目录
1.ACl的功能
1.配置了ACL的网络设备根据事先制定号的规则,然后对经过该设备的流量按照对应的规则进行匹配,对匹配上的流量执行相应的动作
2.访问控制:
3.允许Permit
4.拒绝deny
5.抓取流量——ACL只匹配流量,至于具体的动作将和其他协议或者一些服务联合起来使用
2.ACl的匹配原则
1.自上而下,逐一匹配,一旦匹配上则不在向下匹配
2.华为默认ACL列表末尾隐含一条允许所有的指令(不做处理)
3.思科默认ACL列表末尾隐含一条拒绝所有的指令
3.ACL的分类:
1.基础的ACL:仅关注数据包中的源IP地址
2000-2999
2.高级ACL:除了关注数据包中的源IP地址之外,还会关注数据包中的目标IP,端口号等等。
3000-3999
用户自定义的ACL
4.ACL的调用
路由器的接口,并且ACL的调用需要区分流量的流向(流入或者流出)
5.配置
1.初级ACl
(1)
1.创建ACL
[r1]acl 2000
2.给ACL列表写规则
[r1-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0—相当于拒绝192.168.1.3这一个IP0.0.0.0
—通配符(32位二进制构成):0代表不可变,1代表可变
3.接口调用ACL列表
[r1]display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 deny source 192.168.1.3 0 (5 matches)——需要注意流量的流向,IN—流入 OUT——流出
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000—接口调用ACL列表
4.查看
[r1]display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 deny source 192.168.1.3 0 (5 matches)—查看ACL列表的规则
1.创建ACL
[r2]acl 2000
2.给ACL列表写规则
acl number 2000
rule 5 deny source 192.168.1.3 0
3.接口调用—注意调用位置
traffic-filter outbound acl 2000
5—步长值(ACL列表默认步长为5)另一方面,为了便于规则之间插入一些规则
[r2-acl-basic-2000]undo rule 10 -----删除规则
(3)注意:
基础ACL的配置位置,尽量靠近目标尽量避免误伤
2.高级ACL
(1)
高级ACL的调用位置尽量靠近源,避免资源的浪费(同时因为高级ACL,即关注源也关注目标,所
以不会造成误伤)
[R1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.3.2 0.0.0.0 —拒绝源1.3
访问3.2所以的TCP相关的服务
1.创建
[R1]acl 3000
2.写规则
rule 10 deny icmp source 192.168.1.3 0 destination 192.168.3.2 0 —拒绝源192.168.1.3ping目标
192.168.3.2的流量
3.接口调用规则
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
traffic-filter inbound acl 3000—注意一个接口的一个方向实际只能调用一张列表
[r2-GigabitEthernet0/0/1]undo traffic-filter outbound ---删除接口的调用
acl number 3001
rule 5 deny tcp source 192.168.2.1 0 destination 192.168.2.2 0 destination-port eq 23 (代表服务为Telent)
—拒绝源为192.168.2.1 目标为192.168.2.2 并且访问服务为Telent服务的流量(访问目标端口号为
23的流量)