赞
踩
**ACL,是Access Control List的简写,中文名称叫做“访问控制列表”。**它是由一系列条件规则(即描述报文匹配条件的判断语句)组成, 这些条件规则可以是报文的源地址、目的地址、端口号等,是一种应用在网络设备各种软硬接口上的的指令列表。
acl访问控制列表:
acl访问控制列表主要分为3类:
1、基本访问控制列表(2000-2999)只能针对source ip地址进行限制
2、告警访问控制列表(3000-3999)可以针对源ip、目的ip、源端口、目的端口进行限制
3、二层访问控制列表(4000-4999)可以针对二层数据帧进行控制。
本文主要进行基本访问控制列表及告警访问控制列表的实验。
二、实验要求
R1为部门1网关
R2为部门2网关
R3为去往总部出口网关设备
R4为总部核心路由器
要求只有R1能方位R4,其他设备均不能访问
三、基本配置
进行基础ospf配置
四、ACL配置
先配置telnet:
R4:user-interface vty 0 4
R4:authentication-mode password
please~~~:huawei
再配置acl:
R4:acl 2000 //基本的acl为2000到2999
R4:rule 5 permit source 1.1.1.1 0 //允许1.1.1.1的数据报文通过
acl配置完成后,需要在vty中调用使用inbound(由低安全区到高安全区)参数
R4:user-interface vty 0 4
R4:acl 2000 inbound
在R1上进行telnet -a 1.1.1.1 4.4.4.4 可以连通
在R2上进行telnet 4.4.4.4 无法访问4.4.4.4
实验结果表明acl已经完全生效
五、高级访问控制列表配置
基本acl只能用于匹配ip地址,实际应用中往往需要针对数据包的其他参数进行匹配,例如目的ip地址,协议号、端口号等,所以基本acl由于匹配的局限性无法实现更多的功能。
高级acl编号范围为:3000~3999
六、高级ACL配置
先配置telnet:
R4:user-interface vty 0 4
R4:authentication-mode password
please~~~:huawei
再配置acl:
R4:acl 3000 //基本的acl为2000到2999
R4:rule 5 permit ip source 1.1.1.1 0 destination 4.4.4.4 0 //允许源地址为1.1.1.1的访问4.4.4.4
acl配置完成后,需要在vty中调用使用inbound(由低安全区到高安全区)参数
R4:user-interface vty 0 4
R4:acl 3000 inbound
测试:
R1:telent -a 1.1.1.1 40.40.40.40
无法访问
作者:danieldai
链接:https://www.jianshu.com/p/2e90284ec05a
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。