从此文了解ACL配置,欢迎学习、指导。
目录
定义
访问控制列表ACL(Access Control List)本质上是一种报文过滤器。
范围: OSI七层模型中的网络层、传输层的信息。
滤芯:五元组-分别是报文的源地址、目的地址、源端口、目的端口、IP协议类型等。
扩展:ACL(访问控制列表) 和 IP prefix-list(前缀列表)的路由匹配区别
目的
ACL过滤穿过路由器的报文,不能过滤由本路由器上始发的报文。
路由器本地产生的报文(链路状态通告,路由表通告等等),直接路由表查表转发。
本地始发的报文,过滤至少要在下一个路由器。
ACL的常用匹配项
IP承载的协议类型
格式:protocol-number 协议号/协议名
协议:ICMP(1)、TCP(6)、UDP(17)、GRE(47)、IGMP(2)、IP(指任何IP层协议)、OSPF(89)
举例:rule 5 permit ospf //表示允许OSPF报文通过
rule 6 deny ip destination 10.1.1.1 0 //表示拒绝目的IP为10.1.1.1的报文
源/目的IP地址及其通配符掩码
格式:source <IP地址前缀> <通配符> destination <IP地址前缀> <通配符>
举例:rule 5 permit ip source 192.168.1.0 0.0.0.255
//允许192.168.1.0 /24网段的主机通过。
注意:
0代表严格匹配、1代表不严格匹配
0和1可以不连续 10.1.2.0 0.0.254.255
//匹配 10.1.xxxx xxx0.xxxx xxxx (x可以为0、1)
源/目的MAC地址及其通配符掩码
格式:source-mac <mac地址前缀> <通配符> destination-mac <mac地址前缀> <通配符>
举例:rule 5 permit source-mac i00e0-fc01-0101 ffff-ffff-ffff
//仅仅允许00e0-fc01-0101这一个MAC地址的主机通过。
注意:
1代表严格匹配、0代表不严格匹配
0和1可以不连续
TCP/UDP端口号匹配
格式:source-port <端口> destination-port <端口>
端口:range port-start port-end:指定端口的范围。
eq port:指定端口。
gt port:指定大于端口。
lt port:指定小于端口
tcp:ftp数据(20)、ftp控制(20)、telnet(21)、www(80)、bgp(179)
udp:dns(53)、tftp(69)、snmp(161)、rip(520)
举例:rule deny tcp destination-port eq www/80
//拒绝登录万维网。 生效时间段
格式:time-range <time-name> from <time1> <date1> to <time2> <date2>
举例:time-range test from 00:00 2014/01/01 to 23:59 2014/12/31
调用:acl number 2001
rule 5 permit time-range test 默认隐私语句
华为ACL默认不匹配时permit(放行)
ACL中配置了规则,但没有报文匹配上规则
FTP、Telnet、HTTP、SFTP、TFTP、FTP默认(deny)拒绝登录。
登录协议调用ACL:只需配置Permit规则,无需配置deny规则,没有匹配上规则会被默认deny。
RIP和OSPF协议调用ACL区别TFTP
- OSPF路由协议使用IP协议89进行封装,没有固定的端口号。
- IS-IS路由协议使用IP协议124进行封装,没有固定的端口号。
- IGRP路由协议使用IP协议9进行封装, 没有固定的端口号。
- EIGRP路由协议使用IP协议88进行封装,没有固定的端口
RIP 端口UDP 520 特定的组播224.0.0.9
ospf 没有固定端口号 特定的组播224.0.0.6 224.0.0.7
rule 5 deny ip ospf //禁止IP层中的OSPF协议进行通信。
rule 5 deny ip ripf //禁止IP层中的rip协议进行通信。
rule 5 deny ip destination-ip 224.0.0.6 //拒绝OSPF协议中的Hello消息通过。
rule 5 deny udp destination-ip 224.0.0.9 destination-port 520//拒绝RIP协议通告基本ACL配置举例
基于源IP配置
限制ftp访问: ftp acl 2000
限制http访问: http acl acl 2000
限制tftp访问: tftp-server acl acl 2000
限制Telnet登录: [Telnet_Server] user-interface vty 0 14
[Telnet_Server-ui-vty0-14] protocol inbound telnet
[Telnet_Server-ui-vty0-14] acl 2001 inbound 高级ACL配置举例
基于五元组配置
不能ping,但能访问telnet/www/ftp
acl 3000
rule deny icmp source 192.168.1.3 0 destination 192.168.3.1 0
rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 23/80/21ACL配置练习题
练习题
http://t.csdn.cn/l2keE练习题前缀列表能够同时匹配IP地址前缀以及掩码长度,列表默认动作为拒绝。ACL访问控制列表,即用于流量的匹配与控制,但也能够用于匹配路由条目。而前缀列表主要用于路由的匹配,所以前缀列表在匹配路由上远胜于ACL。路由策略,即对路由相关属性进行修改。而对于另一种技术:策略路由,即作用是直接控制路由。export:应用于本身路由器,对传递出去的路由进行过滤。import:应用于本身路由器,对接收到的路由进行过滤。关于export方向,只能在ASBR设备上应用过滤5类的路由条目。关于import方向,可以应用在任何路https://blog.csdn.net/qq_45443704/article/details/128789435