什么是ACL
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃
ACL的作用
-读取第三层、第四层包头信息
-根据预先定义好的规则对包进行过滤
ACL访问控制列表,就是在链路连通的基础上,看是被允许的还是被拒绝的,进行一个有效的访问控制。
ACL的种类
1.基本acl(2000-2999):只能匹配源IP地址
2.高级acl(3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段。
3.二层acl(4000-4999):根据数据包的源MAC地址、目的MAC地址、二层协议类型等二层信息制定规则
ACL的应用原则
基本acl,尽量用在靠近目的点
高级acl,尽量用在靠近源的地方(用来保护带宽和其他资源)
(1)ACL的应用规则
1.一个接口的同一个方向,只能调用一个acl
2.一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3.数据包一旦被某个rule匹配,就不再继续向下匹配
4.用来做数据包访问控制时,默认隐含放过所有(华为设备)
控制列表处理过程
访问控制列表中有一个严格的匹配顺序
拒绝和允许都不匹配才会允许读下一条
访问控制列表的处理过程:如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。如果不匹配第一条规则,则依次往下检查直到有任何一条规则匹配。如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。
华为设备默认放通所有
访问控制列表在接口应用的方向
-出:已经过路由器的处理,正离开路由器接口的数据包
-入:已经到达路由器接口的数据包,将被路由器处理
以下图为例子,当数据经过e0/0到达R4,再经过e0/1转发,则对于该路由器而已,该数据的e0/0口是入方向,e0/1口是出方向
ACL实验
1、仅允许PC1访问192.168.2.0/24网络
2、禁止192.168.1.0/24网段ping web服务器
最后PC1ping通PC3
最后PC1ping通PC3