目录
ACL访问控制列表
ACL分类:
ACL的工作原理:
ACL的组成:
规则编号:
通配符
ACL的匹配机制
ACL的匹配位置
基本ACL的部署与配置
基本ACL的配置命令
基本ACL案列
高级ACL
高级ACL的创建命令
高级ACL案例
ACL访问控制列表
ACL分类:
基本ACL(2000-2999):值抓取源IP
高级ACL(3000-3999):可以匹配源目IP,IP协议类型,ICMP类型,TCP源/目的端口号,UDP源/目的端口号,生效时间等。
ACL的工作原理:
ACL的组成:
ACL是由若干歌permit 和 deny 语句组成,每条语句对应一条规则,每个规则有有一个规则号,不同的规则对应不同的动作。
规则编号:
对于每一条规则都有一个规则编号,相邻规则之间需要设置规则一定的步长,用来后续在这些规则之间添加其他的规则。
通配符
每条规则后面都有一个通配符,0表示严格匹配,1表示任意匹配,如10.1.1.0 通配符是0.0.0.255,则这条队则的前24位严格匹配,必需和10.1.1完全匹配。
ACL的匹配机制
ACL的匹配位置
ACL处理时处理的是数据,而数据是由方向的,所有ACL也是有方向的,在inbound方向,ACL运行或者拒绝进入,在outbound方向,ACL允许拒绝出去。
基本ACL的部署与配置
基本ACL的匹配特点:只能匹配数据包中的IP地址。
基本ACL的匹配位置:基本ACL只能对IP地址做控制,所以基本ACL的匹配位置应该在距离目标IP最近的位置。
基本ACL的配置命令
1,创建ACL
acl acl号 //基本ACl范围2000-29992,配置ACL规则
rule 规则号 [premit | deny] source IP地址基本ACL案列
网络拓扑:
1,配置IP地址
在交换上上创建vlan
vlan batch 10 20 30
inter gi0/0/1
port link-type access
port default vlan 10
quit
inter gi0/0/2
port link-type access
port default vlan 20
quit
inter gi0/0/3
port link-type access
port default vlan 30
quit
配置vlan的网关
interface vlanif 10
ip address 192.168.1.254
quit
interface vlanif 20
ip address 192.168.2.254
quit
interface vlanif 30
ip address 192.168.3.2
quit服务器配置网关和Ip地址
配置路由器接口的IP地址
inter gi0/0/0
ip address 192.168.3.1
quit
inter gi0/0/1
ip address 10.1.1.2
quit在交换机上配置到路由器的静态路由
ip route-static 0.0.0.0 0 192.168.3.1在路由器配置到交换机的静态路由
ip route-static 192.168.0.0 16 10.1.1.1在路由器的上配置ACL
acl 2000
rule 10 deny source 192.168.1.0 0.0.0.255
rule 20 permit source any
quit在PC1到服务器方向上,路由器的入接口启动ACL
inter gi0/0/0
traffic-filter inbound acl 2000
quit高级ACL
高级ACL匹配数据包:可以匹配源目IP,IP协议类型,ICMP类型,TCP源/目的端口号,UDP源/目的端口号,生效时间等。
高级ACL的调用位置
建议在距离源设备近的接口上,可以将不符合规则的数据过滤掉
高级ACL的创建命令
acl acl号 //3000~3999范围内的
acl name aclname 配置规则
高级ACL案例
网络拓扑:
1, 在路由器的接口1和2上配置网关
inter gi0/0/1
ip address 10.1.1.1 24
quit
inter gi0/0/2
ip address 10.1.2.1 24
quit2,创建高级ACL
acl 3001
rule 10 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
rule 15 deny ip source any destination any
acl 3002
rule 10 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
rule 15 deny ip source any destination any3,在靠近源主机的一段做ALC
inter gi0/0/1
traffic-filter acl 3001
quit
inter gi0/0/2
traffic-filter acl 3002
quit4,此时主机12之间无法进行通信
