ACL 訪問控制串列
功能:
1.訪問限制 ----在路由器流量進或出的介面上匹配流量,之后對其進行限制
2.定義感興趣流量
ACL 簡介:
1.自上而下,逐一匹配,上條匹配按上條執行,不在查看下條
2.ACL 串列的呼叫分為in(先匹配ACL再查看路由)和out(先查看路由,再匹配ACL)
3.必須滿足金字塔形結構
4.ACL 分為 標準 ACL 和 擴展 ACL
5.(在cisco中末尾隱含拒絕所有 ;在華為設備中若沒有匹配到ACL 則執行默認處理)
ACL的分類
標準ACL : 關注 源IP 地址 ,在使用時盡量靠近目標
擴展ACL: 關注 源 IP 、 目標IP、 協議, 在使用時盡量靠近源(不能再源之上,ACL不能過濾自身產生的流 量)
ACL 部署:ACL 中匹配后綴引數為通配符 0代表固定位 1代表任意位

INTEGER<2000-2999>標準ACL使用的 -----一個編號是一張表
INTEGER<3000-3999> 擴展ACL使用的

實作:pc1不能訪問pc3和pc4,pc2可以訪問pc3和pc4
R1配置靜態路由
[r1]int g 0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1
[r1]int g 0/0/1
[r1-GigabitEthernet0/0/1]ip add 192.168.2.1 24
[r1]ip route-stat 192.168.3.0 24 192.168.2.2
R2配置靜態路由
[r2]int g 0/0/1
[r2-GigabitEthernet0/0/1]ip add 192.168.3.1 24
[r2]int g 0/0/0
[r2-GigabitEthernet0/0/0]ip add 192.168.2.2 24
[r2]ip route-static 192.168.1.0 24 192.168.2.1
給pc配上ip和網關,使用pc1測驗互通性
ping 192.168.2.2
ping 192.168.3.1
ping 192.168.3.3

使用pc2測驗互通性
ping 192.168.3.2
ping 192.168.3.3

設定ACL,因為是標準ACL所以,需要盡量靠近目標,所以需要在R2路由器上配置
[r2]acl 2000 `創建編號為2000的ACL`
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 `拒絕1.2這個ip`
注:ACL使用的是通配符,OSPF使用的是反掩碼;區別在于通配符可以0和1穿插,類似下面
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.255.0.255
拒絕一個地址范圍
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.255

默認以5為步調增加需要,便于插入規則
允許192.168.1.3這個地址訪問,因為是自上而下執行,所以我們需要寫到rule 10 前面,要不然就會被拒絕訪問
[r2-acl-basic-2000]rule 9 permit source 192.168.1.3 0
注意:ACL在定制完成后,必須到介面上進行呼叫才能生效作業
[r2]int GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter ?
inbound Apply ACL to the inbound direction of the interface `入向`
outbound Apply ACL to the outbound direction of the interface `出向`
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
規則寫好了可以測驗了,先使用PC1測驗

使用PC2測驗


實作:pc1不能訪問pc3但是可以訪問pc4,pc2可以正常訪問(這個時候就必須使用擴展ACL來實作了)
我們先把剛剛我們設定的acl洗掉
[r2-acl-basic-2000]undo rule 5
[r2-acl-basic-2000]undo rule 9
[r2-acl-basic-2000]undo rule 10
[r2-acl-basic-2000]undo rule 15
因為是擴展ACL所以我們需要在靠近源的地方設定,所以我們需要在R1上設定,根據華為的默認特性所以我們只需要設定拒絕權限就行了
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0 destination 192.168.3.2 0
deny:拒絕 permit:允許
ip:協議
source:源
destination:目標
在介面上呼叫
[r1]int g 0/0/0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
使用pc1測驗

使用pc2測驗

實作:設定192.168.2.1 不能ping 192.168.2.2,但是192.168.2.2可以ping 192.168.2.1
[r2]acl 3000
[r2-acl-adv-3000]rule deny icmp source 192.168.2.1 0 destination 192.168.2.2 0 i
cmp-type echo
[r2]int GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
測驗


實作:R1遠程登錄R2(因為華為的pc不能使用遠程登錄,所以用路由器測驗)
telnet遠程登錄:基于tcp下的23號埠進行;
條件:
1.登錄與登錄設備間可以正常通訊
2.被登錄設備開啟遠程登錄服務
配置登錄用的賬號和密碼
[r2]aaa
[r2-aaa]local-user ppx password cipher 123456 `賬號、密碼`
[r2-aaa]local-user ppx service-type telnet `該賬號的功能`
[r2-aaa]local-user ppx privilege level ?
INTEGER<0-15> Level value
[r2-aaa]local-user ppx privilege level 15 `設定用戶具有的權限,15是最大權限`
[r2]user-interface vty 0 4 `虛擬登錄介面`
[r2-ui-vty0-4]authentication-mode aaa `呼叫認證`

拒絕R1遠程登錄R2
[r2]acl 3000
[r2-acl-adv-3000]rule deny tcp source 192.168.2.1 0.0.0.0 destination 192.168.2.2 0 destination-port eq 23
[r2]int g 0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/301832.html
標籤:其他
下一篇:計算機網路入門(問題導向式)
