ACL技术----访问控制列表
-
ACL原理
-
设备根据事先设置好的报文匹配规则对经过该设备的流量进行匹配,然后对报文执行预先设定的处理动作。
-
-
ACL功能
-
访问控制----在流量流入或者流出的接口上匹配流量。
-
动作
-
允许---permit
-
拒绝----deny
-
-
-
抓取流量
-
-
ACL匹配规则
-
自上而下、逐一匹配,匹配上则按照规则进行执行,不再向下匹配
-
若没有匹配上,则执行默认规则
-
华为中,ACL访问控制列表末尾隐含条件为允许所有。
-
-
-
ACL分类
-
基本ACL
-
只能基于IP报文的源IP地址、报文分片标记来定义规则。
-
规则编号:2000-2999
-
-
高级ACL
-
可以基于IP报文的源IP地址、目的IP地址、IP报文的协议字段、IP优先级、长度、TCP的源目端口、UDP源目端口等信息来定义规则
-
规则编号:3000-3999
-
-
二层ACL
-
使用以太网数据帧定义规则
-
编号:4000-4999
-
-
用户自定义ACL
-
配置
需求一:允许PC1访问192.168.2.0/24网段,而PC2不行。
-
分析:该需求仅对源有要求,配置基本ACL,且因为基本ACL仅关注数据包中的源IP地址;故配置时尽量靠近目标,避免对其他地址访问误伤。
[r2]acl 2000 ----创建基本ACL列表
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 ---编写规则
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ----调用策略
[r2]display acl 2000 -----查看ACL列表
通配符:0代表不可变;1代表可变。
可以精准匹配某一个IP地址或网段。
1、拒绝192.168.1.2和192.168.1.3
rule deny source 192.168.1.2 0.0.0.1
00000011
00000001
2、拒绝192.168.1.0/24网段
rule deny source 192.168.1.1 0.0.0.255
3、拒绝192.168.1.0/24网段中的单数IP
rule deny source 192.168.1.1 0.0.0.254
ACL列表的步长为5,(例如:5、10、15;空隙是为了方便添加规则)
undo rule 5 删除规则5
rule 数字 source 192.168.1.1.1 0.0.0.0 在数字位置写规则
需求二:PC1可以访问PC3,但是不能访问PC4
分析:对目标有要求,使用高级ACL;由于高级ACL对流量进行了精确匹配,可以避免误伤,所以调用时靠近源,减少链路资源消耗。
[r1]acl 3100
[r1-acl-adv-3100]rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.2.2 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3100
设备的一个接口只能调用一张ACL列表,但是一张ACL列表可以在不同地方多次调用。
- 接口只可以在出方向或入方向调用一个ACL列表
- 一个ACL列表可以被多次调用
需求三:PC1可以ping通R2,但是不能Telnet R2。
[r1]acl 3000
[r1-acl-adv-3000]rule deny tcp source 192.168.1.1 0.0.0.0 destination 12.0.0.2 0.0.0.0 destination-port eq telnet
ACL部署位置分析:
- 是否影响数据通信
- 减少消耗链路的资源
练习:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
