CCNA8

其他 2020-01-25 17:39:18 阅读次数: 0
ACL

访问控制列表

  1. 访问控制- -在路由器上流量进或出的接口上规则流量
  2. 定义感兴趣流量- -为其他的策略匹配流量

访问控制: 定义ACL列表后,将列表调用到路由器的接口上,当流量通过接口时,进行匹配,匹配成功后按照设定好的动作进行处理即可- -允许或者拒绝

匹配规则: 至上而下逐一匹配,上条匹配按上条执行,不再查看下条;末尾隐含拒绝所有

分类:

  1. 标准ACL- -仅关注数据包中的源ip地址
  2. 扩展ACL- -关注数据包中的源ip、目标ip、源端口号、目标端口号、协议号

ACL写法:

  1. 编号写法: 1-99 标准 100-199 扩展 删除一条整表消失
  2. 命名写法: 一个名字一张列表 可以随意删除某条

配置:

  • 标准ACL

编号写法:
由于标准ACL仅关注数据包中的源ip地址,调用时尽量的靠近目标,避免误删除

Router(config) access-list 1 deny host 192.168.4.2      拒绝单一设备
Router(config) access-list 1 deny 192.168.4.0 0.0.0.255  拒绝范围
Router(config) access-list 1 deny any                 拒绝所有

Router(config) access-list 1 deny host 192.168.4.2
Router(config) access-list 1 permit any
Router(config) interface fastEthernet 0/0.1
Router(config-subif) ip access-group 1 out

命名写法:

Router(config) ip access-list standard a
Router(config-std-nacl) deny host 192.168.4.2
Router(config-std-nacl) permit any
Router(config-std-nacl) exit

默认+10生成序列号,便于删除和插入
Router(config) ip access-list standard a
Router(config-std-nacl) 15 deny host 1.1.1.1
Router(config-std-nacl) no 15
  • 扩展ACL
    扩展ACL关注数据包中的源、目标ip地址,故调用时应该尽量的靠近源,当然不能在源上,因为ACL不能限制本地产生的流量
r1(config) access-list 100 deny ip host 192.168.4.2 host 192.168.1.2
                                           源               目标
                           192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255 范围
r1(config) access-list 100 permit ip any any
r1(config) interface fastEthernet 0/0
r1(config-if) ip access-group 100 in

关注目标端口号

  1. ICMP- -ping 跨层封装协议,不存在端口号
  2. Telnet- -远程登录 基于TCP 目标23号端口

设备开启远程登录

r1(config) username ccna privilege 15 secret cisco123
r1(config) line vty 0 4 
r1(config-line) login local

规则一个设备到另一个设备的目标端口

r1(config) access-list 101 deny tcp host 1.1.1.1 host 2.2.2.2 eq 23  远程登录被拒绝
r1(config) access-list 101 permit ip any any

r1(config) access-list 102 deny icmp host 1.1.1.1 host 2.2.2.2  拒绝ping
r1(config) access-list 102 permit ip any any
ACL小实践

如下图
在这里插入图片描述

情景描述:
两台路由器中间的网段为192.168.1.0/24,正常情况下两台路由器是可以互通的,现要求在R1上开启Telnet,用ACL实施策略,使得R2不能Telnet登录R1并且不能ping通R1

思路:
根据情景描述,可以得到在ACL中需要使用到源ip和目标ip 所以使用的是扩展ACL,根据扩展ACL的特性:ACL不能在源上,即不能限制本地的流量。
对于R2不能ping通R1,可以在数据层面做限制,使得R1的包不能进入R2,故源ip是R1 目标ip是R2,调用在R2的F0/0的in方向
对于R2不能TelnetR1,让R2的包不能进到R1即可,故源ip是R2 目标ip是R1,调用在R1的F0/0的in方向

R1

username ccna privilege 15 secret cisco123
line vty 0 4 
login local 

access-list 100 deny tcp host 192.168.1.2 host 192.168.1.1 eq 23  
access-list 100 permit ip any any

interface F0/0
ip access-group 100 in

R2

access-list 100 deny  icmp host 192.168.1.1 host 192.168.1.2
access-list 100 permit ip any any

interface F0/0
ip access-group 100 in

在这里插入图片描述

周雄雄
发布了73 篇原创文章 · 获赞 7 · 访问量 3562
私信 关注

猜你喜欢

转载自blog.csdn.net/weixin_43801718/article/details/104037340
今日推荐
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
周排行
女程序员是这样被恶搞的
B/S 和 C/S 的优缺点
vector一直申请会怎样?
座头鲸识别比赛(Humpback Whale Identification)总结
Linux高性能服务器编程——I/O复用 select
Mysql连接数据库(当包使用)
通过URI获取的文件路径为null的解决方法
1022-Primes on Interval(素数筛选+二分查找) ZCMU
Python出现: TypeError: expected string or buffer
bzoj2434: [Noi2011]阿狸的打字机 ac自动机+树状数组
每日归档
更多
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022