ACL访问控制列表

一、作用

1. 访问控制 --- 在路由器流量进或出的接口上，匹配流量产生动作---允许、拒绝
2. 定义感兴趣流量 ---  抓取流量，之后给到其他的策略，让其他策略进行工作；

二、匹配规则

至上而下逐一匹配，上条匹配按上条执行，不再查看下条；cisco系默认末尾隐含拒绝所有；华为系末尾隐含允许所有；

三、分类

1. 标准 ---  仅关注数据包中的源ip地址
2. 扩展 ---  关注数据包中的源、目标ip地址，目标端口号或协议号

四、配置命令

1、标准列表配置

由于标准ACL仅关注数据包中的源ip地址；故调用时必须尽量的靠近目标；

避免对其他流量访问的误删；

编号2000-2999 为标准列表编号，一个编号为一张表；

[r2]acl 2000

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0

[r2-acl-basic-2000]rule deny source  192.168.0.0 0.0.255.255

[r2-acl-basic-2000]rule deny source  any

                                    动作         源ip地址

源ip地址需要使用通配符来匹配范围；通配符和反掩码的区别，在于通配符可以0与1穿插书写；

ACL定义完成后，必须在接口上调用方可执行；调用时一定注意方向；一个接口的一个方向上只能调用一张表；

[r2]interface GigabitEthernet 0/0/1

[r2-GigabitEthernet0/0/1]traffic-filter ?  

  inbound   Apply ACL to the inbound direction of the interface

  outbound  Apply ACL to the outbound direction of the interface

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

2、扩展列表配置

由于扩展ACL 源、目ip地址均关注，故调用时尽量靠近源；尽早处理流量；

[r1]acl 3000   扩展列表编号  3000-3999

[r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.3.2 0.0.0.0

                              源ip地址                     目标ip地址

源、目ip地址位置，使用通配符0标记一个主机，或使用反1标记段，或使用any均可

3、使用扩展列表，同时关注目标端口号

目标端口号：服务端使用注明端口来确定具体的服务；

ICMPV4 -- internet控制管理协议 -- ping 

Telnet  -- 远程登录  明文（不加密） 基于tcp，目标端口23；

条件：

1、被登录设备与登录设备网络可达

2、被登录设备进行了telnet服务配置

[r1]aaa

[r1-aaa]local-user panxi privilege level 15 password cipher 123456

[r1-aaa]local-user panxi service-type telnet

创建名为panxi的账号，权限最大，密码123456；该账号仅用于telnet 远程登录

[r1]user-interface vty 0 4

[r1-ui-vty0-4]authentication-mode aaa   在vty线上开启认证

[r1]acl 3001  

[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23

         拒绝192.168.1.10 对192.168.1.1 访问时，传输层协议为tcp，且目标端口号为23；

[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0

       仅拒绝192.168.1.10 对192.168.1.1的ICMP访问