訪問控制列表
訪問控制列表和可以定義一系列不同的規則,設備根據這些跪着對數據包進行分類,針對不同類型的報文進行不同的處理,
從而實現對網絡訪問行爲的控制、限制網絡流量、提高網絡性能、防止網絡攻擊等等。
ACL 應用場景:
ACL可以通過定義規則來允許或拒絕流量的通過
ACL可以根據需求來定義過濾的條件以及匹配條件後所執行的動作
ACL分類
基本ACL 2000-2999 源IP地址
高級ACL 3000-3999 源IP地址、目的IP地址、源端口、目的端口等
二層ACL 4000-4999 源MAC地址、目的MAC地址、以太幀協議類型
ACL 規則
每個ACL可以包含多個規則,RTA根據規則來對數據流量進行過濾。
一個ACL可以有多條"deny|permit" 語句組成,每條語句描述了一條規則。
ACL中定義的規則可能存在重複或矛盾的地方,規則的匹配順序決定了規則的優先級,ACL通過設置規則的優先級來處理規則之間重複或矛盾的情形。
匹配順序有兩種:配置排序和自動排序
#客戶端的192.168.1.10 gw=192.168.1.254,192.168.2.10 gw=192.168.2.254
#客戶端的172.16.1.11,172.16.1.12 gw=172.16.1.254
#AR1
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
#
interface GigabitEthernet0/0/0
ip address 192.168.2.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 172.16.10.1 255.255.255.0
#set默認路由
ip route-static 0.0.0.0 0.0.0.0 172.16.10.2
#AR2
interface GigabitEthernet0/0/0
ip address 172.16.10.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 172.16.1.254 255.255.255.0
#set默認路由
ip route-static 0.0.0.0 0.0.0.0 172.16.10.1
三P原則
在路由器上應用ACL時,可以爲每種協議(Per Protocol)、每個方向(Per Direction)
和每個接口(Per Interface)配置一個ACL,一般稱爲“3P原則”。
(1)一個ACL只能基於一種協議,因此每種協議都需要配置單獨的ACL。
(2)經過路由器接口的數據有進(ln)和出(Out)兩個方向,因此在接口上配置訪問控制列表也有進(In)和出(Out)兩個方向。每個接口可以配置進方向的ACL,也可以配置出方向的ACL,或者兩者都配置,但是一個ACL只能控制一個方向。
(3)一個ACL只能控制一個接口上的數據流量,無法同時控制多個接口上的數據流量。
##基礎訪問列表配置
1.禁止192.168.1.0 訪問172.16.1.0
##在AR2上配置
acl number 2000
rule 5 deny source 192.168.1.0 0.0.0.255
##進入接口
interface GigabitEthernet0/0/1
traffic-filter outbound acl 2000
#查看配置
[AR2]display traffic-filter applied-record
-----------------------------------------------------------
Interface Direction AppliedRecord
-----------------------------------------------------------
GigabitEthernet0/0/1 outbound acl 2000
-----------------------------------------------------------
[AR2]disp acl all
Total quantity of nonempty ACL number is 1
Basic ACL 2000, 1 rule
Acls step is 5
rule 5 deny source 192.168.1.0 0.0.0.255 (18 matches)
##測試無法ping通
##高級ACL配置
[AR2]display traffic-filter applied-record
-----------------------------------------------------------
Interface Direction AppliedRecord
-----------------------------------------------------------
GigabitEthernet0/0/1 outbound acl 3000
-----------------------------------------------------------
[AR2]dis acl all
Total quantity of nonempty ACL number is 2
Basic ACL 2000, 1 rule
Acls step is 5
rule 5 deny source 192.168.1.0 0.0.0.255
Advanced ACL 3000, 3 rules
Acls step is 5
rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.1.11 0 destinat
ion-port eq telnet
## 0.0.0.255 是255臺機器,0 是一臺機器
rule 10 deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.1.12 0
rule 15 permit ip (93 matches)
[AR2]
ACL應用-NAT
要求:
通過ACL實現主機A和主機B分別使用不同的公網地址池來進行NAT轉換。
Enter system view, return user view with Ctrl+Z.
[AR2]acl 2001
[AR2-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255
[AR2-acl-basic-2001]acl 2002
[AR2-acl-basic-2002]rule permit source 192.168.2.0 0.0.0.255
[AR2-acl-basic-2002]q
[AR2]nat address-group 1 202.110.10.8 202.110.10.15
[AR2]nat address-group 2 202.115.60.2 202.115.60.16
[AR2]inter g 0/0/1
[AR2-GigabitEthernet0/0/1]di th
[V200R003C00]
#
interface GigabitEthernet0/0/1
ip address 172.16.1.254 255.255.255.0
#
return
[AR2-GigabitEthernet0/0/1]nat outbound 2001 address-group 1
[AR2-GigabitEthernet0/0/1]nat outbound 2002 address-group 2
[AR2-GigabitEthernet0/0/1]