参考文章:
(21条消息) 华为 ACL访问控制列表 (高级ACL为例)_艺博东的博客-CSDN博客_华为acl访问控制列表
(21条消息) 华为-ACL-访问控制列表(基础理论与配置实验详解)_BIGmustang的博客-CSDN博客_华为acl配置命令详解
ACL基本概述:
ACL:访问控制列表
功能:通过过滤报文达到流量控制、攻击防范以及用户接入控制等
ACL限制手段:
| deny | 拒绝 |
|---|---|
| permit | 允许 |
匹配规则:
1、自上而下 匹配到则停止
2、cisco默认最后隐含拒绝所有
3、华为默认最后允许所有
ACL分类:
1、标准ACL 仅匹配流量中的源IP地址
2、扩展ACL 匹配流量中的源目ip地址,目标端口号或协议号
ACL写法:
1、编号 标准2000-2999,扩展3000-3999
2、命名 类似描述
ACL的配置步骤:
(一)根据需求编写ACL;
(二)将ACL应用到路由器接口的某个方向
命令配置案例
编号写法:
[r2]acl 2000
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
[r2-acl-basic-2000]rule deny source 192.168.2.1 0
[r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255
[r2-acl-basic-2000]rule deny source 192.168.1.0 0.255.0.255
注意:ACL使用的是通配符,OSPF使用的是反掩码,区别是通配符可以01交替
acl编号默认步长为5,方便插入规则
[r2-acl-basic-2000]dis this
[V200R003C00]
#
acl number 2000 rule 5 deny source 192.168.1.2 0 rule 10 deny source 192.168.2.1 0 rule 15 deny source 192.168.2.0 0.0.0.255 rule 20 deny source 192.0.1.0 0.255.0.255
#
插入规则9
[r2-acl-basic-2000]rule 9 deny source 192.168.1.1 0.0.0.0
[r2-acl-basic-2000]dis this
[V200R003C00]
#
acl number 2000 rule 5 deny source 192.168.1.2 0 rule 9 deny source 192.168.1.1 0 rule 10 deny source 192.168.2.1 0 rule 15 deny source 192.168.2.0 0.0.0.255 rule 20 deny source 192.0.1.0 0.255.0.255
#
命名写法:
[r2]acl name yunjisuan basic match-order auto
[r2-acl-basic-yunjisuan]rule deny source 192.168.3.0 0.0.0.255
[r2-acl-basic-yunjisuan]dis this
[V200R003C00]
#
acl name yunjisuan 2999 match-order autorule 5 deny source 192.168.3.0 0.0.0.255
#
命令:
1、标准ACL 因为只能匹配流量中的源IP地址,避免扩大范围,所以在靠近目标位置进行配置
2、扩展ACL 因为可以匹配更多特征,所以在靠近流量源头进行配置
1、拒绝192.168.1.1访问192.168.2.1和192.168.2.2主机
#定义acl2001
[r2]acl 2001
[r2-acl-basic-2001]rule deny source 192.168.1.1 0#在接口上应用ACL规则
[r2]int g0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001#如果是cisco设备,需要在ACL上做如下配置
[r2-acl-basic-2001]rule permit source any
2、 拒绝192.168.1.1访问192.168.2.1
#删除之前的规则
[r2-GigabitEthernet0/0/1]undo traffic-filter outbound#创建新的ACL
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.1 0 destination 192.168.2.1 0#接口上应用ACL
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
3、允许192.168.0.1telnet连接到192.168.0.2,但禁止ping
#配置路由器添加账号,允许telnet登陆,授予权限
[r2]aaa
[r2-aaa]local-user haha password cipher huawei
Info: Add a new user.
[r2-aaa]local-user haha service-type telnet
[r2-aaa]local-user haha privilege level 15 #1-15 15权限最大#或许会有telnet server enable#应用aaa认证
[r2]user-interface vty 0 4
[r2-ui-vty0-4]authentication-mode aaa#编写acl
[r2]acl 3000
[r2-acl-adv-3000]rule deny icmp source 192.168.0.1 0 destination 192.168.0.2 0
[r2-acl-adv-3000]q#应用该ACL
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
4、拒绝192.168.0.1登陆192.168.0.2的telnet服务
[r2]acl 3001
[r2-acl-adv-3001]rule deny tcp source 192.168.0.1 0 destination 192.168.0.2 0 destination-port eq 23
[r2-acl-adv-3001]q
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
5、允许访问所有目标为443的端口
acl 3000
rule 5 permit ip source 192.168.101.25 0 destination 192.168.5.251 0 #允许访问单个ip,acl中子网掩码需 要写反掩码
rule 10 permit tcp source 192.168.101.25 0 destination-port eq 443 #允许访问所有目标为443的端口
interface GigabitEthernet 0/0/10 #进入10号口
traffic-filter inbound acl 3000 #入口方向应用acl 3000策略,出方向使用outbound
支付宝扫一扫
微信扫一扫
.png)
.png)
.png)
