ACL访问控制理论+实操详解
前言
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全
1.1:访问控制列表
- 读取第三层、第四层包头信息
- 根据预先定义好的规则对包头进行过滤
1.2:访问控制列表的类型
-
标准访问控制列表
基于源IP地址过滤数据包
白哦准访问控制列表的访问控制列表号是1~99 -
扩展访问控制列表
基于源IP地址、目的ip地址、指定协议、端口和标志来过滤数据包
扩展访问控制列表的访问控制列表号是100~199 -
命名访问控制列表
命名访问控制列表允许在标志和扩展访问控制列表中使用名称代替表号
1.3:访问控制列表在接口应用的方向
出:已经过路由器的处理,正离开路由器的接口的数据包(本机无效)
入:已经到达路由器接口的数据包,将被路由器处理(本机生效)
1.4:访问控制列表的处理过程
1.5:ACL原理:
1.ACL是从上至下逐条匹配,一旦匹配成功则不再向下匹配。
2.ACL最后隐含了一条拒绝所有的规则。
3.路由器的一个接口一个方向最多只可以应用一个ACL,但是可以有N条条目。
二:实验拓扑
2.1:配置SW1
<Huawei>undo terminal monitor
<Huawei>system-view
[Huawei]sysname SW1
[SW1]user-interface console 0
[SW1-ui-console0]idle-timeout 0 0
[SW1]vlan batch 10 20
[SW1-ui-console0]int e0/0/1
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/1]quit
[SW1]int e0/0/2
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port default vlan 20
[SW1-Ethernet0/0/2]quit
[SW1]int e0/0/3
[SW1-Ethernet0/0/3]port link-type access
[SW1-Ethernet0/0/3]p d v 10
[SW1-Ethernet0/0/3]q
[SW1-Ethernet0/0/4]p l a