目录
一,acl作用
二,acl原理
三,acl应用规则
四,acl配置
ACL:access list访问控制列表
一,ACL作用:
用来对数据包做访问控制(丢弃或放行)
结合其他协议(标识端口),用来匹配范围或规则
二,ACL工作原理:
当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。
【ACL读取第三层,第四层包头信息,根据预先定义好的规则对包进行过滤
IP报头:源地址,目的地址
TCP报头:源端口,目的端口
数据(上层数据):利用四个元素定义规则:源地址,目的地址,源端口,目的端口】
ACL种类:
基本acl(2000-2999):只能匹配源IP地址
高级acl(3000-3999):可以匹配源IP,目标IP,源端口,目标端口等三层和四层的字段和协议。
二层ACL(4000-4999):根据数据包的源mac地址,目的mac地址,802.1q优先级,二层协议类型等二层信息制定规则。
三,ACL的应用原则:
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
应用规则:
一个接口的同一个方向,只能调用一个ACL;
一个ACL里面可以有多个rule规则,按照规则id从小到大排序,从上到下依次执行
数据包一旦被某rule匹配,就不再继续向下匹配
用来做数据包访问控制时,默认隐含放过所有(华为模拟器)
四,acl配置:
acl 2000 创建acl 2000
rule 5 deny source 192.168.1.1 0
拒绝源地址192.18.1.1的流量,0代表仅此一台(反掩码),5是这条规则的序号
int g0/0/0
ip add 192.168.2.254 24
traffic-filter outbound acl 2000
接口出方向调用acl 2000,outbound代表出方向,inbound代表进入方向
acl 2001
rule permit source 192.168.1.0 0.0.0.255
permit代表允许,source代表来源,掩码部分为反掩码
rule deny source any
拒绝所有访问,any代表所有0.0.0.0 255.255.255.255
int g0/0/1 进入出口接口
ip add 192.168.2.254 24
traffic-filter outbound acl 2001
acl 3000 拒绝tcp为高级控制,所以3000起
rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 拒绝ping
rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80
总结
1.ACL读取第三层,第四层包头信息,根据预先定义好的规则对包进行过滤
2.acl用来对数据包做访问控制,结合其他协议,用来匹配范围或规则
3.一个接口的同一个方向,只能调用一个ACL;一个ACL里面可以有多个rule规则,按照规则id从小到大排序,从上到下依次执行
4.数据包一旦被某rule匹配,就不再继续向下匹配
