HCIA笔记-----ACL访问控制列表_野原皮皮虾的博客

ACL 访问控制列表

功能：

1.访问限制 ----在路由器流量进或出的接口上匹配流量，之后对其进行限制

2.定义感兴趣流量

ACL 简介:

1.自上而下，逐一匹配，上条匹配按上条执行，不在查看下条

2.ACL 列表的调用分为in（先匹配ACL再查看路由）和out（先查看路由，再匹配ACL）

3.必须满足金字塔形结构

4.ACL 分为标准 ACL 和扩展 ACL

5.（在cisco中末尾隐含拒绝所有；在华为设备中若没有匹配到ACL 则执行默认处理）

ACL的分类

标准ACL ：关注源IP 地址，在使用时尽量靠近目标

扩展ACL：关注源 IP 、目标IP、协议，在使用时尽量靠近源（不能再源之上，ACL不能过滤自身产生的流量）

ACL 部署：ACL 中匹配后缀参数为通配符 0代表固定位 1代表任意位

在这里插入图片描述
INTEGER<2000-2999>标准ACL使用的 -----一个编号是一张表

INTEGER<3000-3999> 扩展ACL使用的

在这里插入图片描述

实现：pc1不能访问pc3和pc4，pc2可以访问pc3和pc4

R1配置静态路由

[r1]int g 0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1

[r1]int g 0/0/1
[r1-GigabitEthernet0/0/1]ip add 192.168.2.1 24

[r1]ip route-stat 192.168.3.0 24 192.168.2.2

R2配置静态路由

[r2]int g 0/0/1
[r2-GigabitEthernet0/0/1]ip add 192.168.3.1 24

[r2]int g 0/0/0
[r2-GigabitEthernet0/0/0]ip add 192.168.2.2 24

[r2]ip route-static 192.168.1.0 24 192.168.2.1

给pc配上ip和网关,使用pc1测试互通性

ping 192.168.2.2
ping 192.168.3.1
ping 192.168.3.3

在这里插入图片描述
使用pc2测试互通性

ping 192.168.3.2
ping 192.168.3.3

在这里插入图片描述
设置ACL,因为是标准ACL所以，需要尽量靠近目标，所以需要在R2路由器上配置

[r2]acl 2000   `创建编号为2000的ACL`
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 `拒绝1.2这个ip`

注：ACL使用的是通配符，OSPF使用的是反掩码；区别在于通配符可以0和1穿插,类似下面

[r2-acl-basic-2000]rule deny source 192.168.1.2 0.255.0.255

拒绝一个地址范围

[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.255

在这里插入图片描述
默认以5为步调增加需要，便于插入规则

允许192.168.1.3这个地址访问，因为是自上而下执行，所以我们需要写到rule 10 前面，要不然就会被拒绝访问

[r2-acl-basic-2000]rule 9 permit source 192.168.1.3 0

注意：ACL在定制完成后，必须到接口上进行调用才能生效工作

[r2]int GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter ?
  inbound   Apply ACL to the inbound direction of the interface     `入向`
  outbound  Apply ACL to the outbound direction of the interface    `出向`
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

规则写好了可以测试了，先使用PC1测试

在这里插入图片描述
使用PC2测试

在这里插入图片描述

实现：pc1不能访问pc3但是可以访问pc4，pc2可以正常访问(这个时候就必须使用扩展ACL来实现了)

我们先把刚刚我们设置的acl删除

[r2-acl-basic-2000]undo rule 5 [r2-acl-basic-2000]undo rule 9 [r2-acl-basic-2000]undo rule 10 [r2-acl-basic-2000]undo rule 15

因为是扩展ACL所以我们需要在靠近源的地方设置，所以我们需要在R1上设置,根据华为的默认特性所以我们只需要设置拒绝权限就行了

[r1]acl 3000 [r1-acl-adv-3000]rule deny ip source 192.168.1.2 0 destination 192.168.3.2 0 deny：拒绝 permit：允许 ip：协议 source：源 destination：目标

在接口上调用

[r1]int g 0/0/0 [r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

使用pc1测试

使用pc2测试

实现：设置192.168.2.1 不能ping 192.168.2.2,但是192.168.2.2可以ping 192.168.2.1

[r2]acl 3000 [r2-acl-adv-3000]rule deny icmp source 192.168.2.1 0 destination 192.168.2.2 0 i cmp-type echo [r2]int GigabitEthernet 0/0/0 [r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

测试

实现：R1远程登录R2（因为华为的pc不能使用远程登录，所以用路由器测试）

telnet远程登录：基于tcp下的23号端口进行；

条件：

1.登录与登录设备间可以正常通讯

2.被登录设备开启远程登录服务

配置登录用的账号和密码

[r2]aaa [r2-aaa]local-user ppx password cipher 123456 `账号、密码` [r2-aaa]local-user ppx service-type telnet `该账号的功能` [r2-aaa]local-user ppx privilege level ? INTEGER<0-15> Level value [r2-aaa]local-user ppx privilege level 15 `设置用户具有的权限，15是最大权限` [r2]user-interface vty 0 4 `虚拟登录接口` [r2-ui-vty0-4]authentication-mode aaa `调用认证`

拒绝R1远程登录R2

[r2]acl 3000 [r2-acl-adv-3000]rule deny tcp source 192.168.2.1 0.0.0.0 destination 192.168.2.2 0 destination-port eq 23 [r2]int g 0/0/0 [r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000