ACL:访问控制列表
作用
- 1、访问控制—在路由器流量进或出的接口上,定制列表,匹配流量后产生动作—允许、拒绝
- 2、定义感兴趣流量 — 帮助其他的策略技术抓取流量
分类
- 标准 – 仅关注数据包中的源ip地址
- 扩展 – 关注数据包中的源、目标ip地址,目标端口号或协议号
匹配规则
- 至上而下逐一匹配,上条匹配按上条执行,不再查看下条
- 华为设备默认隐含允许所有
- Cisco设备默认隐含拒绝所有
配置:
标准ACL
- 由于标准ACL仅关注数据包中的源ip地址,为避免误删,调用时尽量靠近目标;
- 标准列表编号 2000-2999 一个编号为一张表;一张表中可以配置多条内容信息
[r2]acl 2000
[r2-acl-basic-2000]
[r2-acl-basic-2000]rule deny source 10.1.1.1 0.0.0.0 拒绝一个ip地址
[r2-acl-basic-2000]rule deny source 10.1.1.0 0.0.0.255 拒绝一段
[r2-acl-basic-2000]rule permit source any 允许所有
[r2-acl-basic-2000]rule deny source any 拒绝所有
- ACL使用通配符来匹配范围,类似于OSPF的反掩码;和反掩码的区别在于,通配符可以0/1穿插使用
- 自动以5为步调增加序列号;序列号的意义在于便于,插入和删除;
[r2-acl-basic-2000]rule 8 permit source 10.1.1.2 0.0.0.0 插入
[r2-acl-basic-2000]undo rule 10 删除
- ACL编辑完成后,需要到接口调用方可生效;
- 调用时注意方向,在一个接口的一个方向上只能调用一张;
- 若删除了ACL,调用的命令虽然还在接口上,但没有意义;
[r2-GigabitEthernet0/0/1]traffic-filter ?
inbound Apply ACL to the inbound direction of the interface
outbound Apply ACL to the outbound direction of the interface
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
- 可以通过命名的方式来标记该ACL的工作性质
[r2]acl name classroom-G 2000
[r2-acl-basic-classroom-G]
扩展ACL
- 由于扩展ACL可以精确匹配流量,故调用时建议尽量的靠近源
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 10.1.1.2 0.0.0.0 destination 10.1.3.2 0.0.0.0
[r1-acl-adv-3000]rule deny ip source 10.1.1.0 0.0.0.255 destination any
源ip地址 目标ip地址
使用扩展ACL来进行目标行为的限制:
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23
拒绝192.168.1.10 对192.168.1.1的TCP目标端口23访问 – 仅拒绝Telnet服务
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0
仅拒绝192.168.1.10 对192.168.1.1的icmp请求—ping