Author:Chen Taicheng

 

RACL (IP ACL)

分类:编号ACL   / 命名ACL

   标准ACL(1-99,1300-1999)  /    扩展ACL(100-199,2000-2699

 

 

编号标准:

语法:access-list {1-99|1300-1999} {permit|deny} 网段 网段的反掩码

例子

ACL_ACL

 

ACL的应用:在特定接口或进程下应用  ip access-group 1 in/out

编号扩展:

语法:access-list {100-199|2000-2699} {permit|deny} 协议 源地址 目标地址 

例子

ACL_访问控制_02

 

 命名ACL:

语法:

ACL_访问控制_03

NOTE:

删除ACL只需进入ACL然后  no ACL 编号     // no 60     

添加ACL只需进入ACL然后在添加的ACL前加上编号  // 60 permit ip any any

 

 

ACL规则:

ACL_访问控制_04

 

 

 

 时间ACL:*扩展ACL才支持Time range

NOTE:一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。 

absolute是指定什么时候生效和失效/由start和end规定,在这两个关键字后面的时间要以24小时制、hh:mm(小时:分钟)表示,日期要按照日/月/年来表示。

periodic:主要是以星期为参数来定义时间范围的一个命令。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合,也可以是daily(每天)、weekday(周一到周五)或者weekend(周末)。

部署:1、先定义 Time range    2、在ACL上应用在 Time range

例子:

1、定义Time range CTC

ACL_ACL_05

2.应用CTC

ACL_访问控制_06

 

 

 

自反ACL

原理图:

ACL_访问控制_07

 

 

 部署:

1、采样 reflect CTC

ACL_访问控制_08

 

2、放行采样的流量 evaluate CTC

ACL_访问控制_09

 

3、应用到接口,原理:内网出去的流量先被该接口采样记录下来,然后回来时该接口识别出该流量是内网出去的于是放行

ACL_访问控制_10

 

 

 

 

 

 

 

 

 

 

 

 MACL(mac ACL)

配置MAC ACL:
MAC ACL能根据帧的源和目的MAC及帧的类型进行过滤。

SW1(config)#mac access-list extended MACL
SW1(config-ext-macl)#deny cc01.0604.0000 0000.0000.ffff any   //拒绝源MAC为CC01.0604.****的帧
SW1(config-ext-macl)#permit any any

SW1(config)#int f0/1
SW1(config-if)#mac access-group MACL in        //在F0/0接口IN方向应用MAC ACL

实验调试:

测试R1和其它路由器的通信,很可能还是正常的,原因在于:MAC ACL对ICMP这样的IP数据包并不起作用。在路由器R1上,执行“clear arp-cache”命令后,再重新测试R1和其它路由器的通信,这时应该无法通信,原因在于:当清除ARP表后,R1需要先发送ARP请求,而该ARP请求将被MAC ACL丢弃。

说明:可以通过“show int f0/0”或“show ip arp”命令查看MAC地址。

注意:MAC ACL只对非IP流量起作用。

 

 

 

 

VACL(vlan ACL)

 

配置VACL:

 

VACL应用在VLAN上,没有方向性,进入或离开VLAN的数据都要受控制。

配置步骤:

1. 指定VLAN访问映射表的名称和序列号: vlan access-map map_name [seq#]

2. 配置MATCH子句 match ip address................................

3. 配置ACL操作 action ....................................................

4. 将VLAN 访问映射表应用于VLAN vlan filter map_map vlan_list list

 

配置VACL:

VACL应用在VLAN上,没有方向性,进入或离开VLAN的数据都要受控制。

SW1(config)#int f0/3
SW1(config-if)#no ip access-group 100 in        //先清除F0/3接口上的ACL
SW1(config)#access-list 101 permit ip host 172.16.2.4 host 172.16.1.2
SW1(config)#vlan access-map VACL 5

SW1(config-access-map)#match ip address 101
SW1(config-access-map#action drop        //以上配置从2.4发往1.2的数据将被丢弃
SW1(config)#vlan access-map VLAN 10
SW1(config-access-map)#action forward        //以上配置其它的数据包将被转发

SW1(config)#vlan filter VLAN vlan-list 1
实验调试:

路由器R2和R3之间的通信应该是正常的;路由器R2和R4之间的通信应该是不正常的。

注意:VACL是应用在Vlan 1上的,当1.2发包到2.4时,VACL不丢弃数据包;而当2.4发包到1.2时,VACL丢弃数据包。