访问控制列表
访问控制列表和可以定义一系列不同的规则,设备根据这些跪着对数据包进行分类,针对不同类型的报文进行不同的处理, 从而实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
ACL 应用场景: ACL可以通过定义规则来允许或拒绝流量的通过 ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作
ACL分类 基本ACL 2000-2999 源IP地址 高级ACL 3000-3999 源IP地址、目的IP地址、源端口、目的端口等 二层ACL 4000-4999 源MAC地址、目的MAC地址、以太帧协议类型
ACL 规则
每个ACL可以包含多个规则,RTA根据规则来对数据流量进行过滤。 一个ACL可以有多条"deny|permit" 语句组成,每条语句描述了一条规则。 ACL中定义的规则可能存在重复或矛盾的地方,规则的匹配顺序决定了规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形。
匹配顺序有两种:配置排序和自动排序
#客户端的192.168.1.10 gw=192.168.1.254,192.168.2.10 gw=192.168.2.254 #客户端的172.16.1.11,172.16.1.12 gw=172.16.1.254#AR1 interface GigabitEthernet0/0/0 ip address 192.168.1.254 255.255.255.0 # interface GigabitEthernet0/0/0 ip address 192.168.2.254 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 172.16.10.1 255.255.255.0 #set默认路由 ip route-static 0.0.0.0 0.0.0.0 172.16.10.2 #AR2 interface GigabitEthernet0/0/0 ip address 172.16.10.2 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 172.16.1.254 255.255.255.0 #set默认路由 ip route-static 0.0.0.0 0.0.0.0 172.16.10.1
三P原则
在路由器上应用ACL时,可以为每种协议(Per Protocol)、每个方向(Per Direction)
和每个接口(Per Interface)配置一个ACL,一般称为“3P原则”。
(1)一个ACL只能基于一种协议,因此每种协议都需要配置单独的ACL。
(2)经过路由器接口的数据有进(ln)和出(Out)两个方向,因此在接口上配置访问控制列表也有进(In)和出(Out)两个方向。每个接口可以配置进方向的ACL,也可以配置出方向的ACL,或者两者都配置,但是一个ACL只能控制一个方向。
(3)一个ACL只能控制一个接口上的数据流量,无法同时控制多个接口上的数据流量。
##基础访问列表配置 1.禁止192.168.1.0 访问172.16.1.0 ##在AR2上配置
acl number 2000 rule 5 deny source 192.168.1.0 0.0.0.255 ##进入接口 interface GigabitEthernet0/0/1 traffic-filter outbound acl 2000 #查看配置 [AR2]display traffic-filter applied-record ----------------------------------------------------------- Interface Direction AppliedRecord ----------------------------------------------------------- GigabitEthernet0/0/1 outbound acl 2000 ----------------------------------------------------------- [AR2]disp acl all Total quantity of nonempty ACL number is 1 Basic ACL 2000, 1 rule Acls step is 5 rule 5 deny source 192.168.1.0 0.0.0.255 (18 matches) ##测试无法ping通##高级ACL配置
[AR2]display traffic-filter applied-record ----------------------------------------------------------- Interface Direction AppliedRecord ----------------------------------------------------------- GigabitEthernet0/0/1 outbound acl 3000 ----------------------------------------------------------- [AR2]dis acl all Total quantity of nonempty ACL number is 2 Basic ACL 2000, 1 rule Acls step is 5 rule 5 deny source 192.168.1.0 0.0.0.255 Advanced ACL 3000, 3 rules Acls step is 5 rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.1.11 0 destinat ion-port eq telnet ## 0.0.0.255 是255台机器,0 是一台机器 rule 10 deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.1.12 0 rule 15 permit ip (93 matches) [AR2]
ACL应用-NAT
要求: 通过ACL实现主机A和主机B分别使用不同的公网地址池来进行NAT转换。
Enter system view, return user view with Ctrl+Z. [AR2]acl 2001 [AR2-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 [AR2-acl-basic-2001]acl 2002 [AR2-acl-basic-2002]rule permit source 192.168.2.0 0.0.0.255 [AR2-acl-basic-2002]q [AR2]nat address-group 1 202.110.10.8 202.110.10.15 [AR2]nat address-group 2 202.115.60.2 202.115.60.16 [AR2]inter g 0/0/1 [AR2-GigabitEthernet0/0/1]di th [V200R003C00] # interface GigabitEthernet0/0/1 ip address 172.16.1.254 255.255.255.0 # return [AR2-GigabitEthernet0/0/1]nat outbound 2001 address-group 1 [AR2-GigabitEthernet0/0/1]nat outbound 2002 address-group 2 [AR2-GigabitEthernet0/0/1]
