学网络，就在IE-LAB

国内高端网络工程师培养基地

---

基于ACL过滤telnet和特定的网段信息

什么是访问控制列表(ACL)？

应用于路由器接口的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝

ACL的工作原理：

1. 1.读取第三层及第四层包头中的信息

2. 2.根据预先定义好的规则(Deny or Permit)对包进行过滤

基本类型的访问控制列表，本文主讲扩展的访问控制列表：

1. 1.标准访问控制列表

2. 2.扩展访问控制列表

3. 3.命名的访问控制列表

我们以下面的例子作为实验进行讲解：

描述要求：

1.     使用OSPF协议使得全网互通，需要测试

2.     使用访问控制列表，使主机PC1不可以访问主机PC3，但可以访问其他设备

3.     使用访问控制列表，PC2不可以远程登录Server，其他设备可以远程登录Server

拓扑：

配置命令：

1.    配置PC机IP地址和网关地址：

2.    如果使用路由器代替PC需要手工配置网关地址

PC1：

PC1(config)#interface Ethernet0/0

PC1(config-if)#ip address 192.168.1.1255.255.255.0

PC1(config)#ip default-gateway 192.168.1.254

PC2：

PC2(config)#interface Ethernet0/0

PC2(config-if)#ip address 192.168.2.1255.255.255.0

PC2(config)#ip default-gateway 192.168.2.254

PC3：

PC3(config)#interface Ethernet0/0

PC3(config-if)#ip address 192.168.3.1255.255.255.0

PC3(config)#ip default-gateway 192.168.3.254

PC4：

PC4(config)#interface Ethernet0/0

PC4(config-if)#ip address 192.168.3.2255.255.255.0

PC4(config)#ip default-gateway 192.168.3.254

3.    配置路由器R1、R2接口IP地址，根据需求使用OSPF路由协议使得全网互通

R1(config)#interface Ethernet0/0

R1(config-if)#ip address 192.168.1.254255.255.255.0

R1(config)#interface Ethernet0/1

R1(config-if)#ip address 192.168.2.254255.255.255.0

R1(config)#interface Ethernet0/2

R1(config-if)#ip address 12.12.12.1255.255.255.252

R1(config)#router ospf 1

R1(config-router)#router-id 1.1.1.1

R1(config-router)#network 12.12.12.0 0.0.0.3area 0

R1(config-router)#network 192.168.1.0 0.0.0.255area 0

R1(config-router)#network 192.168.2.0 0.0.0.255area 0

R2(config)#interface Ethernet0/0

R2(config-if)#ip address 12.12.12.2255.255.255.252

R2(config)#interface Ethernet0/1

R2(config-if)#ip address 192.168.3.254255.255.255.0

R2(config)#router ospf 1

R2(config-router)#router-id 2.2.2.2

R2(config-router)#network 12.12.12.0 0.0.0.3area 0

R2(config-router)#network 192.168.3.0 0.0.0.255area 0

4.    进行测试，是否是全网互通，必须检查，否则不知道ACL配置完成后是否有效果

PC1 ping PC2、PC3、PC4:

PC1#ping 192.168.2.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1,timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-tripmin/avg/max = 5/5/6 ms

PC1#ping 192.168.3.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.3.1,timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-tripmin/avg/max = 1/1/1 ms

PC1#ping 192.168.3.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.3.2,timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-tripmin/avg/max = 1/1/1 ms

5.    使用访问控制列表进行过滤，使得主机PC1不可以访问主机PC3，但可以访问其他设备

因为标准的访问控制列表是根据源地址进行过滤的，没有办法做到精确匹配，所以我们选择使用扩展的访问控制列表，扩展的访问控制列表是根据五元素组(源IP，目的IP，传输层协议，源端口和目的端口)每个条件都必须匹配，才会施加允许或拒绝条件，使用扩展ACL可以实现更加精确的流量控制，访问控制列表号从100到199

所以我们选择在R1进行配置，因为可以精确过滤，所以可以在出方向的接口(距离源地址最近的进出接口进行过滤)，我们在R1进接口E0/0接口调用，

配置命令如下：

R1：(注意：一定要在接口调用，否则不会生效)

R1(config)#access-list 100 deny ip host192.168.1.1 host 192.168.3.1

R1(config)#access-list 100 permit ip any any———默认拒绝一切，所以需要放行其他网段

R1(config)#interface e0/0

R1(config-if)#ip access-group 100 in

检查：

PC1#ping 192.168.3.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:

UUUUU

Success rate is 0 percent (0/5)

PC1#ping 192.168.2.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1,timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-tripmin/avg/max = 2/4/6 ms

PC1#ping 192.168.3.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.3.2,timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-tripmin/avg/max = 1/1/1 ms

6.    在Server配置远程登录(我的是路由器模拟的)

在配置前需要在R2配置网关地址，并将这个接口宣告进OSPF中，保证可以ping通。

R2：

R2(config)#interface Serial2/0

R2(config-if)#ip address 10.1.1.254255.255.255.0

R2(config-if)#ip ospf 1 area 0

Server：(设置登录密码和enable密码)

Server(config)#line vty 0 4

Server(config-line)#password CCIE

Server(config-line)#login

Server(config-line)#transport input telnet

Server(config)#enable password CCIE

检查：

7.配置访问控制列表，拒绝主机PC2远程登录到Server，同样在R1的进接口E0/1调用：

R1：

R1(config)#access-list101 deny tcp host 192.168.2.1 host 10.1.1.1 eq telnet(或写端口号23)

R1(config)#access-list 101 permit tcp any any

R1(config)#interface Ethernet0/1

R1(config-if)#ip address 192.168.2.254 255.255.255.0

R1(config-if)#ip access-group 101 in

检查：

总结：

正常情况下，我们还可以禁止其他协议的流量，比如ICMP报文有：

⑴echo-request：为ping使用的环路测试请求；

⑵echo-reply：为ping使用的环路测试回应；

⑶packet-too-big：某些程序用来侦测目标地址路径上的MTU；

⑷time to live(TTL)  ttl-exceeded ：tracerouter 测试网络报文生存周期；

⑸destinationhost unreachable：通知会话目标不可达

这些我们都可以通过扩展的访问控制列表进行过滤，注意写的时候不要把端口号写错了，当然也可以直接写这个单词，以上就是关于使用扩展的ACL去过滤某一个特定的网段和过滤一些特定的协议流量(本文案例是Telnet)。

往期【网工知识角】技术回顾：

关于路由答疑10问总结2，三分钟自测时间到！网工知识角免费学技术

【纯干货】IELAB路由技术问题总结1，就在网工知识角

网工知识角|存储区域网络详细介绍，带你全面了解SAN

网工知识角|一分钟轻松了解华为端口安全机制

网工知识角轻松学网络|三分钟了解PPPOE协议

技术打卡不停歇，网工知识角|NSX网络虚拟化

网工知识角|了解安全保护新机制 AppDefense

网工知识角|云访问安全代理是否支持IPv6？

网工知识角|第一节，教你了解云计算的几种服务

网工知识角|了解端口映射和端口转发的区别

网工知识角|MUXVLAN技术详解，基本原理一篇搞定

关于ESXi的基本介绍及其五大优点，网工知识角

网工知识角|网络内部漏洞如何解决？有802.1X协议不用怕

网络端口镜像技术三分钟详细总结一篇搞定，就在网工知识角

网工知识角|温故知新之关于语音你不得不知的PSTN协议详解

网工知识角|关于会话初始协议 SIP超详细介绍，建议收藏

网工知识角|一分钟记熟NFV网络功能虚拟化技术介绍

网工知识角|IPSec协议是如何确保网络安全的？

网工知识角|华为认证配置指南之SSL协议知多少

网工知识角|快速掌握华为认证交换机配置之端口安全机制

网工知识角|掌握这四种方式完成垃圾邮件过滤，守护网络安全

IPSec协议超详细解读网络安全协议的重要性就在网工知识角

光纤通信技术知多少？WDM技术原理概述就在网工知识角

网工知识角|你不得不了解的VRRP负载均衡技术详解

乘SDN的热潮，NETCONF协议“重出江湖”，五大优点总结就在网工知识角

网工请戳！交换机配置指南半分钟即可掌握关于SSL配置的内容

热门无线技术中这个知识点你知多少？WLAN WDS技术详解一篇搞定

MSDP协议的三个优点你知多少，就在网工知识角

VLAN攻击如何有效防范？搞定虚拟局域网就在网工知识角

一分钟掌握NFV基本概念，就在网工知识角

三分钟掌握热点路由技术之DLSW，技术详解就在网工知识角

避免引起网络安全问题，6步完成华为设备风暴控制的配置,网工知识角

关于OSPF协议重点学习笔记之OSPFv3和OSPFv2的区别

思科路由协议IGRP和EIGRP超详细总结，了解它们之间的关联和区别

网工知识角|NAT64基本原理概述，它的局限性又有哪些？

快速掌握网络通讯流量资源浪费的环路解决方法，网工知识角

新网工技术一分钟解读Openflow工作原理，网工知识角

网工知识角|用于管理和控制IPv6组播组的MLDsnooping技术详解

网工知识角|快速理解FTP和TFTP的区别，实用收藏

新网工都要了解的无线技术，你却连Mesh网络是什么都不知道？

网工知识角|零基础入门学网络，三分钟掌握DTP协议的五种接口模式

网工知识角|思科全新EI及无线方向你必须要去了解的WLAN漫游技术

网工知识角|基础入门务必掌握这两个常用协议，快速攻克面试难关

网工知识角|技术大牛自检时间到，关于MLD技术你知多少？

网工知识角|不可忽略的三个关键点，确保端口安全配置无误

网工知识角|一分钟搞定802.1x认证配置，了解三种授权模式的区别

快速完成华为IPSG配置一分钟看完即会，网工知识角每天进步一点点

网工知识角|一分钟轻松掌握Mac地址漂移使用的场景

网络工程师技术难点分析MTU和PMTU是什么？就在网工知识角

华为网络初级工程师快速掌握基于MAC地址的VLAN划分实用收藏

网工知识角｜华为网络技术面试题详解QOS流量整形令牌桶机制和规则

这样总结隧道Tunnel技术工作原理更容易记住 网络工程师还不收藏？

你知道NAC网络准入控制的5大功能5种类型和3重优点吗？

网工知识角|什么是虚拟化？史上最全云计算基础虚拟化技术各种概念高薪面试必备

网工知识角|网络工程师快收下这份华为MUXVLAN的原理和配置，华为HCIP数通网络实用技术

网工知识角|华为HCIE数通认证基础必学之GVRP协议是什么

网工知识角|CCIE网络工程师安全基础之AAA认证的三个基本组件

网工知识角|EI CCIE企业网软定义中的VxLAN分布式网关两种部署方式

网工知识角|关于OSPF V3你了解吗？不懂没关系，收下这份配置

纯干货网工知识角|入门IT网络工程师收下这份关于NTP网络时间协议解读

学思科和华为都需要掌握之网络安全技术防火墙的4种分类，网工知识角

网工知识角|信息安全入门反病毒技术全面解说5种传播途径

网工知识角|没人会告诉你的网络SDN软定义技术中VXLAN的4个特点

网工知识角|你不可不知的WLAN的安全技术体系

网工知识角|什么是思科软件定义接入(SD-Access)? 新一代网工必学的自动化技术

网工知识角|什么是华为CSS 集群？简单易懂，面试收藏

网工知识角|三分钟了解QOS的处理流程和分类

网工知识角|Qos的基本原理

网工知识角|LACP技术详解

网工知识角|802.1X协议介绍

网工知识角|OpenFlow协议简介

网工知识角|MSTP协议详解

网工知识角|快速了解IGMP协议

网工知识角|快速了解和掌握HSRP协议简介和配置

网工知识角|1分钟了解GRE协议浅析

网工知识角|DHCP服务详解和基于eNSP DHCP配置

网工知识角|P2P协议简介

网工知识角|OSPFv3技术概述

网工知识角|防火墙双机热备三大协议(VRRP-VGMP-HRP)简述

网工知识角|一分钟了解交换机的堆叠技术

网工知识角|简单了解Cisco PVST协议

网工知识角|MPLS LDP简介

网工知识角|GLBP网关负载均衡协议原理

网工知识角|Cisco VTP解析

网工知识角|DLDP技术简述

网工技术分享|Cisco策略路由PBR详解

网工技术分享|Cisco CEF浅析

扫码咨询报名

IE-LAB有优质雄厚师资力量支撑，全面的学习平台和完善的教学服务，我们培养了一批又一批的HCIE/CCIE学员，加入我们，成就未来。

分享给更多网工同伴一起进步

关注本订阅号,点个“赞“”在看”