ACL分为:基本ACL、高级ACL
基本ACL:只能基于数据包的源地址、报文分片标记、时间段来定义规则,编号范围:2000~2999。(根据数据包从源网络到目标网络的路径,在必经之地(路由器的某个端口)进行数据包过滤。)
高级ACL:可以根据数据包的源IP、目标IP、协议、目标端口、源端口、数据包的长度值来定义规则,编号范围:3000~3999。
所以,高级ACL比基本ACL在控制上更精准、灵活、也更复杂。
在ACL中可添加多条规则,要为每条规则指定一个编号,如不指定系统自动步长默认为5,默认是 0 、5、10、15...匹配顺序安装ACL的Rule-ID编号,从小到大进行匹配。不连续的Rule-ID编号方便我们以后插入规则,比如在5~10之间插入一条7的规则。
ACL中的源地址只能是网段,网段后跟的是翻转掩码
翻转掩码:
192.168.0.0 255.255.255.0 网段,在ACL中是 192.168.0.0 0.0.0.255
192.168.0.64 255.255.255.192 网段 ,ACL中是 192.168.0.64 0.0.0.63,观察:255-192=63
192.168.0.0 255.255.255.252 ,ACL中是192.168.0.0 0.0.0.3 观察:255-252=3
0.0.0.0 0.0.0.0 要写成 0.0.0.0 255.255.255.255,ACL中可以any代替该网段。
使用ACL保护路由器安全:
如果网络中的路由器配置了VTY端口,只要网络畅通,任何计算机都可以telnet到路由器进行配置,一但telnet路由器的密码被泄露,路由器的配置就可能被非法更改。
[AR1]acl 2001
[AR1-acl-basic-2001]rule permit source 192.168.2.2 0 //不指定rule步长,默认是5
[AR1-acl-basic-2001]rule reny source any //拒绝所有
user-interface vty 0 4
authentication-mode password //设置身份严重模式
login password : 123456 //设置登录密码
user privilege level 3
acl 2001 inbound //绑定acl 2001的进栈方向
ACL
#创建ACL,制定访问控制规则(默认是permit)
acl 3000
rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 icmp-type echo
#配置ICMP单向访问规则 注解一下ehco的意思是第一个请求包,规则拒绝的是icmp中10请求20,
rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn
#配置TCP单向访问规则 注解一下syn是三次握手的第一个动作,就被deny了
quit
#配置流分类,匹配ACL
traffic classifier c1
if-match acl 3000
quit
#配置流行为
traffic behavior b1
deny
quit
#配置流策略,关联流分类和流行为
traffic policy p1
classifier c1 behavior b1
quit
#流策略 应用到接口上
interface gigabitethernet 1/0/1
traffic-policy p1 inbound
#或者应用到vlan上
vlan 10
traffic-policy p1 inbound
#或者在全局应用
traffic-policy p1 global inbound