ACL控制访问列表

目录

ACL控制访问列表

1.1.ACL概念

 1.2.ACL两大功能

1.ACL流量控制

2.ACL路由匹配

1.3.通配符

1.4. ACE访问控制表项

ACE概念

ACE两种动作

2.1.访问控制列表常用类型

IP标准ACL

IP扩展ACL

2.2.访问控制列表的命名

数字命名

自定义名称

 2.3.实验配置​编辑

实验要求：

一，配置全网互通【使用OSPF】

​编辑 二，实现只允许R4访问R5

三，实现拒绝 R4访问R5的Telnet

---

1.1.ACL概念

ACL（Access Control  List）控制访问列表可以定义一系列不同规则。

ACL是一种基于包过滤的访问控制技术，根据设定发规则对接口的数据包进行控制，允许其通过或丢弃。应用在路由器或二层交换机上

ACL可以控制个别数据交互，不影响其他数据。

ACL需要设备接口进行入方向和出方向的调用，根据规则对数据包进行分类，并针对不同类型的报文执行不同的处理动作 。

 1.2.ACL两大功能

1.ACL流量控制

• 流量过滤：匹配指定流量，拒绝或允许通过
• NAT：匹配指定流量，对指定流量进行NAT转换
• QOS：根据数据包的协议，指定被匹配的数据包的优先级

2.ACL路由匹配

• 路由策略：匹配路由，进行路由条目的过滤 ，或修改路由条目属性
• 路由重分布:匹配路由，在路由重分布时对匹配的路由执行特定的操作

1.3.通配符

通配符也称为“反掩码”，描述一个地址范围

通配符和子网掩码相似，表示方式相反

• 0表示：对应为需要比较， 完全匹配
• 1表示：对应为不计较，不需要匹配

1.4. ACE访问控制表项

ACE概念

ACE（Access  Control  Entry）访问控制表项是指每一条语句

ACE匹配的顺序为从上至下，编号从低到高进行匹配，当匹配上某条ACE，则执行改ACE，不再向下继续匹配。当匹配完所有ACE都未匹配上，将执行默认ACE

ACE默认：deny  ip  any  any (不显示，默认拒绝)

ACE默认以10单位递增，也可以在配置ACL中的语句时提前添加不同的序号。

ACE两种动作

ACL的动作分为两种：permit和deny

• permit：允许/匹配permit后面语句的数据/路由
• deny：禁止/拒绝deny后面语句的数据 /路由

配置命令：

Ruijie(config)#ip access-list   standard  1  //创建访问列表1

Ruijie(config-ext-nacl)# 10  permit    ip  192.168.1.0   0.0.0.255  // 创建条目10允许ip为 192.168.1.0/24的网段通过

Ruijie(config-ext-nacl)# 20  deny    ip 192.168.2.0   0.0.0.255  //创建条目20拒绝ip为192.168.2.0/24网段通过

2.1.访问控制列表常用类型

IP标准ACL

• 只能匹配IP数据包头中的源IP地址
• 配置ACL的时候使用"standard"关键字

IP扩展ACL

• 可以匹配源IP/目的IP， 源端口，目的端口，协议（TCP/IP）,标志代码等
• 配置ACL的时候使用“extended”关键字

 其他的ACL类型

2.2.访问控制列表的命名

数字命名

默认的命令，标准ACL厂用 为1-99，1300-1999

扩展ACL常用数字命名为100-199,2000-2699

自定义名称

定义更具代表意义的名称

如：禁止VLAN10内的PC访问VLAN30，可以定义DENY_VLAN10_TO_VALN30

Ruijie(config)#ip access-list standard ?  【？可以查看参数】

<1-99>              IP standard acl    

<1300-1999>   IP standard acl (expanded range)  

WORD                Acl name

 2.3.实验配置

实验要求：

1.使用标准实现只允许R4访问R5

2.配置只拒绝R4到R5的 telnet

一，配置全网互通【使用OSPF】

 R1:

interface GigabitEthernet 0/0  //进入g0/0口
 no switchport   //开启三层功能【不开启无法配置IP地址】
 ip address 14.1.1.1 255.255.255.0 //配置ip地址为14.1.1.1 掩码为255.255.255.0
      
interface GigabitEthernet 0/1  //进入接口G0/1
 no switchport  //开启三层功能
 ip address 12.1.1.1 255.255.255.0 //配置ip地址

router ospf 1  //启用OSPF,1为进程号用来区分本地的不同OSPF进程，进程号只是本地有意义，不同不影响邻居建立
network 12.1.1.0 0.0.0.255 area 0  //宣告网段到area 0
network 14.1.1.0 0.0.0.255 area 0  //宣告网段到area 0

 R2：

interface GigabitEthernet 0/0  //进入g0/0口
 no switchport  //开启三层功能
 ip address 12.1.1.2 255.255.255.0 //配置ip地址
        
interface GigabitEthernet 0/1 //进入接口G0/1
 no switchport  //开启三层功能
 ip address 23.1.1.2 255.255.255.0 //配置ip地址

router ospf 1  //启用OSPF
network 12.1.1.0 0.0.0.255 area 0 //宣告网段到area 0
network 23.1.1.0 0.0.0.255 area 0 //宣告网段到area 0

R3:

interface GigabitEthernet 0/0  //进入g0/0口
 no switchport  //开启三层功能
 ip address 35.1.1.3 255.255.255.0  //配置ip地址
      
interface GigabitEthernet 0/1
 no switchport  //开启三层功能
 ip address 23.1.1.3 255.255.255.0  //配置ip地址

router ospf 1   //启用OSPF
network 23.1.1.0 0.0.0.255 area 0  //宣告网段到area 0
network 35.1.1.0 0.0.0.255 area 0  //宣告网段到area 0

R4:

 interface GigabitEthernet 0/0 //进入g0/0口
 no switchport //开启三层功能
 ip address 14.1.1.4 255.255.255.0 //配置ip地址

router ospf 1  //启用OSPF
network 14.1.1.0 0.0.0.255 area 0 //宣告网段到area 0

R5:

interface GigabitEthernet 0/0 //调用在接口的出方向
 no switchport  //开启三层功能
 ip address 35.1.1.5 255.255.255.0  //配置ip地址

router ospf 1   //启用OSPF
network 35.1.1.0 0.0.0.255 area 0  //宣告网段到area 0

查看效果：

 二，实现只允许R4访问R5

1.确定匹配位置：标准ACL应该离目的近，因此配置在R3的G0/0接口的出方向

2.只允许写permit语句即可 

R3(config)#ip access-list  standard 1 //创建标准访问列表

R3(config-std-nacl)#permit  14.1.1.0 0.0.0.255 //允许源地址为14.1.1.0的地址通过

查看配置效果

 下一步调用在接口下测试配置 效果：

R3(config)#interface gigabitEthernet  0/0 // 进入g0/0接口
R3(config-if-GigabitEthernet 0/0)#ip access-group  1  out //将访问组1调用在接口的出方向

测试效果：

三，实现拒绝 R4访问R5的Telnet

1.确定匹配位置：扩展ACL应该离源近，因此配置在R1的G0/0接口的入方向

2.只拒绝写deny语句即可 

 先配置 R5的Telnet功能并删除第二步ACL

R3(config)#interface gigabitEthernet 0/0 //进入R3的G0/0接口
R3(config-if-GigabitEthernet 0/0)#no ip access-group 1 out  //删除访问组1调用在出方向的命令

R5(config)#line  vty  0 4  
R5(config-line)#password  12

R5(config-line)#login

R1(config)#ip  access-list  extended  100  //创建扩展访问列表
R1(config-ext-nacl)#deny tcp host 14.1.1.4 host 35.1.1.5 eq 23 //拒绝TCP协议从14.1.1.4到35.1.1.5的协议23，即tcp的Telnet协议
R1(config-ext-nacl)#permit ip any  any//默认拒绝所有，因此需要加一条允许所有的命令
 

R1(config)#interface  gigabitEthernet 0/0 //进入R1的接口G0/0

R1(config-if-GigabitEthernet 0/0)#ip access-group 100 in //将访问组100调用在R1的入接口
 

验证效果：

有问题大家可以留言讨论，关注IT其他方面的小伙伴们可以参考尚文网络其他老师文章，也可以微信搜索尚文网络公众号，有详细资讯发布，认准尚文网络成为一名优秀的IT人。