淘宝客网站怎么推广,长沙商城网站,畜牧业网站建设,旅游扁平化设计网站模板ACL访问控制列表
一、作用
访问控制 --- 在路由器流量进或出的接口上#xff0c;匹配流量产生动作---允许、拒绝定义感兴趣流量 --- 抓取流量#xff0c;之后给到其他的策略#xff0c;让其他策略进行工作#xff1b; 二、匹配规则
至上而下逐一匹配#xff0c;上条匹…ACL访问控制列表
一、作用
访问控制 --- 在路由器流量进或出的接口上匹配流量产生动作---允许、拒绝定义感兴趣流量 --- 抓取流量之后给到其他的策略让其他策略进行工作 二、匹配规则
至上而下逐一匹配上条匹配按上条执行不再查看下条cisco系默认末尾隐含拒绝所有华为系末尾隐含允许所有 三、分类
标准 --- 仅关注数据包中的源ip地址扩展 --- 关注数据包中的源、目标ip地址目标端口号或协议号 四、配置命令
1、标准列表配置
由于标准ACL仅关注数据包中的源ip地址故调用时必须尽量的靠近目标
避免对其他流量访问的误删
编号2000-2999 为标准列表编号一个编号为一张表
[r2]acl 2000
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0
[r2-acl-basic-2000]rule deny source 192.168.0.0 0.0.255.255
[r2-acl-basic-2000]rule deny source any 动作 源ip地址
源ip地址需要使用通配符来匹配范围通配符和反掩码的区别在于通配符可以0与1穿插书写
ACL定义完成后必须在接口上调用方可执行调用时一定注意方向一个接口的一个方向上只能调用一张表
[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter ? inbound Apply ACL to the inbound direction of the interface outbound Apply ACL to the outbound direction of the interface
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001 2、扩展列表配置
由于扩展ACL 源、目ip地址均关注故调用时尽量靠近源尽早处理流量
[r1]acl 3000 扩展列表编号 3000-3999
[r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.3.2 0.0.0.0 源ip地址 目标ip地址
源、目ip地址位置使用通配符0标记一个主机或使用反1标记段或使用any均可 3、使用扩展列表同时关注目标端口号
目标端口号服务端使用注明端口来确定具体的服务
ICMPV4 -- internet控制管理协议 -- ping
Telnet -- 远程登录 明文不加密 基于tcp目标端口23
条件
1、被登录设备与登录设备网络可达
2、被登录设备进行了telnet服务配置 [r1]aaa
[r1-aaa]local-user panxi privilege level 15 password cipher 123456
[r1-aaa]local-user panxi service-type telnet
创建名为panxi的账号权限最大密码123456该账号仅用于telnet 远程登录
[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa 在vty线上开启认证 [r1]acl 3001
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23 拒绝192.168.1.10 对192.168.1.1 访问时传输层协议为tcp且目标端口号为23
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0 仅拒绝192.168.1.10 对192.168.1.1的ICMP访问
