acl(access control list)就是為了控制訪問許可權,是應用在路由器介面的指令列表。
他是根據提前設定的一系列規則來控制流量的出入,通常是對第三層第四層的資料報的某些字段進行過濾,從而到達訪問控制。五個元素可以概況,源位址,目標位址,源埠,目標埠,udp或tcp。
分類和編號範圍
引數普通acl(2000-2999)
原ip位址
高階acl(3000-3999)
原/目的ip、源/目的埠、協議型別
因為acl是指定流量控制,所以在做之前了解明細的需求是非常有必要的。
乙個演示的小實驗需求:
要求pc1不能和server通訊,其它的都通。
注意出站和入站的設計哦,如果在1介面入站控制的話,那2.1都不通哦。對於基本acl,再呼叫時,盡量呼叫在距離目標較近的地方我們其實發現,對於2000-2999的基本acl,僅是匹配原目標的ip位址。匹配非常不精確。那麼對於高階acl是可以匹配唯一的資料流的。和普通acl不同,我們都建議將高階acl放在距離源較近的地方注意:wildcard:就是我們acl的ip位址後面跟著的萬用字元。一樣是32位,只要是0就檢查對應的ip位址,1就不會檢查。比如說acl拒絕10.10.10.1訪問20.20.20.0網段。那麼wildcard就是0.0.0.255acl號下,規則是按照從小到大匹配的。最開始的一條無法匹配就看下一條。設定規則時要注意避免需求混淆順序或者衝突。[r5]acl 2000 //普通acl
[r5-acl-basic-2000] rule 5 deny source 192.168.1.1 0.0.0.0 //規則5,可以插入很多規則哦。不會打問號
[r5-gigabitethernet0/0/0]traffic-filter outbound acl 2000 //進介面,出站流量過濾進入該acl規則
//這一步各個機器互相ping
[r5]display acl all //然後檢視acl
total quantity of nonempty acl number is 1
basic acl 2000, 1 rule
acl's step is 5
rule 5 deny source 192.168.1.1 0 (5 matches) //ping了5次,5次都被匹配到。成功
acl控制不能控制本裝置發出的流量。沒有人會主動把自己搞死。
acl的呼叫命令traffic-filter下,隱含著允許所有在最後,就是說如果規則匹配都沒有匹配到,那麼我就會允許你過去。而其他的情況下都是隱含著拒絕所有!
例項題目寫在了圖中。圖中的各個裝置都已經配置好。(靜態路由別忘了)
我們在全網ping通的基礎之上來分析和逐步實現需求。
1.r1只允許網管遠端登陸。
—》對r1裝置建立認證和acl:
—》驗證:[r1]acl 2000 //建立普通acl就好
[r1-acl-basic-2000]rule 5 permit source 192.168.1.1 0.0.0.0 //僅允許網管ip
[r1]user-inte***ce vty 0 4
[r1-ui-vty0-4]acl 2000 inbound //在管理配置呼叫該acl**(注意這個是在vty裡面設定,不可以在介面!)**
[r1-ui-vty0-4]authentication-mode aaa //啟用3a認證
[r1-ui-vty0-4]user privilege level 15
[r1-ui-vty0-4]aaa
[r1-aaa]local-user sean password cipher 123
[r1-aaa]local-user sean service-type telnet
網管設定可以遠端
其他裝置無法遠端
2.研發和財務不能互通
3.財務不能訪問client1[r2-acl-adv-3000]rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
[r2-acl-adv-3000]q
[r2]int g0/0/2 //進介面呼叫
[r2-gigabitethernet0/0/2]traffic-filter inbound acl 3000
[r2]dis acl all
total quantity of nonempty acl number is 1
advanced acl 3000, 1 rule
acl's step is 5
rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 (10 matches) //ping了十次都匹配了。成功
4.研發和財務只能訪問server1的www服務只有網管可以訪問server1的所有服務inte***ce gigabitethernet0/0/1
ip address 192.168.3.254 255.255.255.0
traffic-filter inbound acl 3000
#return
[r3-gigabitethernet0/0/1]q
[r3]dis acl all
total quantity of nonempty acl number is 1
advanced acl 3000, 1 rule
acl's step is 5
rule 10 deny ip source 192.168.3.1 0 destination 192.168.5.1 0
acl配置一般思路:確定配置裝置[r3]acl 3001
[r3-acl-adv-3001]rule 10 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.4.1 0 destination-port eq 80
[r3-acl-adv-3001]rule 20 permit tcp source 192.168.3.1 0.0.0.255 destination 192.168.4.1 0 destination-port eq 80
[r3-acl-adv-3001]rule 30 permit ip source 192.168.1.1 0 destination 192.168.4.1 0
[r3-acl-adv-3001]rule 40 deny ip source any destination any
[r3-acl-adv-3001]inte***ce g0/0/2
[r3-gigabitethernet0/0/2] traffic-filter outbound acl 3001
確定配置介面
確定資料風向
建立acl
呼叫acl
驗證與測試
華為ACL匹配規則
華為3com的acl一直一來都比較麻煩,不同版本 不同型號的裝置都有些不同。下面我以3900裝置為例,說明acl的配置和執行技巧。總結一句話 rule排列規則和auto config模式有關,而匹配順序則和acl應用環境和下發到埠的循序有關。規律說明 1 acl可以分為auto模式和config模式...
ensp 華為acl配置
訪問控制列表 acl 訪問控制列表 acl 是一種基於包過濾的訪問控制技術。它可以根據設定的條件對介面上的資料報進行過濾,允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機。借助於訪問控制列表可以有效地控制使用者對網路的訪問,從而最大程度地保障網路安全。acl作用 1,限制網路流量 提高...
華為6506下的ACL配置
sw6506 qosb gigabitethernet4 0 43 packet filter inbound ip 2xjdzj sw s6506 01 qosb gigabitethernet4 0 43 packet filter inbound ip group 4012 將acl應用到介面...