ACL的作用与工作原理

ALC两种作用：

  用来对数据包做访问控制（丢弃或放行）

  结合其他协议，用来匹配范围

 

 

 

 

访问控制列表

读取第三层，第四层包头信息

根据预先定义好的规则对包进行过滤

 

ACL工作原理：当数据包从接口经过时，由于接口启动了acl，此时路由器会对报文进行检查，然后做出相应处理。

ACL种类：

基本ACL：(2000-2999)只能匹配源IP地址。

高级ACL：（3000-3999）可以匹配IP，目标IP，源端口，目标端口等三层和四层字段与协议

二层ACL：（4000-4999）根据数据包的源MAC地址，目的MAC 802.1Q优先级，二层协议类型等二层信息定制规则。

 

 

ACL应用原则

基本ACL  尽量用在靠近目的点

高级acl,尽量用在靠近源的地方（可以保护带宽和其他资源）

 

应用规则

一个接口的同一个方向，只能调用一个ACL

一个acl里面可以有多个RULE规则，按照规则id从小到大排序，从上往下依次执行

数据包一旦被某个rule匹配，就不再继续向下匹配

用来做数据包访问控制时，默认隐含放过所有（华为设备）

 

创建命令如下

 

 

 

 

[Huawei]acl number 2000###创建acl 2000

[Huawei-acl- -basic- 200]rule 5 deny source 192.168.1.10 半拒绝源地址为192.168.1.1的流量，0代表仅此一台，5是这条规则

的序号(可不加)

[ Huawei] interface GigabitEthernet 0/0/1

[ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24

[ Huawei -GigabitEthernet0/0/1]traffic-filter outbound acl 2000#接口出方向调用acl2000，outbound代表出方向，inbound代表进入方向

I Huawei-GigabitEthernet0/0/1]undo sh

I

[ Huawei]acl number 2001###进入acl 2001列表

[Huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 #permit代表允许，source代表来源，掩码部分为反掩码[Huawei-acl-basic-2001]rule deny source any

###拒绝所有访问，any代表所有0.0.0.0 255.255.255.255

或者rule deny

[Huawei]interface GigabitEthernet 0/0/1 ###进入出口接口[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24

[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

[Huawei]acl nmuber 3000

###拒绝tcp为高级控制，所以3000起

[Huawei -acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.10###拒绝Ping[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80

 

私有网络地址和公有网络地址

公有网络地址是在互联网

 

NAT数据包从内网到外网，转换源IP地址，私网地址转换成公网地址，数据包从外网到内网时，会转换目的IP地址，由公网地址转换私网地址