策略
ACL --- 访问控制列表
1.访问控制 --- 在路由器流量流入或者流出的接口上,匹配对应的流量然后执行设定的动作(permit --- 允许,deny --- 拒绝)
2.抓取感兴趣流 --- ACL可以和其他的服务配合工作,ACL仅完成匹配流量的动作,而具体的执行动作由其他服务提供
ACL的匹配规则:自上而下,逐一匹配,如果匹配上,则将执行对应的动作,不再向下匹配
思科设备:末尾隐含一条拒绝所有的规则
华为设备:末尾没有隐含规则
基础ACL列表 --- 只看源IP地址
高级ACL列表 --- 不仅关注数据包中源IP,还会关注数据包中的目标IP地址,以及协议和端口号
二层ACL
用户自定义ACL
需求一:PC1可以访问3.0网段,但是PC2不行
基础ACL的位置原则 --- 因为基础ACL仅关注源IP地址,所以,在部署时应该越靠近目标越好,避免对其他网段的访问造成误伤
1.创建ACL列表
r2acl 2000
r2-acl-basic-2000
2.在ACL列表中定义规则
r2-acl-basic-2000rule(规则) deny(拒绝) source(源IP地址) 192.168.1.20 0.0.0.0--- 通配符 --- 1代表可变,0代表不可变
r2-acl-basic-2000rule permit(允许) source any(所有)
r2display acl 2000 --- 查看ACL列表的规则
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 deny source 192.168.1.20 0
rule 10 permit
注意:华为设备默认以5为步调自动添加规则的序号,这样做可以方便插入或者删除规则
r2-acl-basic-2000rule 6 deny source 192.168.1.10 0.0.0.0 --- 自定义序号添加规则
r2-acl-basic-2000undo rule 6 --- 删除规则
3.在接口调用ACL列表
r2-GigabitEthernet0/0/1traffic-filter outbound(出接口;inbound:入接口) acl 2000
注意:一个接口的一个方向只能调用一张ACL列表
需求二:PC1只能ping通PC3,但是不能ping通PC4
r1acl name xvqiuer(自定义命名) 3000
r1-acl-adv-xvqiuer
r1-acl-adv-xvqiuerrule deny icmp(协议类型:互联网控制报文协议) source 192.168.1.10 0.0.0.0 destination(目标IP地址) 192.168.3.20 0.0.0.0
r1-GigabitEthernet0/0/0traffic-filter inbound acl name xvqiuer
需求三:PC1可以ping通R2,但是不能telnetR2
r1-acl-adv-xvqiuerrule deny tcp source 192.168.1.30 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port(目标端口号) eq 23
r1-acl-adv-xvqiuerrule deny tcp source 192.168.1.30 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port(目标端口号) eq 23