访问控制列表(ACL)
读取第三层,第四层包头信息(IP包头、TCP包头)
IP包头:源地址,目的地址
TCP包头:源端口,目的端口
根据预先定义好的规则对包进行过滤
接口应用的方向
出:已经过路由器的处理,正离开路由器接口的数据包
入:已到达路由器接口的数据包,将被路由器处理
列表应用到接口的方向与数据方向有关
处理过程:
ACL作用
1、用来对数据包做访问控制(丢弃或者放行)
2、结合其他协议,用来匹配范围
工作原理:当数据包从接口经过时,由于接口启用acl,此时路由器会对报文进行检查,然后做出处理
ACL种类
基本ACL(2000~2999)只能匹配源IP地址
高级ACL(3000~3999)可以匹配源IP,目标IP,源端口,目标端口,等三层和四层的字段
二层ACL(4000~4999)根据数据包的源MAC地址,目的MAC地址,802.1q优先级,三层协议等二层信息制定
应用原则
基本ACL尽量用在靠近目的点
高级ACL尽量用在靠近源的地方(可以保护带宽和其他资源)
应用规则
1、一个接口的同一个方向,只能调用一个ACL
2、一个ACL里面可以有多个rule规则,按照规则ID从小到大排序,从上往下一次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
ACL华为命令
配置实例
1.仅允许pc1访问192.168.2.0网段
2.禁止192.168.1.0/24访问web服务器
应该ping不通了
3.仅允许client1访问web服务器的www服务