您的当前位置:首页>全部文章>文章详情

锐捷ACL的基础知识-ACL控制访问列表

发表于:2023-11-11 08:53:07浏览:25次TAG: #WindowsOrLinux

锐捷ACL的基础知识-ACL控制访问列表

目录

ACL控制访问列表

1.1.ACL概念

 1.2.ACL两大功能

1.ACL流量控制

2.ACL路由匹配

1.3.通配符

1.4. ACE访问控制表项

ACE概念

ACE两种动作

2.1.访问控制列表常用类型

IP标准ACL

IP扩展ACL

2.2.访问控制列表的命名

数字命名

自定义名称

 2.3.实验配置编辑

实验要求:

一,配置全网互通【使用OSPF】

编辑 二,实现只允许R4访问R5

三,实现拒绝 R4访问R5的Telnet

1.1.ACL概念

ACL(Access Control  List)控制访问列表可以定义一系列不同规则。

ACL是一种基于包过滤的访问控制技术,根据设定发规则对接口的数据包进行控制,允许其通过或丢弃。应用在路由器或二层交换机上

ACL可以控制个别数据交互,不影响其他数据。

ACL需要设备接口进行入方向和出方向的调用,根据规则对数据包进行分类,并针对不同类型的报文执行不同的处理动作 。

 1.2.ACL两大功能
1.ACL流量控制

    流量过滤:匹配指定流量,拒绝或允许通过
    NAT:匹配指定流量,对指定流量进行NAT转换
    QOS:根据数据包的协议,指定被匹配的数据包的优先级

2.ACL路由匹配

    路由策略:匹配路由,进行路由条目的过滤 ,或修改路由条目属性
    路由重分布:匹配路由,在路由重分布时对匹配的路由执行特定的操作

1.3.通配符

通配符也称为“反掩码”,描述一个地址范围

通配符和子网掩码相似,表示方式相反

    0表示:对应为需要比较, 完全匹配
    1表示:对应为不计较,不需要匹配

1.4. ACE访问控制表项
ACE概念

ACE(Access  Control  Entry)访问控制表项是指每一条语句

ACE匹配的顺序为从上至下,编号从低到高进行匹配,当匹配上某条ACE,则执行改ACE,不再向下继续匹配。当匹配完所有ACE都未匹配上,将执行默认ACE

ACE默认:deny  ip  any  any (不显示,默认拒绝)

ACE默认以10单位递增,也可以在配置ACL中的语句时提前添加不同的序号。
ACE两种动作

ACL的动作分为两种:permit和deny

    permit:允许/匹配permit后面语句的数据/路由
    deny:禁止/拒绝deny后面语句的数据 /路由

配置命令:

    Ruijie(config)#ip access-list   standard  1  //创建访问列表1

    Ruijie(config-ext-nacl)# 10  permit    ip  192.168.1.0   0.0.0.255  // 创建条目10允许ip为 192.168.1.0/24的网段通过

    Ruijie(config-ext-nacl)# 20  deny    ip 192.168.2.0   0.0.0.255  //创建条目20拒绝ip为192.168.2.0/24网段通过

2.1.访问控制列表常用类型
IP标准ACL

    只能匹配IP数据包头中的源IP地址
    配置ACL的时候使用"standard"关键字

IP扩展ACL

    可以匹配源IP/目的IP, 源端口,目的端口,协议(TCP/IP),标志代码等
    配置ACL的时候使用“extended”关键字

 其他的ACL类型

2.2.访问控制列表的命名
数字命名

默认的命令,标准ACL常用数字命名为 1-99,1300-1999

扩展ACL常用数字命名为100-199,2000-2699
自定义名称

定义更具代表意义的名称

如:禁止VLAN10内的PC访问VLAN30,可以定义DENY_VLAN10_TO_VALN30

    Ruijie(config)#ip access-list standard ?  【?可以查看参数】

    <1-99>              IP standard acl    

    <1300-1999>   IP standard acl (expanded range)  

    WORD                Acl name

 2.3.实验配置

实验要求:

1.使用标准实现只允许R4访问R5

2.配置只拒绝R4到R5的 telnet
一,配置全网互通【使用OSPF】

 R1:

    interface GigabitEthernet 0/0  //进入g0/0口
     no switchport   //开启三层功能【不开启无法配置IP地址】
     ip address 14.1.1.1 255.255.255.0 //配置ip地址为14.1.1.1 掩码为255.255.255.0
          
    interface GigabitEthernet 0/1  //进入接口G0/1
     no switchport  //开启三层功能
     ip address 12.1.1.1 255.255.255.0 //配置ip地址

    router ospf 1  //启用OSPF,1为进程号用来区分本地的不同OSPF进程,进程号只是本地有意义,不同不影响邻居建立
    network 12.1.1.0 0.0.0.255 area 0  //宣告网段到area 0
    network 14.1.1.0 0.0.0.255 area 0  //宣告网段到area 0

 R2:

    interface GigabitEthernet 0/0  //进入g0/0口
     no switchport  //开启三层功能
     ip address 12.1.1.2 255.255.255.0 //配置ip地址
            
    interface GigabitEthernet 0/1 //进入接口G0/1
     no switchport  //开启三层功能
     ip address 23.1.1.2 255.255.255.0 //配置ip地址

    router ospf 1  //启用OSPF
    network 12.1.1.0 0.0.0.255 area 0 //宣告网段到area 0
    network 23.1.1.0 0.0.0.255 area 0 //宣告网段到area 0

R3:

    interface GigabitEthernet 0/0  //进入g0/0口
     no switchport  //开启三层功能
     ip address 35.1.1.3 255.255.255.0  //配置ip地址
          
    interface GigabitEthernet 0/1
     no switchport  //开启三层功能
     ip address 23.1.1.3 255.255.255.0  //配置ip地址


    router ospf 1   //启用OSPF
    network 23.1.1.0 0.0.0.255 area 0  //宣告网段到area 0
    network 35.1.1.0 0.0.0.255 area 0  //宣告网段到area 0

R4:

     interface GigabitEthernet 0/0 //进入g0/0口
     no switchport //开启三层功能
     ip address 14.1.1.4 255.255.255.0 //配置ip地址

    router ospf 1  //启用OSPF
    network 14.1.1.0 0.0.0.255 area 0 //宣告网段到area 0

R5:

    interface GigabitEthernet 0/0 //调用在接口的出方向
     no switchport  //开启三层功能
     ip address 35.1.1.5 255.255.255.0  //配置ip地址

    router ospf 1   //启用OSPF
    network 35.1.1.0 0.0.0.255 area 0  //宣告网段到area 0

查看效果:

 二,实现只允许R4访问R5

1.确定匹配位置:标准ACL应该离目的近,因此配置在R3的G0/0接口的出方向

2.只允许写permit语句即可

    R3(config)#ip access-list  standard 1 //创建标准访问列表

    R3(config-std-nacl)#permit  14.1.1.0 0.0.0.255 //允许源地址为14.1.1.0的地址通过

查看配置效果

 下一步调用在接口下测试配置 效果:

    R3(config)#interface gigabitEthernet  0/0 // 进入g0/0接口
    R3(config-if-GigabitEthernet 0/0)#ip access-group  1  out //将访问组1调用在接口的出方向

测试效果:

三,实现拒绝 R4访问R5的Telnet

1.确定匹配位置:扩展ACL应该离源近,因此配置在R1的G0/0接口的入方向

2.只拒绝写deny语句即可

 先配置 R5的Telnet功能并删除第二步ACL

    R3(config)#interface gigabitEthernet 0/0 //进入R3的G0/0接口
    R3(config-if-GigabitEthernet 0/0)#no ip access-group 1 out  //删除访问组1调用在出方向的命令

    R5(config)#line  vty  0 4  
    R5(config-line)#password  12

    R5(config-line)#login

    R1(config)#ip  access-list  extended  100  //创建扩展访问列表
    R1(config-ext-nacl)#deny tcp host 14.1.1.4 host 35.1.1.5 eq 23 //拒绝TCP协议从14.1.1.4到35.1.1.5的协议23,即tcp的Telnet协议
    R1(config-ext-nacl)#permit ip any  any//默认拒绝所有,因此需要加一条允许所有的命令
     

    R1(config)#interface  gigabitEthernet 0/0 //进入R1的接口G0/0

    R1(config-if-GigabitEthernet 0/0)#ip access-group 100 in //将访问组100调用在R1的入接口
     

验证效果:

有问题大家可以留言讨论,关注IT其他方面的小伙伴们可以参考!