IT视界路由交换基础知识:什么是ACL?ACL如何使用?
原创ACL 简介
常用两种ACL:
1、基本ACL(2000-2999):只能匹配源IP地址。
2、高级ACL(3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段。
不常用:二层ACL(4000-4999):匹配源MAC、目标MAC、以太网帧协议类型等。
ACL的两种作用:
对数据包做访问控制。
结合其他协议用来匹配范围。
ACL对没有匹配到规则的数据包默认为放行状态。
一旦匹配到规则之后,则不再匹配剩余条目。
基本ACL---Basic ACL
例:
[sw1] acl 2000
[sw1-acl-2000] rule 5 permit source 192.168.1.1 0.0.0.0 #反掩码
rule 5 #规则编号越小越先匹配
permit #允许
deny #拒绝
[sw1] int g0/0/1
#在接口调用此ACL规则
[sw1-g0-0-1] traffic-filter [outbound | inbound] acl 2000
outbound:出方向
inbound:入方向
高级ACL
如未指定源目IP或端口即为any所有。
注意点:(基本与高级ACL)
1、如果ACL规则没有被调用在接口上,规则不会生效。
2、ACL属于三层技术,只能部署在三层设备上。ACL适合用于不同网段互访的访问控制。
3、相同VLAN相同网段的PC互访控制(这种情况不适合使用ACL),建议使用端口隔离技术。
例:
#配置高级ACL拒绝192.168.10.0网段到PC 172.16.10.2的ping包
[R1] acl 3000
[R1-acl-3000] rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0
[R1] int g0/0/1
[R1-g0-0-1] traffic-filter [outbound | inbound ] acl 3000
#只有报文为 icmp,且源地址为192.168.10.0,且目标地址是172.16.10.2,才会被拒绝,需要同时满足所有条件才会被匹配执行。
#配置拒绝源地址192.168.10.2通过telnet访问12.0.0.2
[R1] acl 3005
[R1-acl-3005] rule deny tcp source 192.168.10.2 0 destination 12.0.0.2 destination-port eq 23
#destination-port eq 23 #目标端口号等于23
#配置 仅允许1.1.1.1访问2.2.2.2,其他剩下的所有报文全部拒绝
acl 3008
rule 5 permit ip source 1.1.1.1 0 destination 2.2.2.2 0
rule 10 deny ip
#匹配rule5则1.1.1.1正常访问2.2.2.2,未匹配到rule5,则不执行rule5,继续匹配rule10 拒绝所有报文
#配置 拒绝所有人使用QQ
acl 3100
rule deny udp destination-port eq 8000
#拒绝UDP协议目标端口为8000的所有报文
#配置 仅允许12.1.1.1 远程telnet到路由器
acl 2000
rule 5 permit source 12.1.1.1 0
rule 10 deny
interface user-interface vty 0 4 #到远程虚接口下调用ACL进行控制
acl 2000 inbound
ACL-相关命令
display acl 2000 #查看ACL 2000下的配置 dis traffic-filter applied-record #查看ACL应用在哪个接口的哪个方向
豫公网安备41012202000391号