- 1Connection refused: connect问题解决方案集合_connection_refused
- 2C语言 春天是鲜花的季节,水仙花就是其中最迷人的代表,数学上有个水仙花数,他是这样定义的:“水仙花数”是指一个三位数,它的各位数字的立方和等于其本身,比如:153=1^3+5^3+3^3。现在_春天是鲜花的季节,mm们也是花枝招展,水仙花就是其中最迷人的代表,数学上有个水仙
- 3技术分享 | MySQL Shell 运行 SQL 的两种内置方法概述_通过shell直接调用sql
- 4关于fastadmin的shopro的 队列安装方式_fastadmin 队列
- 5GPT系列学习笔记:GPT、GPT2、GPT3_gpt2和gpt3
- 6【_ 面試 】在单点登录中,如果 cookie 被禁用了怎么办?_单点登录 cookie被禁用
- 7Pytest:单元测试的宠儿,让 Bug 无处藏身!
- 8db-gpt安装指南(docker版本)_db-gpt怎么用doctor安装
- 9web前端中的jsp网页总结_jsp页面前端技术
- 10机器学习实战:带你进入AI世界!_动手学机器学习实战
ACL介绍及其相关配置_acl配置命令
赞
踩
一、ACL介绍
1、ACL作用
ACL称为访问控制列表
作用:
- 在流量转发的接口限制流量的进或出
- 为其他策略定义感兴趣流量;
当数据包流量经过路由器接口进或出时,ACL可以匹配流量产生动作 --- 允许 拒绝
匹配规则:自上而下逐一匹配,上条匹配按上条执行,不再查看下一条;
cisco系在表格末尾隐含拒绝所有; 华为系在表格末尾隐含允许所有;
2、ACL分类
分类:标准 扩展
标准 --- 仅关注数据包中的源ip地址
扩展 --- 关注数据包中的源、目标ip地址 还可以关注目标端口号或协议
3、ACL配置命令
配置命令:
【1】标准ACL --- 由于标准ACL仅关注数据包中源ip地址,故调用时,应该尽量的靠近目标,以免误删流量
编号2000-2999均为标准列表 一台设备上可以创建多张表格,但一个接口的一个方向上只能调用一张表格
- [R2]acl 2000
-
- [R2-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0
-
- [R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
-
- [R2-acl-basic-2000]rule deny source any
在编辑ACL规则时,需要清楚定义动作--允许或拒绝使用通配符精确设计范围
默认以5为步调,自动添加序号,便于插入和删除
[R2-acl-basic-2000]rule 7 permit source 192.168.1.2 0.0.0.0
[R2-acl-basic-2000]undo rule 10
规则编写完成后,必须在接口调用后方可生效;
- [R2]interface g0/0/1
-
- [R2-GigabitEthernet0/0/1]traffic-filter ? //调用时一定注意方向
-
- inbound Apply ACL to the inbound direction of the interface
- //入口
-
- outbound Apply ACL to the outbound direction of the interface
- //出口
-
- [R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001
【2】扩展ACL --- 由于扩展ACL精确匹配流量源、目地址,故调用时尽量靠近源头,避免资源浪费;
- 关注数据包中的源、目标ip地址;
- [R1]acl 3000
-
- [R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
-
- //源ip地址 //目标地址
源、目ip地址均使用使用通配符标定范围,或any代表所有;切记表格调用到接口方可生效;
- 关注数据包中的源、目标ip地址,以及目标端口号;
- [r1]acl 3000
-
- [r1-acl-adv-3000]rule deny tcp source 192.168.1.2 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
以上规则拒绝了192.168.1.2 对192.168.2.2 的tcp下目标端口23访问-- 拒绝telnet
[r1-acl-adv-3001]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.2.2 0.0.0.0拒绝192.168.1.2 对192.168.2.2的ICMP访问--拒绝pin
4、Telent远程登陆
Telnet 远程登录 基于TCP的23号端口进行访问; 要求登录与被动设备可达,其次被登录设备开启了远程登录的服务
在被登录设备上预设登录的账号及密码
- [R1]aaa
-
- [R1-aaa]local-user panxi privilege level 15 password cipher 123456
-
- [R1-aaa]local-user panxi service-type telnet
-
-
-
- [R1]user-interface vty 0 4 //虚拟登录接口调用
-
- [R1-ui-vty0-4]authentication-mode aaa
二、ACL实例配置
1、实验目标和要求
注:由于eNSP中PC机无远程登陆命令,故用路由器替代PC机
2、实验过程
(1)配置ip地址
(2)创建Telnet账号
首先实现R1与R2创建Telnet,使PC可登录
- [r1]aaa
- [r1-aaa]local-user r1 privilege level 15 password cipher 123456
- //在r1上创建用户名为r1,密码为123456的账户
-
- [r1-aaa]local-user r1 service-type telnet
-
- [r1]user-interface vty 0 4
- [r1-ui-vty0-4]authentication-mode aaa
- [r2]aaa
- [r2-aaa]local-user r2 privilege level 15 password cipher 666666
- //在r1上创建用户名为r2,密码为666666的账户
-
- [r2-aaa]local-user r1 service-type telnet
-
- [r2]user-interface vty 0 4
- [r2-ui-vty0-4]authentication-mode aaa
登录界面
(3)添加ACL规则
所有要求均在R1的0/0/0端口上完成:
-
- [r1-acl-adv-3000]rule deny icmp source 192.168.1.2 0 destination 192.168.1.1 0
- [r1-acl-adv-3000]rule deny icmp source 192.168.1.2 0 destination 192.168.2.1 0
-
-
- [r1-acl-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.2.2 0 de
- stination-port eq 23
-
-
- [r1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.1.1 0 de
- stination-port eq 23
- [r1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.2.1 0 de
- stination-port eq 23
-
-
- [r1-acl-adv-3000]rule deny icmp source 192.168.1.3 0 destination 192.168.2.2 0
(4)接口调用
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000(5)验证
3、实验总结
1. 意识到全意识的重要性:ACL实验涉及到对计算机资源访问权限的控制,这也在提醒我们要时刻保持警惕,意识到安全意识的重要性。
2. 掌握ACL配置的基本原理和方法:ACL实验让我初步了解了如何配置ACL。
3. 实践动手的重要性:在实验过程中,通过实际操作,更好地对ACL有了刻的认识。
