19 2:53:01 来源:https://blog.csdn.net/nihuhui666/article/details/146239462  浏览:    关键词:ACL初级总结

ACL–访问控制列表

1.访问控制
在路由器流量流入或者流出的接口上,匹配流量,然后执行相应动作
permit允许
deny拒绝

2.抓取感兴趣流

3.ACL匹配规则
自上而下逐一匹配,若匹配到了则按照对应规则执行动作,而不再向下继续匹配

思科:ACL列表末尾隐含一条拒绝所有的规则
华为:ACL列表末尾没有规则(有一条允许所有的规则)

4.ACL列表分类
1.基础ACL
仅关注数据包中源IP地址
基础ACL配置原则:ACL配置尽可能靠近目标
因为基础ACL并不是精确匹配,仅关注源IP地址,所以建议配置在靠近
目标的地方,防止误伤

2.高级ACL
除了关注数据包中的源IP以外,还会关注数据包中的目标IP,
以及端口号和协议

高级ACL配置原则:因为高级ACL实现精准匹配,所以不怕误伤,则尽可能的靠近源的位置配,节省链路资源

3.二层ACL

4.用户自定义ACL

在这里插入图片描述

需求1–PC1可以访问3.0,PC2不能访问
5.基础ACL步骤
1.创建ACL列表
ACL 2000-2999 基础ACL
ACL 3000-3999 高级ACL
ACL 4000-4999 二层ACL

2.写规则
rule deny source 192.168.1.20 0.0.0.0--通配符
0代表不可变,1代表可变 0,1可以穿插使用3.在接口上调用规则
int g0/0/0
traffic-filter outbound acl 2000

需求2–PC1可以ping通3.10,不能ping通3.20
6.高级ACL步骤
1.创建ACL列表 可以写名字
acl xxxx 3000

2.写规则
rule deny ip source 192.168.1.10 0.0.0.0 destination192.168.3.20 0.0.0.0华为默认其他允许
3.在接口上调用规则
int g0/0/0
traffic-filter inbound acl name xxx 通过名字调用

需求3–要求pc1可以ping通ar2,但是不能telnet ar2
1.ar2开启telnet
1.配置aaa
local-user huawei privilege level 15 password cipher 123456
2.在aaa里创建用户名和密码信息,并且定义用户的服务类型
local-user huawei service-type telnet
3.创建VTY虚拟登录端口
user-interface vty 0 4
4.定义认证模式
authentication-mode aaa

2.新建一个路由器代替pc使用telnet需要一条缺省指向网关telnet 192.168.2.23.创建ACL列表 可以写名字
acl 30014.写规则
rule deny tcp source 192.168.1.30 0.0.0.0 destination192.168.2.2 0.0.0.0 destination-port eq 23(只拒绝tcp23号端口)华为默认其他允许3.在接口上调用规则(路由器每个接口都要调用,因为每个接口都能登录telnet)
int g0/0/0
traffic-filter inbound acl name xxx 通过名字调用undo rule x 删除规则一个路由器的一个接口只能调用一张ACL列表
在ACL列表中,rule以5步进:方便插入规则

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

热搜词