一、ACL
1.1、ACL概述
访问控制列表ACL(Access Control List)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。
1.2、ACL在接口的应用方向
二、ACL的工作原理
2.1工作原理
当数据包进入端口时,路由器会检查数据包是否可路由。
如果可路由,路由器会检查该端口上是否有控制传入数据包的 ACL。
如果有,则根据 ACL 的条件命令检查数据包。
如果允许数据包,则查询路由表以确定数据包的目标端口。 路由器会检查 ACL 是否控制目的端口上的出站数据包。
如果不存在,数据包将直接发送到目的端口。
如果存在 ACL,数据包将遵循 ACL。然后将其转发到目标端口。
2.2ACL的作用
用来对数据包做访问控制(丢弃或者放行)
结合其他协议,用来匹配范围
2.3ACL 应用
-
应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)
-
应用在路由协议-------匹配相应的路由条目( )
-
NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)
2.4ACL种类
基本ACL(2000-2999) :只能匹配源IP地址。
高级ACL (3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段和协议。
二层ACL (4000-4999):根据数据包的源Mac地址、目的Mac地址、8O2.1Q优先级、二层协议类型等二层信息制定规则.
三、实验
实验要求:干掉1.1 不让他访问www
先配置基本信息
设置R1
R1
u t m //取消提示
sys //进入管理员模式
int g0/0/0 //进接口
ip add 192.168.1.254 24 //设置ip地址
int g0/0/1 //进接口
ip add 192.168.2.254 24 //设置ip地址
int g0/0/2 //进接口
ip add 192.168.3.254 24 //设置ip地址
q //退出
acl 2001 //基本acl 列表
rule 5 deny source 192.168.1.1 0 //默认编号5拒绝来自192.168.1.1 的流量
int g0/0/1 //进接口
traffic-filter outbound acl 2001 //数据流向
int g0/0/1 //进接口
undo traffic-filter outbound //删除上个数据流向
q //退出
//高级 acl
acl number 3000
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80) //拒绝来源于 192.168.1.1去访问 192.168.2.1的 tcp 的80 端口不让他打开网页
q //退出
int g0/0/0 //进接口
traffic-filter outbound acl 3000 //数据流向
至此实验成功。
四、总结
要弄清方向,在接口下调用acl 分为两个方向
inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL