访问控制列表
访问控制列表和可以定义一系列不同的规则,设备根据这些跪着对数据包进行分类,针对不同类型的报文进行不同的处理,
从而实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
ACL 应用场景:
ACL可以通过定义规则来允许或拒绝流量的通过
ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作
ACL分类
基本ACL 2000-2999 源IP地址
高级ACL 3000-3999 源IP地址、目的IP地址、源端口、目的端口等
二层ACL 4000-4999 源MAC地址、目的MAC地址、以太帧协议类型
ACL 规则
每个ACL可以包含多个规则,RTA根据规则来对数据流量进行过滤。
一个ACL可以有多条"deny|permit" 语句组成,每条语句描述了一条规则。
ACL中定义的规则可能存在重复或矛盾的地方,规则的匹配顺序决定了规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形。
匹配顺序有两种:配置排序和自动排序
#客户端的192.168.1.10 gw=192.168.1.254,192.168.2.10 gw=192.168.2.254
#客户端的172.16.1.11,172.16.1.12 gw=172.16.1.254
#AR1
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
#
interface GigabitEthernet0/0/0
ip address 192.168.2.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 172.16.10.1 255.255.255.0
#set默认路由
ip route-static 0.0.0.0 0.0.0.0 172.16.10.2
#AR2
interface GigabitEthernet0/0/0
ip address 172.16.10.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 172.16.1.254 255.255.255.0
#set默认路由
ip route-static 0.0.0.0 0.0.0.0 172.16.10.1
三P原则
在路由器上应用ACL时,可以为每种协议(Per Protocol)、每个方向(Per Direction)
和每个接口(Per Interface)配置一个ACL,一般称为“3P原则”。
(1)一个ACL只能基于一种协议,因此每种协议都需要配置单独的ACL。
(2)经过路由器接口的数据有进(ln)和出(Out)两个方向,因此在接口上配置访问控制列表也有进(In)和出(Out)两个方向。每个接口可以配置进方向的ACL,也可以配置出方向的ACL,或者两者都配置,但是一个ACL只能控制一个方向。
(3)一个ACL只能控制一个接口上的数据流量,无法同时控制多个接口上的数据流量。
##基础访问列表配置
1.禁止192.168.1.0 访问172.16.1.0
##在AR2上配置
acl number 2000
rule 5 deny source 192.168.1.0 0.0.0.255
##进入接口
interface GigabitEthernet0/0/1
traffic-filter outbound acl 2000
#查看配置
[AR2]display traffic-filter applied-record
-----------------------------------------------------------
Interface Direction AppliedRecord
-----------------------------------------------------------
GigabitEthernet0/0/1 outbound acl 2000
-----------------------------------------------------------
[AR2]disp acl all
Total quantity of nonempty ACL number is 1
Basic ACL 2000, 1 rule
Acls step is 5
rule 5 deny source 192.168.1.0 0.0.0.255 (18 matches)
##测试无法ping通
##高级ACL配置
[AR2]display traffic-filter applied-record
-----------------------------------------------------------
Interface Direction AppliedRecord
-----------------------------------------------------------
GigabitEthernet0/0/1 outbound acl 3000
-----------------------------------------------------------
[AR2]dis acl all
Total quantity of nonempty ACL number is 2
Basic ACL 2000, 1 rule
Acls step is 5
rule 5 deny source 192.168.1.0 0.0.0.255
Advanced ACL 3000, 3 rules
Acls step is 5
rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.1.11 0 destinat
ion-port eq telnet
## 0.0.0.255 是255台机器,0 是一台机器
rule 10 deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.1.12 0
rule 15 permit ip (93 matches)
[AR2]
ACL应用-NAT
要求:
通过ACL实现主机A和主机B分别使用不同的公网地址池来进行NAT转换。
Enter system view, return user view with Ctrl+Z.
[AR2]acl 2001
[AR2-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255
[AR2-acl-basic-2001]acl 2002
[AR2-acl-basic-2002]rule permit source 192.168.2.0 0.0.0.255
[AR2-acl-basic-2002]q
[AR2]nat address-group 1 202.110.10.8 202.110.10.15
[AR2]nat address-group 2 202.115.60.2 202.115.60.16
[AR2]inter g 0/0/1
[AR2-GigabitEthernet0/0/1]di th
[V200R003C00]
#
interface GigabitEthernet0/0/1
ip address 172.16.1.254 255.255.255.0
#
return
[AR2-GigabitEthernet0/0/1]nat outbound 2001 address-group 1
[AR2-GigabitEthernet0/0/1]nat outbound 2002 address-group 2
[AR2-GigabitEthernet0/0/1]