ACL–訪問控制列表

1.訪問控制
在路由器流量流入或者流出的接口上,匹配流量,然后執行相應動作
permit允許
deny拒絕

2.抓取感興趣流

3.ACL匹配規則
自上而下逐一匹配,若匹配到了則按照對應規則執行動作,而不再向下繼續匹配

思科:ACL列表末尾隱含一條拒絕所有的規則
華為:ACL列表末尾沒有規則(有一條允許所有的規則)

4.ACL列表分類
1.基礎ACL
僅關注數據包中源IP地址
基礎ACL配置原則:ACL配置盡可能靠近目標
因為基礎ACL并不是精確匹配,僅關注源IP地址,所以建議配置在靠近
目標的地方,防止誤傷

2.高級ACL
除了關注數據包中的源IP以外,還會關注數據包中的目標IP,
以及端口號和協議

高級ACL配置原則:因為高級ACL實現精準匹配,所以不怕誤傷,則盡可能的靠近源的位置配,節省鏈路資源

3.二層ACL

4.用戶自定義ACL

需求1–PC1可以訪問3.0,PC2不能訪問
5.基礎ACL步驟
1.創建ACL列表
ACL 2000-2999 基礎ACL
ACL 3000-3999 高級ACL
ACL 4000-4999 二層ACL

2.寫規則
rule deny source 192.168.1.20 0.0.0.0--通配符
0代表不可變,1代表可變 0,1可以穿插使用3.在接口上調用規則
int g0/0/0
traffic-filter outbound acl 2000

需求2–PC1可以ping通3.10,不能ping通3.20
6.高級ACL步驟
1.創建ACL列表 可以寫名字
acl xxxx 3000

2.寫規則
rule deny ip source 192.168.1.10 0.0.0.0 destination192.168.3.20 0.0.0.0華為默認其他允許
3.在接口上調用規則
int g0/0/0
traffic-filter inbound acl name xxx 通過名字調用

需求3–要求pc1可以ping通ar2,但是不能telnet ar2
1.ar2開啟telnet
1.配置aaa
local-user huawei privilege level 15 password cipher 123456
2.在aaa里創建用戶名和密碼信息，并且定義用戶的服務類型
local-user huawei service-type telnet
3.創建VTY虛擬登錄端口
user-interface vty 0 4
4.定義認證模式
authentication-mode aaa

2.新建一個路由器代替pc使用telnet需要一條缺省指向網關telnet 192.168.2.23.創建ACL列表 可以寫名字
acl 30014.寫規則
rule deny tcp source 192.168.1.30 0.0.0.0 destination192.168.2.2 0.0.0.0 destination-port eq 23(只拒絕tcp23號端口)華為默認其他允許3.在接口上調用規則(路由器每個接口都要調用,因為每個接口都能登錄telnet)
int g0/0/0
traffic-filter inbound acl name xxx 通過名字調用undo rule x 刪除規則一個路由器的一個接口只能調用一張ACL列表
在ACL列表中,rule以5步進:方便插入規則