ACL–访问控制列表
1.访问控制
在路由器流量流入或者流出的接口上,匹配流量,然后执行相应动作
permit允许
deny拒绝
2.抓取感兴趣流
3.ACL匹配规则
自上而下逐一匹配,若匹配到了则按照对应规则执行动作,而不再向下继续匹配
思科:ACL列表末尾隐含一条拒绝所有的规则
华为:ACL列表末尾没有规则(有一条允许所有的规则)
4.ACL列表分类
1.基础ACL
仅关注数据包中源IP地址
基础ACL配置原则:ACL配置尽可能靠近目标
因为基础ACL并不是精确匹配,仅关注源IP地址,所以建议配置在靠近
目标的地方,防止误伤
2.高级ACL
除了关注数据包中的源IP以外,还会关注数据包中的目标IP,
以及端口号和协议
高级ACL配置原则:因为高级ACL实现精准匹配,所以不怕误伤,则尽可能的靠近源的位置配,节省链路资源
3.二层ACL
4.用户自定义ACL
需求1–PC1可以访问3.0,PC2不能访问
5.基础ACL步骤
1.创建ACL列表
ACL 2000-2999 基础ACL
ACL 3000-3999 高级ACL
ACL 4000-4999 二层ACL
2.写规则
rule deny source 192.168.1.20 0.0.0.0--通配符
0代表不可变,1代表可变 0,1可以穿插使用3.在接口上调用规则
int g0/0/0
traffic-filter outbound acl 2000
需求2–PC1可以ping通3.10,不能ping通3.20
6.高级ACL步骤
1.创建ACL列表 可以写名字
acl xxxx 3000
2.写规则
rule deny ip source 192.168.1.10 0.0.0.0 destination192.168.3.20 0.0.0.0华为默认其他允许
3.在接口上调用规则
int g0/0/0
traffic-filter inbound acl name xxx 通过名字调用
需求3–要求pc1可以ping通ar2,但是不能telnet ar2
1.ar2开启telnet
1.配置aaa
local-user huawei privilege level 15 password cipher 123456
2.在aaa里创建用户名和密码信息,并且定义用户的服务类型
local-user huawei service-type telnet
3.创建VTY虚拟登录端口
user-interface vty 0 4
4.定义认证模式
authentication-mode aaa
2.新建一个路由器代替pc使用telnet需要一条缺省指向网关telnet 192.168.2.23.创建ACL列表 可以写名字
acl 30014.写规则
rule deny tcp source 192.168.1.30 0.0.0.0 destination192.168.2.2 0.0.0.0 destination-port eq 23(只拒绝tcp23号端口)华为默认其他允许3.在接口上调用规则(路由器每个接口都要调用,因为每个接口都能登录telnet)
int g0/0/0
traffic-filter inbound acl name xxx 通过名字调用undo rule x 删除规则一个路由器的一个接口只能调用一张ACL列表
在ACL列表中,rule以5步进:方便插入规则
电平详解)
)
