ACL策略Accesscontrollist,访问控制列表访问:ping通控制:允许访问?拒绝访问?列表:到底哪些名单被匹配(列出来的名
单)区分ACL:1.标准ACL:匹配源IP地址(过滤源IP)2.扩展ACL:匹配源IP、目的IP、端口号(过滤目的IP)二、配
置ACL:1.确定流量的流经路径(in,out)2.创建ACL:标准,扩展(定义ACL动作:permit,deny)3.调用ACL
:标准ACL:调用在接口上,行命令模式下(console本地管理,telnet远程管理)扩展ACL:调用在接口上,(源IP地址匹配
,ping,telnet),vty线路(telnet动作)写ACL,从上往下找,ACL语句先匹配明细后匹配大范围。标准ACL:#a
ccess-list1~99permit/denyx.x.x.xw.w.w.w(通配符掩码)扩展ACL:#access-l
ist100~199permit/deny协议(icmp/tcp/udp/ip)源IP目的IPeq端口号(具体协议)
#access-list100~199permitipanyany、、每一个ACL至少要有一条permit语句Eg:H
R(config)#access-list1deny192.168.1.00.0.0.255命令行:#access-lis
t1~99permit/denyx.x.x.xw.w.w.w(通配符掩码)HR(config)#access-list
?<1-99>IPstandardaccesslist标准ACL:编号范围1-99<100-199>IPexten
dedaccesslist扩展ACL:编号范围100-199HR(config)#access-list1?deny
SpecifypacketstorejectACL动作:拒绝、丢弃(deny)permitSpecifypacke
tstoforwardACL动作:允许、放行(permit)HR(config)#access-list1deny?A
.B.C.DAddresstomatch匹配某一个网段(x.x.x.xx.x.x.x)anyAnysourceho
st匹配所有的源IP地址(0.0.0.0255.255.255.255)hostAsinglehostaddress
匹配某一个主机IP(x.x.x.x0.0.0.0)匹配1个主机IP:192.168.1.10.0.0.0,等价于host参数匹
配所有的主机IP:0.0.0.0255.255.255.255,等价于any参数注意:HR(config)#access-lis
t1denyany每一个ACL默认隐藏语句,丢弃没有匹配到的流量HR(config)#access-list1per
mitany放行没有匹配到流量∴创建规则:每一条ACL至少要有一条permit语句,否则denyany。三、调用ACL:确定
调用在哪个接口上?调用在接口的什么方向?∴一个接口一个方向只能够调用一个ACL!!!!!HR(config)#interface
f0/1进入f0/1接口下HR(config-if)#ipaccess-group?调用ACLXXX<1-199>I
Paccesslist(standardorextended)WORDAccess-listnameHR
(config-if)#ipaccess-group1?调用ACL1ininboundpacketso
utoutboundpacketsHR(config-if)#ipaccess-group1in调用ACL在接口的i
n方向HR#showaccess-lists查看所有ACL列表,查找规则,先查找第一条,再查找第二条StandardIP
accesslist110deny192.168.1.00.0.0.255(4match(es))拒绝192.
168.1.0网段数据流量通过20permitany放行没有匹配到的数据流量验证命令:HR#showaccess-li
st[1/2/3…]查看某个ACL情况HR#showaccess-lists查看所有ACL情况,四、ACL作用:作用1
:过滤:通过过滤经过路由器的数据包来管理IP流量作用2:分类:标识流量以进行特殊处理,对流量进行分类①VPN:匹配感兴趣流量,VP
N加密传输,针对哪些流量进行加密②路由协议之间:针对协议之间的流量进行过滤。③NAT:Networkaddresstran
slation,网络地址转换,弥补IPv4地址不足问题,把私网IP地址段转换成公网IP到公网路由。附:私网IP地址段:A:10.0
.0.0~10.255.255.255B:172.16.0.0~172.31.255.255C:192.168.0.0~192.1
68.255.255五、ACL的应用:过滤允许或拒绝经过路由器的数据包允许或拒绝来自路由器或到路由器的VTY访问如果没有ACL,所
有数据包会发网网络的所有部分六、ACL:工作原理入站ACL:收到数据包——查看接口是否有ACL——permit——route出站A
CL:收到数据包——查路由表——查接口ACL——查ACL语句七、ACL组成:ACL语句当中包含多个匹配语句每一条匹配语句都有per
mit/deny的两个参数Eg:#access-list1permit/deny1.1.1.00.0.0.255#acce
ss-list2permit2.2.2.00.0.0.255HR(config)#access-list1deny1
92.168.1.00.0.0.255说明:Ospf/eigrp:192.168.1.00.0.0.255:网络号+反掩码(掩
码反过来,0是网络位,1是主机位)ACL:192.168.1.00.0.0.255:网络号+通配符掩码(0代表匹配,1代表忽略)
192.168.1.011000000.10101000.00000001.0000000000000000.0000
0000.00000000.11111111——0代表匹配,1代表忽略11000000.10101000.0000000
1.XXXXXXXX192.168.1.0/2711000000.10101000.00000001.000000000
.0.0.000111110.0.0.31192.168.1.1/32192.168.1.10.0.0.0八、扩展ACL:标
准ACL应该尽可能地接近目的地扩展ACL:应该尽可能的接近源Eg:拒绝192.168.1.0网段应该:Access-list1
deny192.168.1.00.0.0.255\\拒绝192.168.1.0不能访问,192.168.2.0,3.0不受影响
Access-list1permitany不应该:Access-list1deny192.168.0.00.0.25
5.255\\192.168.1.0,2.0.3.0。。。全都网段被匹配上。Access-list1permitany九、创
建扩展ACL:源IP,目的IP,端口号,协议Eng(config)#access-list100deny?ahp
AuthenticationHeaderProtocoleigrpCisco''sEIGRProutingprotoco
lespEncapsulationSecurityPayloadgreCisco''sGREtun
nelingicmpInternetControlMessageProtocol(ping)ipAnyInternet
Protocol(ospf,eigrp)ospfOSPFroutingprotocoltcpTransmissionC
ontrolProtocol(telnet,http)udpUserDatagramProtocol(略)封装:HTTP:
L2|IP|TCP(80)|HTTP|FCSTelnt:L2|IP|TCP(23)|Telnet|FCSICMP:L2|IP|IC
MP|FCSEg:Eng(config)#access-list100denyicmp192.168.2.100.0.0.0(源IP)host192.168.1.10(目的IP)拒绝192.168.2.10主机ping通192.168.1.10主机Eng(config)#access-list100permiticmphost192.168.2.10host192.168.1.11放行192.168.2.10主机ping通192.168.1.11 |
|
