摘要:
访问控制列表ACL (Access Control L ist)是由permit或 deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息
来描述。ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判 断哪些数据包可以通过,哪些数据包,需要拒绝。
按照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表, 基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为2000〜 2999
一个ACL可以由多条“deny/permit"语句组成,每一条语句描述一条规则,每条规 则有一个Rule-ID。Rule-ID可以由用户进行配置,也可以由系统自动根据步长生成,默认步长为5,
Rule-ID默认按照配置先后顺序分配0、5、10、15等,匹配顺序按照ACL 的Rule-ID的顺序,从小到大进行匹配。
实验场景模拟:
本实验模拟企业网络环境,R1为分支机构A 管理员所在IT部门的网关,R2为分支机构A用户部门的网关,R3为分支机构A 去往总部
出口的网关设备,R4为总部核心路由器设备。整网运行OSPF协议,并在区域0 内。企业设计通过远程方式管理核心网路由器R4 ,要求
只能由R1所连的PC (本实验使用环回接口模拟)访问R 4 ,其他设备均不能访问。
实验拓扑:
实验编址:
实验步骤:
1. 基本配置
根据实验编址表进行相应的基本配置,并使用ping命令检测各直连链路的连通性(测试略)。
2. 搭建OSPF网络
在所有路由器上运行OSPF协议,通告相应网段至区域0中。
配置完成之后,在 R1的路由表上查看OSPF路由信息。
路由器R1己经学习到了相关网段的路由条目,测试R1的环回口与R4的环回口间
的连通性。
通信正常,其他路由器之间测试省略。
3 . 配置基本ACL控制访问
在总部核心路由器R4上配置Telnet相关配置,配置用户密码为huawei。
配置完成后,尝试在IT部门网关设备R1上建立Telnet连接。
可以观察到,R1可以成功登录R4。再尝试在普通员工部门网关设备R2上建立连接。
这时发现,只要是路由可达的设备,并且拥有Telnet的密码,都可以成功访问核心 设备R4。
这显然是极为不安全的,只要是直连路由就可以进,我们要设置一下acl控制一下,只允许1.1.1.1 访问服务器
接下来在ACL视图中,使用rule命令配置ACL规则,指定规则ID 为 5 , 允许数 据包源地址为1.1.1.1的报文通过,反掩码为全0 , 即精确匹配
使用rule命令配置第二条规则,指定规则ID 为 1 0 ,拒绝任意源地址的数据包 通过。
在上面的ACL配置中,第一条规则的规则ID定义为5 , 并不是1,第二条定义 为 10 ,也不与5连续,这样配置的好处是能够方便后续的修改或插入新的条目。并且在配置
的时候也可以不采用手工方式指定规则ID,ACL会自动分配规则ID ,第一条为5 ,第二条为1 0第三条为1 5 ,依此类推,即默认步长为5 , 该步长参数也是可以修改的。
ACL配置完成后,在 VTY中调用。使用inbound参数,即在R4的数据入方向上调用。
配置完成后,使用R1的环回口地址1.1.1.1测试访问444.4的连通性
发现没有问题,然后尝试在R2上访问R4
可以观察到,此时R2已经无法访问4 .4 4 4 ,即上述ACL配置已经生效。
4 . 基本ACL的语法规则
ACL的执行是有顺序性的,如果规则ID小的规则已经被命中,并且执行了允许或
者拒绝的动作,那么后续的规则就不再继续匹配。
在 R4上使用display acl all命令査看设备上所有的访问控制列表。
以上是目前ACL的所有配置信息,即我们刚添加的两条
下面使用规则ID 15来添加允许3.3.3.3访问的规则
配置完成后,尝试使用R3的3.3.3.3访问R4。
发现无法访问。按照ACL匹配顺序,这是由于规则为10的条目是拒绝所有行为,
后续所有的允许规则都不会被匹配。若要此规则生效,必须添加在拒绝所有的规则ID
之前。
在 R4上修改ACL 2000,将规则ID修改为8
配置完成后,再次尝试使用R3的环回口访问R4。
此时访问成功,证明配置已经生效。
最后别忘了save保存配置。
来源:https://www.cnblogs.com/swl0221/p/12032045.html