ACL访问控制列表
ACL简介
ACL(access control list) 访问控制列表,用于数据包的访问控制
ACL分为两种
基本ACL(2000-2999): 只能匹配源IP地址
高级ACL(3000-3999): 可以匹配源IP,目标IP,源端口,目标端口等三层和四层的字段.
一个接口的同一个方向,只能调用一个ACL
一个acl里面可以有多个rule规则,并且是从上往下一次执行
数据包一旦呗某个rule匹配就不会在往下匹配了
用来做数据包访问控制时,默认放过所有(华为默认允许,思科默认拒绝)
ACL两个作用:
- 用来对数据包做访问控制
- 用来匹配范围
基本ACL(basic acl)
基本ACL用法,拓扑实验
下载 拓扑图: 点我下载
基础配置
R1:
[Huawei] un in en
[Huawei] interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 192.168.10.254 255.255.255.0
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] ip address 12.1.1.1 255.255.255.0
静态路由:
[Huawei] ip route-static 172.16.10.0 255.255.255.0 12.1.1.2 【到达172.16.10.0的路由】
R2:
[Huawei] un in en
[Huawei] interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 12.1.1.2 255.255.255.0
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] ip address 172.16.10.254 255.255.255.0
静态路由:
[Huawei] ip route-static 192.168.10.0 255.255.255.0 12.1.1.1 【到达192.168.10.0的路由】
Client1配置:
PC1配置:
PC2配置:
server1配置:
测试:
Client1来ping 172.16.10.1
结果: 成功
PC2来ping PC2 172.16.10.1
网络访问正常。开始做ACL实验
基本ACL
-
基本ACL
基本ACL的范围(2000-2999)
基本ACL只能匹配数据包的源地址
需求实验
在R2上配置基本ACL 拒绝PC1访问172.16.10.0网段[基本ACL]
默认情况是否可以访问172.16.10.0?
默认是可以访问的,现在通过 基本ACL 来阻止访问
R2路由器启用ACL来阻止PC1访问PC2
[Huawei] acl 2000 [Huawei-acl-basic-2000] rule 5 deny source 192.168.10.1 0 [精确匹配PC1的地址让其拒绝访问] [Huawei-acl-basic-2000] dis this ##检查 [V200R003C00] # acl number 2000 rule 5 deny source 192.168.10.1 0 # return 进入接口应用2000 这条ACL语句 [Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ##应用在了出方向,当包
rule规则分别是 以 5 10 15 这样5条的递增
多条规则的时候分别是以上往下执行的
测试:
关掉策略载测试:
[Huawei-GigabitEthernet0/0/1]undo traffic-filter outbound
这样可以看到一条ACL语句就成功配置生效了
高级ACL
-
高级ACL
高级ACL(3000-3999) 可以匹配源IP 目标IP 源端口 目标端口等三层和四层的字段
高级ACL实验2: 在R2上配置高级ACL拒绝PC1和PC2ping server1 ,但是允许http访问server1
ACL:
[Huawei-acl-adv-3000]rule deny ? 【高级ACL能够识别的协议】 <1-255> Protocol number gre GRE tunneling(47) icmp Internet Control Message Protocol(1) igmp Internet Group Management Protocol(2) ip Any IP protocol ipinip IP in IP tunneling(4) ospf OSPF routing protocol(89) tcp Transmission Control Protocol (6) udp User Datagram Protocol (17)
写法:
[Huawei]acl 3000
[Huawei-acl-adv-3000] rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0
调用到接口:
[Huawei] int g0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000
测试:
ACL用于telnet
禁止被192.168.10.2 telnet 到172.16.10.1 这台机器
写法:
rule 5 deny tcp source 192.168.10.2 0 destination 172.16.10 .2 0 destination-port eq telnet
调用:
[Huawei] int g0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000
ACL允许源地址1.1.1.1 访问2.2.2.2 其他剩下的报文全部拒绝
acl 3008
rule permit ip source 1.1.1.1 0 destination 2.2.2.0 0 #允许访问2.2.2.2的配置
rule deny ip source any
调用:
[Huawei] int g0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000
拒绝源地址1.1.1.1 在周一到周五 8:00 - 12:00 和 14:00-20:00 看网页,但允许上QQ
写法:
- 首先设置时间段
[Huawei] time-range zaoban 08:00 to 12:00 working-day
[Huawei] time-range zaoban 14:00 to 20:00 working-day
检查一下:
[Huawei]display time-range zaoban Current time is 18:19:29 6-5-2019 Wednesday Time-range : zaoban ( Active ) 14:00 to 20:00 working-day 08:00 to 12:00 working-day
- 规则配置:
acl 3100 rule 5 deny tcp source 1.1.1.1 0 destination any destination-port eq 80 time-range zaoban
应用到接口:
[Huawei] int g0/0/1 [Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3100
因为QQ本来就允许,所以不用写,如果禁用了可以加一条,这样就做到了 上班时间段可以上网不可以上QQ
非上班时间可以上网
拒绝任何人上QQ 不允许上QQ
QQ端口为UDP8000 端口
制定规则: acl number 3101 rule 5 deny udp destination-port eq 8000 调用规则在接口: [Huawei] int g0/0/1 [Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3100
ACL用于控制telnet
控制办法1 调用在vty接口
1. 第一步 开启AAA
<Huawei>sys
[Huawei]aaa ##进入aaa配置
[Huawei-aaa] local-user aa privilege level 3 password cipher aa ##创建aa用户 密码 aa
[Huawei-aaa] local-user aa service-type telnet ##应用于telnet
[Huawei]user-interface vty 0 4 ##进入vty接口
[Huawei-ui-vty0-4]authentication-mode aaa ##将aaa应用到vty接口
控制测试:
<Huawei>telnet
<Huawei>telnet 12.1.1.1
Press CTRL_] to quit telnet mode
Trying 12.1.1.1 ...
Connected to 12.1.1.1 ...
Login authentication
Username:aa
Password:
<Huawei>
截图:
控制办法2 只允许指定IP telnet
R2:
[Huawei]acl 2012
[Huawei-acl-basic-2012]rule permit source 12.1.1.1 0
[Huawei-acl-basic-2012]rule deny
调用acl:
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]acl 2012 inbound
创建用户测试:
[Huawei]aaa
[Huawei-aaa]local-user aa privilege level 3 password cipher aa
[Huawei-aaa]local-user aa service-type telnet
开启设备远程认证:
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode aaa
R1测试:
正确IP用户访问:
把IP更改后telnet访问:
[Huawei-GigabitEthernet0/0/1]undo ip add [Huawei-GigabitEthernet0/0/1]ip add 12.1.1.10 24 [Huawei-GigabitEthernet0/0/1]quit
telnet 12.1.1.2 Press CTRL_] to quit telnet mode Trying 12.1.1.2 ... Error: Can't connect to the remote host #这是根据IP地址来的 所以更改了IP 将无法连接
tips
ACL注意事项
注1: 一个接口的同一个方向只能调用一个acl规则
注2:一个acl里面可以有多个rule规则,他们都是从上往下依次匹配执行,一旦命中,不会再次匹配
注3: 切记 著举报一旦被一个rule规则匹配,就不会再往下匹配
注4: 用来做数据包访问控制的时候,默认允许所有[华为设备,思科设备是默认拒绝所有]
ACL例子:
acl 3100
deny ip source 1.1.1.1 0
per ip eource 1.1.1.1 0
deny ip source 1.1.1.1 0
per ip source anay
这条ACL 如果匹配的是 1.1.1.0 会直接呗拒绝掉。因为它已经匹配了第一条
考试题:
正确答案为 B


发表评论