当前位置:首页 » 《随便一记》 » 正文

HCIA笔记-----ACL访问控制列表_野原皮皮虾的博客

5 人参与  2021年12月28日 16:32  分类 : 《随便一记》  评论

点击全文阅读



ACL 访问控制列表

功能:

1.访问限制 ----在路由器流量进或出的接口上匹配流量,之后对其进行限制

2.定义感兴趣流量

ACL 简介:

1.自上而下,逐一匹配,上条匹配按上条执行,不在查看下条

2.ACL 列表的调用分为in(先匹配ACL再查看路由)和out(先查看路由,再匹配ACL)

3.必须满足金字塔形结构

4.ACL 分为 标准 ACL 和 扩展 ACL

5.(在cisco中末尾隐含拒绝所有 ;在华为设备中若没有匹配到ACL 则执行默认处理)

ACL的分类

标准ACL : 关注 源IP 地址 ,在使用时尽量靠近目标

扩展ACL: 关注 源 IP 、 目标IP、 协议, 在使用时尽量靠近源(不能再源之上,ACL不能过滤自身产生的流 量)

ACL 部署:ACL 中匹配后缀参数为通配符 0代表固定位 1代表任意位

在这里插入图片描述
INTEGER<2000-2999>标准ACL使用的 -----一个编号是一张表

INTEGER<3000-3999> 扩展ACL使用的

在这里插入图片描述

实现:pc1不能访问pc3和pc4,pc2可以访问pc3和pc4

R1配置静态路由

[r1]int g 0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1

[r1]int g 0/0/1
[r1-GigabitEthernet0/0/1]ip add 192.168.2.1 24

[r1]ip route-stat 192.168.3.0 24 192.168.2.2 

R2配置静态路由

[r2]int g 0/0/1
[r2-GigabitEthernet0/0/1]ip add 192.168.3.1 24

[r2]int g 0/0/0
[r2-GigabitEthernet0/0/0]ip add 192.168.2.2 24

[r2]ip route-static 192.168.1.0 24 192.168.2.1

给pc配上ip和网关,使用pc1测试互通性

ping 192.168.2.2
ping 192.168.3.1
ping 192.168.3.3

在这里插入图片描述
使用pc2测试互通性

ping 192.168.3.2
ping 192.168.3.3

在这里插入图片描述
设置ACL,因为是标准ACL所以,需要尽量靠近目标,所以需要在R2路由器上配置

[r2]acl 2000   `创建编号为2000的ACL`
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 `拒绝1.2这个ip`

注:ACL使用的是通配符,OSPF使用的是反掩码;区别在于通配符可以0和1穿插,类似下面

[r2-acl-basic-2000]rule deny source 192.168.1.2 0.255.0.255

拒绝一个地址范围

[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.255

在这里插入图片描述
默认以5为步调增加需要,便于插入规则

允许192.168.1.3这个地址访问,因为是自上而下执行,所以我们需要写到rule 10 前面,要不然就会被拒绝访问

[r2-acl-basic-2000]rule 9 permit source 192.168.1.3 0

注意:ACL在定制完成后,必须到接口上进行调用才能生效工作

[r2]int GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter ?
  inbound   Apply ACL to the inbound direction of the interface     `入向`
  outbound  Apply ACL to the outbound direction of the interface    `出向`
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

规则写好了可以测试了,先使用PC1测试

在这里插入图片描述
使用PC2测试
在这里插入图片描述




在这里插入图片描述

实现:pc1不能访问pc3但是可以访问pc4,pc2可以正常访问(这个时候就必须使用扩展ACL来实现了)

我们先把刚刚我们设置的acl删除

[r2-acl-basic-2000]undo rule 5
[r2-acl-basic-2000]undo rule 9
[r2-acl-basic-2000]undo rule 10
[r2-acl-basic-2000]undo rule 15

因为是扩展ACL所以我们需要在靠近源的地方设置,所以我们需要在R1上设置,根据华为的默认特性所以我们只需要设置拒绝权限就行了

[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0 destination 192.168.3.2 0

deny:拒绝    permit:允许
ip:协议
source:源
destination:目标

在接口上调用

[r1]int g 0/0/0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

使用pc1测试
在这里插入图片描述
使用pc2测试
在这里插入图片描述

实现:设置192.168.2.1 不能ping 192.168.2.2,但是192.168.2.2可以ping 192.168.2.1

[r2]acl 3000
[r2-acl-adv-3000]rule deny icmp source 192.168.2.1 0 destination 192.168.2.2 0 i
cmp-type echo 


[r2]int GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

测试
在这里插入图片描述
在这里插入图片描述
实现:R1远程登录R2(因为华为的pc不能使用远程登录,所以用路由器测试)

telnet远程登录:基于tcp下的23号端口进行;

条件:

1.登录与登录设备间可以正常通讯

2.被登录设备开启远程登录服务

配置登录用的账号和密码

[r2]aaa
[r2-aaa]local-user ppx password cipher 123456 `账号、密码`
[r2-aaa]local-user ppx service-type telnet  `该账号的功能`

[r2-aaa]local-user ppx privilege level ?
  INTEGER<0-15>  Level value
[r2-aaa]local-user ppx privilege level 15 `设置用户具有的权限,15是最大权限`

[r2]user-interface vty 0 4 `虚拟登录接口`
[r2-ui-vty0-4]authentication-mode aaa `调用认证`

在这里插入图片描述

拒绝R1远程登录R2

[r2]acl 3000
[r2-acl-adv-3000]rule deny tcp source 192.168.2.1 0.0.0.0 destination 192.168.2.2 0 destination-port eq 23

[r2]int g 0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

在这里插入图片描述


点击全文阅读


本文链接:http://zhangshiyu.com/post/32294.html

匹配  测试  访问  
<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1