1、ACL概述
ACL(Access Control List,访问控制列表)是用来实现数据包识别功能的。
ACL能用来干啥?
①包括率防火墙功能
②NAT功能(网络地址转换)
③QoS(服务质量)的数据分类
④路由策略和过滤
⑤按需拨号
简单来说:ACL是许多不同的规则组成的一张滤网,通过permit/deny的动作,来决定是抓取还是不抓取。
路由设备对进出接口的数据包逐个过滤,出入方向分别过滤。
入场景:数据包到达入接口-没有配置直接permit,通过;如果配置了规则,则需要满足才能通过,规则并联关系。
例如下面三条ACL规则:
-
rule 5 permit source 192.168.1.1 0.0.0.255
-
rule 10 deny source 192.168.2.2 0.0.0.255
-
rule 15 deny
rule是规则关键字,后面的数字5,10,15是规则编号, source是指根据源来进行过滤的192.168.1.1是IP地址,0.0.0.255是通配符。
通配符不是子网掩码!!!!!!11!!!!!!!!!!!!!!!!
通配符:
0表示对应位须比较
1表示对应位不比较,比如:
通过数字来给访问控制列表编号,便于维护
基本ACL:只根据报文的源IP地址制定规则
高级ACL:根据报文的源IP地址、目的IP地址、IP承载的协议类型等规则
二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则。
用户自定义ACL:xxxooo
怎么启动包过滤防火墙功能?
第一步:在路由器上启动防火墙功能
firewall enable
第二步:配置ACL和ACLnumber
acl 2500
第三步:定义规则
[r1-acl-basic-2500]rule 5 deny source 192.168.1.1 0.0.0.255 deny源192.168.1.1
[r1-acl-basic-2500]rule 10 permit ----其他默认permit
[r1-GigabitEthernet0/0/2]traffic-filter outbound acl 2500 在接口的出方向调用acl 2000
ACL包过滤显示与调试
查看防火墙的统计信息:display firewall-statistics
查看以太网帧过滤情况信息:display firewall ethernet-frame-filter
显示配置的IPv4 ACL信息:display acl
清除IPv4 ACL统计信息:reset acl counter