acl访问控制列表
Posted ge_bq
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了acl访问控制列表相关的知识,希望对你有一定的参考价值。
一.acl技术
ACL——访问控制列表
作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。
| 三层头部信息 | 四层头部信息 |
|---|---|
| 源、目IP | 源、目端口号TCP/UDP协议 |
访问控制列表的调用的方向:
| 入 | 出 |
|---|---|
| 流量将要进入本地路由器,将被本地路由器处理 | 已经被本地路由器处理过了,流量将离开本地路由器 |
策略做好后,在入接口调用和出接口调用的区别:
| 入接口调用 | 出接口调用 |
|---|---|
| 对本地路由器生效 | 对本地路由器不生效,流量将在数据转发过程中的下一台设备生效。 |
访问控制列表的处理原则:
1.路由条目只会被匹配一次
2.路由条目在ACL访问控制列表中匹配的顺序是从上往下四配
3.ACL访问控制列表隐含个拒绝所有
4.ACL访问控制列表至少要放行一条路由条目
访问控制列表类型:
| 标准访问控制列表 | 扩展访问控制列表 |
|---|---|
| 只能基于源IP地址进行过滤 | 可以根据源、目IP地址,TCP/UDP协议,源、目端口号进行过滤相比较标准,访问控制列表,流量控制的更加精准 |
| 标准访问控制列表的列表号是2000- 2999 | 扩展访问控制列表的列表号是3000- 3999 |
| 调用原则:靠近目标 | 调用原则:靠近源 |
二.设置简单的acl命令
标准访问控制列表
如图所示拓扑结构:要让vlan10的客户机不能访问vlan20的客户机:
设置
C1:192.168.10.10 255.255.255.0 192.168.10.1 ,划分为vlan10
C2:192.168.20.10 255.255.255.0 192.168.20.1 ,划分为vlan20
C3:192.168.10.20 255.255.255.0 192.168.10.1 ,划分为vlan10
C4:192.168.20.20 255.255.255.0 192.168.20.1 ,划分为vlan20
二层交换机SW1:
[ ]vlan batch 10 20 //创建多个vlan
[ ]int e0/0/1 //进入e0/0/1接口
[ ]port link-type access //设置接口类型
[ ]port default vlan 10 //将接口划分到VLAN10
[ ]int e0/0/2 //进入e0/0/2接口
[ ]port link-type access //设置接口类型
[ ]port default vlan 20 //将接口划分到VLAN20
[ ]int e0/0/3 //进入e0/0/3接口
[ ]port link-type access //设置接口类型
[ ]port default vlan 10 //将接口划分到VLAN10
[ ]int e0/0/4 //进入e0/0/4接口
[ ]port link-type access //设置接口类型
[ ]port default vlan 20 //将接口划分到VLAN20
[ ]int g0/0/1 //进入g0/0/1端口
[ ]port link-type trunk //设置端口类型为trunk
[ ]port trunk allow-pass vlan all //设置白名单
路由器R1上的单臂路由命令:
[ ]int g0/0/0 //进入接口g0/0/0
[ ]undo shut //开启接口
[ ]int g0/0/0.1 //进入子接口g0/0/0.1
[ ]dot1q termination vid 10 //封装方式为802.1q,g0/0/0.1划分进vlan10
[ ]ip add 192.168.10.1 24 //设置IP和掩码长度
[ ]arp broadcast enable //开启ARP广播功能
[ ]int g0/0/0.2 //进入子接口g0/0/0.2
[ ]dot1q termination vid 20 //封装方式为802.1q,g0/0/0.2划分进vlan20
[ ]ip add 192. 168. 20.1 24 //设置IP和掩码长度
[ ]arp broadcast enable //开启ARP广播功能
路由器R1标准访问控制列表:
[ ]acl 2000 //创建标准访问控制列表,列表号为2000
[ ]rule deny source 192.168.10.0 0.0.0.255 //拒绝192.168.10.0网段(子网掩码为反掩码)
[ ]rule permit source any //放行其他路由条目
[ ]int g0/0/0.2 //进入子接口g0/0/0.2
[ ]traffic-filter outbound acl 2000 //选择在出接口上调用
此时vlan10的客户机不能访问vlan20的客户机,其余都可以进行通信。
扩展访问控制列表
如图所示拓扑结构:要让客户机C1不能访问服务器S1
设置
C1:192.168.10.10 255.255.255.0 192.168.10.1 ,划分为vlan10
C2:192.168.20.10 255.255.255.0 192.168.20.1 ,划分为vlan20
C3:192.168.10.20 255.255.255.0 192.168.10.1 ,划分为vlan10
C4:192.168.20.20 255.255.255.0 192.168.20.1 ,划分为vlan20
二层交换机SW1:
[ ]vlan batch 10 20 //创建多个vlan
[ ]int e0/0/1 //进入e0/0/1接口
[ ]port link-type access //设置接口类型
[ ]port default vlan 10 //将接口划分到VLAN10
[ ]int e0/0/2 //进入e0/0/2接口
[ ]port link-type access //设置接口类型
[ ]port default vlan 20 //将接口划分到VLAN20
[ ]int e0/0/3 //进入e0/0/3接口
[ ]port link-type access //设置接口类型
[ ]port default vlan 10 //将接口划分到VLAN10
[ ]int e0/0/4 //进入e0/0/4接口
[ ]port link-type access //设置接口类型
[ ]port default vlan 20 //将接口划分到VLAN20
[ ]int g0/0/1 //进入g0/0/1端口
[ ]port link-type trunk //设置端口类型为trunk
[ ]port trunk allow-pass vlan all //设置白名单
路由器R1:
[ ]int g0/0/0 //进入接口g0/0/0
[ ]undo shut //开启接口
[ ]int g0/0/0.1 //进入子接口g0/0/0.1
[ ]dot1q termination vid 10 //封装方式为802.1q,g0/0/0.1划分进vlan10
[ ]ip add 192.168.10.1 24 //设置IP和掩码长度
[ ]arp broadcast enable //开启ARP广播功能
[ ]int g0/0/0.2 //进入子接口g0/0/0.2
[ ]dot1q termination vid 20 //封装方式为802.1q,g0/0/0.2划分进vlan20
[ ]ip add 192. 168. 20.1 24 //设置IP和掩码长度
[ ]arp broadcast enable //开启ARP广播功能
[ ]int g0/0/1 //进入接口g0/0/1
[ ]undo shut //开启接口
[ ]ip add 12.1.1.1 24 //设置IP和掩码长度
[ ]ip route-static 0.0.0.0 0 12.1.1.2 //添加默认路由目的网段0.0.0.0 ,子网掩码长度0,下一跳入接口ip12.1.1.2
路由器R2:
[ ]int g0/0/0 //进入接口g0/0/0
[ ]undo shut //开启接口
[ ]ip add 12.1.1.2 24 //设置IP和掩码长度
[ ]int g0/0/1 //进入接口g0/0/1
[ ]undo shut //开启接口
[ ]ip add 202.10.100.2 24 //设置IP和掩码长度
[ ]ip route-static 0.0.0.0 0 12.1.1.1 //添加默认路由目的网段0.0.0.0 ,子网掩码长度0,下一跳入接口ip12.1.1.1
服务器S1:
本机地址:202.10.100.100 子网掩码:255.255.255.0 网关:202.10.100.2
此时四台客户机都可以访问服务器,因此继续设置:
路由器R1:
[ ]acl 3000 //创建扩展访问控制列表,列表号为3000
[ ]rule deny tcp source 192.168.10.10 0 destination 202.10.100.100 0 destination-port eq 21 //禁止客户机C1访问FTP服务
[ ]rule permit tcp any destination any destination-port eq 21 //放行其他客户机访问FTP服务
[ ]rule permit ip source any destination any //放行其他客户机的网络流量
[ ]dis this //执行
[ ]int g0/0/0.1 //进入子接口g0/0/0.1
[ ]traffic-filter inbound acl 3000 //选择入接口上调用
此时客户机C1不能访问服务器,其他客户机可以访问服务器。
三.总结
outbound ——出接口;inbound ——入接口
默认ACL的每条语句的行号间隔5,所以可以插入语句:
[ ]rule 数字 deny source IP地址 反掩码 //拒绝某网段(子网掩码为反掩码)
以上是关于acl访问控制列表的主要内容,如果未能解决你的问题,请参考以下文章