ACL技术---访问控制列表
第一:安全
第二:稳定
对于网络中的流量的一种处理方式,(放通、拒绝)。
ACL功能
1、访问控制
在设备的流入或流出接口上,匹配流量,然后执行设定的动作
允许---permit
拒绝---deny|
2、抓取流量
ACL经常与其他协议共同使用。-----所以动作均为允许。
ACL的匹配规则
自上而下、逐一匹配。若匹配成功则按照相应规则执行,不再向下匹配;若没有匹配上,则执行默认规则(在华为中,为允许所以)
ACL分类
1、基本ACL
基于IP报文的源IP地址定义规则
编号:2000~2999
2、高级ACL
基于源目IP、IP报文协议字段、IP报文优先级、IP报文长度、TCP源目端口号、UDP源目端口等信息来定义规则。
编号:3000~3999
3、二层ACL
基于MAC地址来定义规则
编号:4000~4999
4、用户自定义ACL
需求一
PC1可以访问192.168.2.0/24网段,而PC2不可以。·分析:
仅对源地址有要求,配置基本ACL
基本ACL配置规则----靠近目的进行配置。|
配置
[r2]acl 2000 ----创建基本ACL列表
[r2-acl-basic-2000]rule-permit source 192.168.1.253 0.0.0.0 ---创建规则
通配符-----32位二进制,0代表不可变,1代表可变
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000---在0/0/1接口的出方向调用acl2000列表—个接口的一个方向只能调用一张ACL列表。但是一个ACL列表可以在多个接口使用
[r2]display acl 2000---查看ACL列表
需求二
要求PC1可以访问PC3,但是不能访问PC4
分析:对目标有要求,使用高级ACL;更靠近源。
[r1-acl-adv-3000]rule permit ip source 192.168.1.253 dO|destination 192.168.2.253 0.0.0.0
[r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.2520.0.0.0
[r1-GigabitEthernetO/0/1]traffic-filter inbound acl 3000
需求三
要求:PC1可以ping通R2,但是不能telnet R2
[r1]acl 3100
[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0
[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 dest ination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100