锐捷ACL的基础知识-ACL控制访问列表
2025-05-23 11:39:03
ACL控制访问列表
目录
ACL控制访问列表
1.1.ACL概念
1.2.ACL两大功能
1.ACL流量控制
2.ACL路由匹配
1.3.通配符
1.4. ACE访问控制表项
ACE概念
ACE两种动作
2.1.访问控制列表常用类型
IP标准ACL
IP扩展ACL
2.2.访问控制列表的命名
数字命名
自定义名称
2.3.实验配置编辑
实验要求:
一,配置全网互通【使用OSPF】
编辑 二,实现只允许R4访问R5
三,实现拒绝 R4访问R5的Telnet
1.1.ACL概念
ACL(Access Control List)控制访问列表可以定义一系列不同规则。
ACL是一种基于包过滤的访问控制技术,根据设定发规则对接口的数据包进行控制,允许其通过或丢弃。应用在路由器或二层交换机上
ACL可以控制个别数据交互,不影响其他数据。
ACL需要设备接口进行入方向和出方向的调用,根据规则对数据包进行分类,并针对不同类型的报文执行不同的处理动作 。
1.2.ACL两大功能
1.ACL流量控制
流量过滤:匹配指定流量,拒绝或允许通过
NAT:匹配指定流量,对指定流量进行NAT转换
QOS:根据数据包的协议,指定被匹配的数据包的优先级
2.ACL路由匹配
路由策略:匹配路由,进行路由条目的过滤 ,或修改路由条目属性
路由重分布:匹配路由,在路由重分布时对匹配的路由执行特定的操作
1.3.通配符
通配符也称为“反掩码”,描述一个地址范围
通配符和子网掩码相似,表示方式相反
0表示:对应为需要比较, 完全匹配
1表示:对应为不计较,不需要匹配
1.4. ACE访问控制表项
ACE概念
ACE(Access Control Entry)访问控制表项是指每一条语句
ACE匹配的顺序为从上至下,编号从低到高进行匹配,当匹配上某条ACE,则执行改ACE,不再向下继续匹配。当匹配完所有ACE都未匹配上,将执行默认ACE
ACE默认:deny ip any any (不显示,默认拒绝)
ACE默认以10单位递增,也可以在配置ACL中的语句时提前添加不同的序号。
ACE两种动作
ACL的动作分为两种:permit和deny
permit:允许/匹配permit后面语句的数据/路由
deny:禁止/拒绝deny后面语句的数据 /路由
配置命令:
Ruijie(config)#ip access-list standard 1 //创建访问列表1
Ruijie(config-ext-nacl)# 10 permit ip 192.168.1.0 0.0.0.255 // 创建条目10允许ip为 192.168.1.0/24的网段通过
Ruijie(config-ext-nacl)# 20 deny ip 192.168.2.0 0.0.0.255 //创建条目20拒绝ip为192.168.2.0/24网段通过
2.1.访问控制列表常用类型
IP标准ACL
只能匹配IP数据包头中的源IP地址
配置ACL的时候使用"standard"关键字
IP扩展ACL
可以匹配源IP/目的IP, 源端口,目的端口,协议(TCP/IP),标志代码等
配置ACL的时候使用“extended”关键字
其他的ACL类型
2.2.访问控制列表的命名
数字命名
默认的命令,标准ACL常用数字命名为 1-99,1300-1999
扩展ACL常用数字命名为100-199,2000-2699
自定义名称
定义更具代表意义的名称
如:禁止VLAN10内的PC访问VLAN30,可以定义DENY_VLAN10_TO_VALN30
Ruijie(config)#ip access-list standard ? 【?可以查看参数】
<1-99> IP standard acl
<1300-1999> IP standard acl (expanded range)
WORD Acl name
2.3.实验配置
实验要求:
1.使用标准实现只允许R4访问R5
2.配置只拒绝R4到R5的 telnet
一,配置全网互通【使用OSPF】
R1:
interface GigabitEthernet 0/0 //进入g0/0口
no switchport //开启三层功能【不开启无法配置IP地址】
ip address 14.1.1.1 255.255.255.0 //配置ip地址为14.1.1.1 掩码为255.255.255.0
interface GigabitEthernet 0/1 //进入接口G0/1
no switchport //开启三层功能
ip address 12.1.1.1 255.255.255.0 //配置ip地址
router ospf 1 //启用OSPF,1为进程号用来区分本地的不同OSPF进程,进程号只是本地有意义,不同不影响邻居建立
network 12.1.1.0 0.0.0.255 area 0 //宣告网段到area 0
network 14.1.1.0 0.0.0.255 area 0 //宣告网段到area 0
R2:
interface GigabitEthernet 0/0 //进入g0/0口
no switchport //开启三层功能
ip address 12.1.1.2 255.255.255.0 //配置ip地址
interface GigabitEthernet 0/1 //进入接口G0/1
no switchport //开启三层功能
ip address 23.1.1.2 255.255.255.0 //配置ip地址
router ospf 1 //启用OSPF
network 12.1.1.0 0.0.0.255 area 0 //宣告网段到area 0
network 23.1.1.0 0.0.0.255 area 0 //宣告网段到area 0
R3:
interface GigabitEthernet 0/0 //进入g0/0口
no switchport //开启三层功能
ip address 35.1.1.3 255.255.255.0 //配置ip地址
interface GigabitEthernet 0/1
no switchport //开启三层功能
ip address 23.1.1.3 255.255.255.0 //配置ip地址
router ospf 1 //启用OSPF
network 23.1.1.0 0.0.0.255 area 0 //宣告网段到area 0
network 35.1.1.0 0.0.0.255 area 0 //宣告网段到area 0
R4:
interface GigabitEthernet 0/0 //进入g0/0口
no switchport //开启三层功能
ip address 14.1.1.4 255.255.255.0 //配置ip地址
router ospf 1 //启用OSPF
network 14.1.1.0 0.0.0.255 area 0 //宣告网段到area 0
R5:
interface GigabitEthernet 0/0 //调用在接口的出方向
no switchport //开启三层功能
ip address 35.1.1.5 255.255.255.0 //配置ip地址
router ospf 1 //启用OSPF
network 35.1.1.0 0.0.0.255 area 0 //宣告网段到area 0
查看效果:
二,实现只允许R4访问R5
1.确定匹配位置:标准ACL应该离目的近,因此配置在R3的G0/0接口的出方向
2.只允许写permit语句即可
R3(config)#ip access-list standard 1 //创建标准访问列表
R3(config-std-nacl)#permit 14.1.1.0 0.0.0.255 //允许源地址为14.1.1.0的地址通过
查看配置效果
下一步调用在接口下测试配置 效果:
R3(config)#interface gigabitEthernet 0/0 // 进入g0/0接口
R3(config-if-GigabitEthernet 0/0)#ip access-group 1 out //将访问组1调用在接口的出方向
测试效果:
三,实现拒绝 R4访问R5的Telnet
1.确定匹配位置:扩展ACL应该离源近,因此配置在R1的G0/0接口的入方向
2.只拒绝写deny语句即可
先配置 R5的Telnet功能并删除第二步ACL
R3(config)#interface gigabitEthernet 0/0 //进入R3的G0/0接口
R3(config-if-GigabitEthernet 0/0)#no ip access-group 1 out //删除访问组1调用在出方向的命令
R5(config)#line vty 0 4
R5(config-line)#password 12
R5(config-line)#login
R1(config)#ip access-list extended 100 //创建扩展访问列表
R1(config-ext-nacl)#deny tcp host 14.1.1.4 host 35.1.1.5 eq 23 //拒绝TCP协议从14.1.1.4到35.1.1.5的协议23,即tcp的Telnet协议
R1(config-ext-nacl)#permit ip any any//默认拒绝所有,因此需要加一条允许所有的命令
R1(config)#interface gigabitEthernet 0/0 //进入R1的接口G0/0
R1(config-if-GigabitEthernet 0/0)#ip access-group 100 in //将访问组100调用在R1的入接口
验证效果:
有问题大家可以留言讨论,关注IT其他方面的小伙伴们可以参考其他文章,认准格西成为一名优秀的IT人。