學會網絡當中經常使用的流量匹配工具---前綴列表ACL

時間 2019-11-29

原文原文鏈接

一、什麼是ACL？

（Access Control List）訪問控制列表，做用：在衆多數據包裏面抓取某一個數據流

二、ACL的做用

自己沒有過濾的做用 ，依靠咱們咱們數據包裏面的五元組（SIP   DIP  Sport  Dport  協議）進行抓取數據流量

RTA容許192.168.1.0/24中的主機能夠訪問Internet；而192.168.2.0/24中的主機則被禁止訪問Internet。對於服務器A而言，狀況則相反。網關容許192.168.2.0/24中的主機訪問服務器A，但卻禁止192.168.1.0/24中的主機訪問服務器A服務器

三、ACL的分類

基本ACL(basic)
    取值範圍：2000~2999
    匹配的條件不是特別多  通常是SIP和DIP

高級ACL(Advanced)
    取值範圍：3000~3999
    匹配的條件特別多 通常來講 SIP  DIP  Sport  Dport 協議

小結：
基本ACL
優勢：語法簡單
缺點：匹配的條件太泛了，沒法作到更加精細的匹配流量
高級ACL
優勢：能夠作到更加精細的匹配流量
缺點：語法複雜網絡

3.一、基本ACL的用法

acl 2000
rule    5     permit/deny source 192.168.1.0 0.0.0.255
規則  序列號   動做        條件（匹配是是1.0網段 其中0.0.0.255是反掩碼）

注意點：基本acl這一塊的匹配不是特別精確
序列號能夠寫能夠不寫默認狀況 step（步長）爲5 不建議把不少規則寫成連續的序列號只能是正整數匹配的順序就是這個序列號的從小到大進行匹配less

rule 5
rule 10
rule 15
rule 20

匹配的結論：若是rule 5規則匹配正確下面的全部規則就不用看了若是rule 5 和rule 10和rule 15都沒有匹配上敲好rule 20匹配完成後面的規則就不用看了若是說全部規則都沒有匹配上默認acl狀況是容許全部經過tcp

3.二、高級ACL的用法

[RTA]acl 3000           
[RTA-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21

SIP是192.168.1.0/24
DIP是172.16.10.1/32
Sport是任意的
Dport是21號端口
協議是TCP協議
就是拒絕源IP是192.168.1.0去訪問目標IP是172.16.10.1的FTP的鏈接
匹配的時候五個條件缺一不可ide

[RTA-acl-adv-3000]rule deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.2 
0.0.0.0

SIP是：192.168.2.0/24
DIP是：172.16.10.2
Sport：任意端口
Dport：任意端口
協議：TCP
就是拒絕源IP是192.168.2.0去訪問目標172.16.10.2的全部TCP協議
匹配的時候五個條件缺一不可工具

3.三、實際操做

基本ACL的配置思路

完成acl實驗的第一步oop

一、你得完成R1 R2 R3之間可以實現咱們loopback之間得互通

方法就是使用靜態路由實現
在R3上面可以ping -a 3.3.3.3 2.2.2.2  可以ping通得

二、在咱們R1上面咱們能夠作一些條件

[R1]acl 2000    建立基本acl 2000
rule 5 deny source 3.3.3.3 0         拒絕SIP是3.3.3.3得路由條目 至關於匹配某個條件

三、咱們能夠在R1路由器得G0/0/0接口得inbount方向上或者R1得G0/0/1接口得outbount方向上進行應用

interface GigabitEthernet0/0/0
        traffic-filter inbound acl 2000         執行應用

        或者
        interface GigabitEthernet0/0/1
        traffic-filter outbound acl 2000         執行應用

四、得出得現象就是在咱們R3路由器上面

<R3>ping -a 3.3.3.3 2.2.2.2
         PING 2.2.2.2: 56  data bytes, press CTRL_C to break
         Request time out
         Request time out
         Request time out
         Request time out
            Request time out

五、看下是不是acl生效了

在咱們R1上面經過命令查看  display acl all
        <R1>dis acl all 
        Total quantity of nonempty ACL number is 1 

        Basic ACL 2000, 1 rule
        Acl's step is 5
        rule 5 deny source 3.3.3.3 0 (15 matches)       這個就是表示acl已經配置生效了

高級acl的配置配置思路

[R1]undo acl 2000
[R1-GigabitEthernet0/0/0]undo traffic-filter inbound 

[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode password 
Please configure the login password (maximum length 16):huawei
[R2-ui-vty0-4]

R3這邊就能夠遠程過去了測試

<R3>telnet 2.2.2.2
  Press CTRL_] to quit telnet mode
  Trying 2.2.2.2 ...
  Connected to 2.2.2.2 ...

Login authentication

Password:

我在R1上面定義acl 3000的規則

acl number 3000  
 rule 5 deny tcp source 192.168.13.0 0.0.0.255 destination-port eq telnet

含義就是拒絕源IP地址是192.168.13.0網段的telnet流量 也就是R3這邊telnet 2.2.2.2的時候訪問不了

interface GigabitEthernet0/0/0
 ip address 192.168.13.1 255.255.255.0 
 traffic-filter inbound acl 3000                           進行應用就能夠了

檢查是否生效

[R1]dis acl all 
 Total quantity of nonempty ACL number is 1 

Advanced ACL 3000, 1 rule
Acl's step is 5
 rule 5 deny tcp source 192.168.13.0 0.0.0.255 destination-port eq telnet (3 mat
ches)     這邊已是生效了
telnet協議使用得就是tcp得23號端口

3.四、基於時間的ACL

例子1：建立一個工做時間段（週一到週五）天天早上9:00~下午18:00

[Huawei]time-range wordtime 9:00 to 18:00 working-day daily

如圖所示，有三個電腦須要訪問遠端的路由器AR1，經過基本ACL來進行限制源端PC的訪問，容許PC1可以訪問到路由器，拒絕PC2在工做時間段訪問路由器，其餘用戶不容許訪問

AR1的配置文件ui

#
 sysname R1
#
 time-range PC2 09:00 to 18:00 daily   
#
acl number 2000  
 rule 5 permit source 172.16.1.1 0 
 rule 10 deny source 172.16.1.2 0 time-range PC2
 rule 15 deny 
#
interface GigabitEthernet0/0/0
 ip address 172.16.1.254 255.255.255.0 
 traffic-filter inbound acl 2000
#

測試

查看ACL的狀態信息3d

<R1>display acl all 
 Total quantity of nonempty ACL number is 1 

Basic ACL 2000, 3 rules
Acl's step is 5
 rule 5 permit source 172.16.1.1 0 (5 matches)
 rule 10 deny source 172.16.1.2 0 time-range PC2(Active) (5 matches)
 rule 15 deny (304 matches)

前綴列表

（ip-prefix）特色就是更精確得匹配到路由兩條命令的區別

[SW1]ip ip-prefix key permit 192.168.1.0 24

這個24表明ip地址的前面24位是固定的，後面因爲沒有加掩碼的參數，那麼這個24也表明着該前綴的掩碼長度一樣也爲24位，也就是隻能匹配到一條路由，爲192.16.1.0/24

ip ip-prefix key permit 192.168.1.0 24 greater-equal 25 less-equal 32

這個24表明ip地址的前面24位是固定的，後面掩碼的範圍是25到32之間，能夠匹配

192.168.1.0/25
192.168.1.0/26
192.168.1.0/27
192.168.1.0/28
192.168.1.0/29
192.168.1.0/30
192.168.1.0/31
192.168.1.0/32可是不能匹配到192.168.1.0/24 由於掩碼的位數是25到32之間