目录
ACL:
access list 访问控制列表
ACL两种作用:
1、用来对数据包做访问控制(丢弃或者放行)
2、结合其他协议,用来匹配范围(规则)
读取第三层、第四层包头信息、根据预先定义好的规则对包进行过滤
IP报头:源地址,目的地址
TCP报头:源端口目的端口
上层数据:访问控制列表利用这4个元素定义的规则
ACL工作原理:
当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,做出相应的处理.
ACL种类:
基本ACL(2000-2999):只能匹配源ip地址
高级ACL(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等,三层和四层的字段和协议。
二层ACL(4000-4999):根据数据包的源和目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。
ACL(访问控制列表)的应用原则
基本ACL,尽量用在靠近目的点
高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
ACL的应用规则
- 一个接口的同一个方向,只能调用一个ACL
- 一个ACL里面可以有多个RULE规则,按照规则ID从小到大排序(默认是5),从上往下依次执行
- 数据包一旦被某RULE匹配,就不再继续向下匹配
- 用来做数据包访问控制时,默认隐含放过所有(华为设备)Cisco相反
ACL命令:
[Huawei]acl number 2000 ###创建acl2000
[Huawei -acl-basic-2000]rule 5 deny source 192.168.1.1 0
#拒绝源地址为192.168.1.1的流量,0代表仅此一台,5是这条规则的序号(可不加) 0 代表反掩码(255.255.255.255=0.0.0.0)255.255.255.240=0.0.0.15 255-240=15就是每个字段的值
[Huawei] interface GigabitEthernet 0/0/1
Ip add 192.168.2.254 24
traffic-filter outbound