ACL介绍及其相关配置

admin管理员组

文章数量:1537883

一、ACL介绍

1、ACL作用

ACL称为访问控制列表

作用：

1. 在流量转发的接口限制流量的进或出
2. 为其他策略定义感兴趣流量；

当数据包流量经过路由器接口进或出时，ACL可以匹配流量产生动作 --- 允许 拒绝

匹配规则：自上而下逐一匹配，上条匹配按上条执行，不再查看下一条；

cisco系在表格末尾隐含拒绝所有；   华为系在表格末尾隐含允许所有；

2、ACL分类

分类：标准    扩展

标准 --- 仅关注数据包中的源ip地址

扩展 --- 关注数据包中的源、目标ip地址 还可以关注目标端口号或协议

3、ACL配置命令

配置命令：

【1】标准ACL  --- 由于标准ACL仅关注数据包中源ip地址，故调用时，应该尽量的靠近目标，以免误删流量

编号2000-2999均为标准列表  一台设备上可以创建多张表格，但一个接口的一个方向上只能调用一张表格

[R2]acl 2000   

[R2-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0                   

[R2-acl-basic-2000]rule  permit source 192.168.2.0 0.0.0.255

[R2-acl-basic-2000]rule  deny source any  

在编辑ACL规则时，需要清楚定义动作--允许或拒绝使用通配符精确设计范围

默认以5为步调，自动添加序号，便于插入和删除

[R2-acl-basic-2000]rule 7 permit source 192.168.1.2 0.0.0.0

[R2-acl-basic-2000]undo rule 10

规则编写完成后，必须在接口调用后方可生效；

[R2]interface g0/0/1

[R2-GigabitEthernet0/0/1]traffic-filter ?    //调用时一定注意方向

  inbound   Apply ACL to the inbound direction of the interface
//入口

  outbound  Apply ACL to the outbound direction of the interface
//出口

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

【2】扩展ACL  --- 由于扩展ACL精确匹配流量源、目地址，故调用时尽量靠近源头，避免资源浪费；

1. 关注数据包中的源、目标ip地址；

[R1]acl 3000

[R1-acl-adv-3000]rule  deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

                               //源ip地址                          //目标地址

源、目ip地址均使用使用通配符标定范围，或any代表所有；切记表格调用到接口方可生效；

1. 关注数据包中的源、目标ip地址，以及目标端口号；

[r1]acl 3000

[r1-acl-adv-3000]rule deny tcp source 192.168.1.2 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

以上规则拒绝了192.168.1.2 对192.168.2.2 的tcp下目标端口23访问-- 拒绝telnet

[r1-acl-adv-3001]rule  deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.2.2 0.0.0.0

拒绝192.168.1.2 对192.168.2.2的ICMP访问--拒绝pin

4、Telent远程登陆

Telnet 远程登录   基于TCP的23号端口进行访问；  要求登录与被动设备可达，其次被登录设备开启了远程登录的服务

在被登录设备上预设登录的账号及密码

[R1]aaa

[R1-aaa]local-user panxi privilege level 15 password cipher 123456

[R1-aaa]local-user panxi service-type telnet



[R1]user-interface vty 0 4  //虚拟登录接口调用

[R1-ui-vty0-4]authentication-mode aaa

二、ACL实例配置

1、实验目标和要求

注：由于eNSP中PC机无远程登陆命令，故用路由器替代PC机

2、实验过程

（1）配置ip地址

（2）创建Telnet账号

首先实现R1与R2创建Telnet，使PC可登录

[r1]aaa	
[r1-aaa]local-user r1 privilege level 15 password cipher 123456
//在r1上创建用户名为r1，密码为123456的账户

[r1-aaa]local-user r1 service-type telnet 

[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa

[r2]aaa	
[r2-aaa]local-user r2 privilege level 15 password cipher 666666
//在r1上创建用户名为r2，密码为666666的账户

[r2-aaa]local-user r1 service-type telnet 

[r2]user-interface vty 0 4
[r2-ui-vty0-4]authentication-mode aaa

登录界面

 （3）添加ACL规则

 所有要求均在R1的0/0/0端口上完成：

[r1-acl-adv-3000]rule deny icmp source 192.168.1.2 0 destination 192.168.1.1 0
[r1-acl-adv-3000]rule deny icmp source 192.168.1.2 0 destination 192.168.2.1 0


[r1-acl-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.2.2 0 de
stination-port eq 23	


[r1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.1.1 0 de
stination-port  eq 23
[r1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.2.1 0 de
stination-port eq 23


[r1-acl-adv-3000]rule deny icmp source 192.168.1.3 0 destination 192.168.2.2 0

 （4）接口调用

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

（5）验证

3、实验总结

1. 意识到全意识的重要性：ACL实验涉及到对计算机资源访问权限的控制，这也在提醒我们要时刻保持警惕，意识到安全意识的重要性。

2. 掌握ACL配置的基本原理和方法：ACL实验让我初步了解了如何配置ACL。

3. 实践动手的重要性：在实验过程中，通过实际操作，更好地对ACL有了刻的认识。 

本文标签： 及其相关ACL