访问控制列表ACL(access control list)是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝。
按照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表,基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围2000-2999.。
一条ACL可以由deny/access语句组成,每一条语句描述一条规则每一条规则有一个Rule-ID。Rule-ID可以由用户进行配置,也可以由系统自动根据步长生成,默认步长为5,Rule-ID默认按照0 5 10 15等,匹配顺序按照ACL的Rule-ID的顺序,从小到大匹配。
1、根据图示配置路由器接口地址。
2、搭建OSPF网络,比如R1配置如下
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
配置完成后查看OSPF路由信息。
在R1测试R1与R4的环回地址的连通性。ping -a 1.1.1.1 4.4.4.4正常。
3、配置基本的ACL访问控制。
R4路由器上配置telnet,密码为huawei。
[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
在R1上远程到R4,<R1>telnet 4.4.4.4成功。
在R2上远程到R4,<R1>telnet 4.4.4.4成功,只要路由可达的设备并且拥有telnet密码就可以访问R4。
在R4配置针对源IP的过滤,第一条是允许源地址为1.1.1.1,反掩码全为0(精确匹配)。第二条是拒绝任意源地址的数据包。
[R4]acl 2000
[R4-acl-basic-2000]rule 5 permit source 1.1.1.1 0
[R4-acl-basic-2000]rule 10 deny source any
在R4的VTY中调用,使用 inbound参数,即R4的数据入方向上调用。
[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 2000 inbound
配置完成后测试,R2无法连接到R4。
在R1上远程到R4,telnet 4.4.4.4成功。
在R2上远程到R4,<R1>telnet 4.4.4.4不成功。
4、基本的ACL语法规则
ACL的执行是由顺序性的,规则小的被命中并允许执行或者拒绝动作,那么后续的规则就不再继续匹配。在R4查看访问控制列表:
现在需要在使用规则ID15来允许3.3.3.3访问。
[R4]acl 2000
[R4-acl-basic-2000]rule 15 permit source 3.3.3.3 0
配置完成后发现还是无法访问,按照acl顺序,这时由于规则为10的条目是拒绝所有行为,后续的所有允许规则都不会被匹配,将规则ID修改为8.
[R4-acl-basic-2000]rule 8 permit source 3.3.3.3 0
测试可以正常telnet。
网友评论