一、ACL概述
**1ACL是什么
2ACL的作用
3ACL两种应用
4ACL工作原理
5ACL的种类**
二、ACL的书写格式
三、实际操作
**1ACL的应用规则
2匹配规则**
四、VRRP
五、VRRP概述
1VRRP基本概述
2设备类型
3VRRP工作原理
4VRRP其他场景
六、实际操作
一、ACL概述
1、ACL是什么
ACL (Access ControlList,访问控制列表)也称为访问列表,或老包过滤。,ACL是人为定义的一系列规则,以便设备判断是否执行用户规定动作。
**2、ACL的作用**
ACL出现的初始目的是用于数据报文过滤和数据报文分类。
**数据报文过滤**
由于ACL包含了“允许”或“拒绝”的ACL规则,通过ACL规则,能够控制设备是否转发数据报文,或则和限制用户访问服务。
**数据报文分类**
通过ACL规则对数据报文进行分类,其他应用(比如QOS、策略路由等)通过调用ACL,能够对不同类别的数据报文进行区别处理。
3、ACL的两种应用
1应用在接口的ACL–过滤数据包(原目ip地址,原目mac,端口 五元组)
2应用在路由协议–匹配相应的路由条目
3NAT、IPSEC、QOS–匹配感兴趣的数据流
4、ACL的工作原理
当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
5、ACL的种类
1编号2000-2999-基本ACL,依据数据包当中的源ip地址匹配数据(数据从哪个ip地址过来的)
2编号3000-3999-高级ACL,依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
3编号4000-4999-二层ACL、VLAN-id、802.1q
二、ACL的书写格式
acl 2000 #新建表格,将你设置的过滤条件放入这个表格
rule permit | deny source (ip地址) 通配符掩码(用来控制匹配的范围)
子掩码的作用:连续的1代表网络位
255.255.255.0
11111111.11111111.11111111.00000000
反掩码:连续的0代表网络位
00000000.00000000.00000000.11111111
0.0.0.255
通配符掩码
可以0 1穿插
利用ip地址+通配符匹配流量
掩码、反掩码–0和1必须连续 ,通配符掩码–0和1可以不连续
子网掩码 必须是连续的1
反掩码 必须是连续的0
通配符掩码 0和1可以不连续
通配符:根据参考ip地址,通配符”1“对应位可变,”0“对应位不可变,0/1可以穿插
三、实际操作
int g0/0/0
ip address 192.168.1.254 255.255.255.0
int g0/0/1
ip address 192.168.2.254 255.255.255.0
int g0/0/2
ip address 192.168.3.254 255.255.255.0
1.建立acl 2调用acl
acl 2000
#基本acl 列表
rule 5 deny source 192.168.1.1 0
#默认编号5 拒绝 来自192.168.1.1 的流量
int g0/0/1
traffic-filter outbound acl 2000
#数据流向
在接口下调用acl 分为两个方向
inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL
没有被acl匹配数据默认采用permit动作
基本acl需要调用在离目的设备最近的接口上
高级 acl
acl number 3000
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)
[R1]int g0/0/1
undo traffic-filter outbound
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000
1、ACL(访问控制列表)的应用规则
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
2、匹配规则
1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
四、VRRP
局域网中的用户终端通常采用配置一个默认网关的形式访问外部网络,如果此时默认网关设备发生故障,将中断所有用户终端的网络访问,这很可能会给用户带来不可预计的损失,所以可以通过部署多个网关的方式来解决单点故障问题,VRRP既可以实现网关的备份,又能解决多个网关之间互相冲突的问题。
五、VRRP概述
1VRRP基本概述
虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)
VRRP能够在不改变组网的情况下,将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现网关的备份。
协议版本: VRRPv2(常用)和VRRPv3:
VRRPv2仅适用于IPv4网络,VRRPv3适用于IPv4和IPv6两种网络。VRRP协议报文:
只有一种报文:Advertisement报文(通告报文);其目的IP地址是224.0.0.18,协议号是112。
利用VRRP,一组路由器(同一个LAN中的接口)协同工作,但只有一个处于Master状态,处于该状态的路由器(的接口)承担实际的数据流量转发任务。在一个VRRP组内的多个路由器接口共用一个虚拟IP地址,该地址被作为局域网内所有主机的缺省网关地址。 VRRP决定哪个路由器是Master,Master路由器负责接收发送至用户网关的数据包并进行转发,以及响应PC对于其网关IP地址的ARP请求。 Backup路由器侦听Master路由器的状态,并在Master路由器发生故障时,接替其工作,从而保证业务流量的平滑切换。
2.设备类型
master路由器
通过比较VRRP优先级,优先级大的是master路由器;
周期性的发送VRRP报文,维护master路由器和备份路由器的身份;
周期时间默认是1s; 备份网关,通过比较 VRRP 优先级,优先级小的是备份路由器;
备份(backup)路由器:
通过不断的接收master路由器发送的 VRRP 报文来判断master路由器的状态;
如果在一定的时间内,收不到 VRRP 报文,则认为master路由器出现故障,自己升级为master路由器;
这个“一定的时间”,默认是“master路由器发送VRRP的周期”的3倍,所以默认是 3s .
虚拟网关
通过VRRP虚拟出来的网关IP地址,这个网关IP地址,是配置在终端设备上的;
终端设备访问其他网段时,直接将数据发送给虚拟网关IP地址,
此时只有master路由器会回应针对虚拟网关IP地址的ARP请求,所以最终终端设备发送的数据
发送到了master路由器设备上
主机设置的网关 是 不在配置在 真实接口上
VRID 相同在同一个组中 只有在同一个组中 才会 共享 虚拟ip 虚拟路由器的标识。有相同VRID的一组路由器构成一个虚拟路由器VRRP报文格式VRRP只使用到advertisement这一种报文,VRRP使用ip报文作为传输协议报文,协议号为112,使用固定的组播地址224.0.0.18进行发送
VRRP状态机
VRRP协议中定义了三种状态机:初始状态(Initialize)、活动状态(Master)、备份状态(Backup)。其中,只有处于活动状态的设备才可以转发那些发那些发送到虚拟IP地址的报文。
Initialize
设备启动时进入此状态,当收到接口Startup的消息,将转入Backup或Master状态(IP地址拥有者的接口优先级为255,直接转为Master)。在此状态时,不会对VRRP报文做任何处理。
Master
当路由器处于Master状态时,它将会做下列工作:
1.定期发送VRRP报文。
2.以虚拟MAC地址响应对虚拟IP地址的ARP请求。 虚拟路由器 封装的时候 都封装 虚拟路由器的 mac地址
3.转发目的MAC地址为虚拟MAC地址的IP报文。
4.如果它是这个虚拟IP地址的拥有者,则接收目的IP地址为这个虚拟IP地址的IP报文。否则,丢弃这个IP报文。
5.如果收到比自己优先级大的报文则转为Backup状态。
6.如果收到优先级和自己相同的报文,并且发送端的主机IP地址比自己的主IP地址大,则转为Backup状态。
7.当接收到接口的Shutdown事件时,转为Initialize。
Backup
当路由器处于Backup状态时,它将会做下列工作:
1.接收Master发送的VRRP报文,判断Master的状态是否正常。
2.对虚拟IP地址的ARP请求,不做响应。
3.丢弃目的MAC地址为虚拟MAC地址的IP报文。
4.丢弃目的IP地址为虚拟IP地址的IP报文。
5.Backup状态下如果收到比自己优先级小的报文时,丢弃报文,不重置定时器;如果收到优先级和自己相同的报文,则重置定时器,不进一步比较IP地址。
6.当Backup接收到MASTER_DOWN_TIMER定时器超时的事件时,才会转为Master。
7.当接收到接口的Shutdown事件时,转为Initialize。
3、VRRP工作原理
-
虚拟路由器中的路由器根据优先级选举出Master。Master路由器通过发送免费ARP报文,将自己的虚拟MAC地址通知给与它连接的设备或者主机,从而承担报文转发任务;
-
Master路由器周期性发送VRRP报文,以公布其配置信息(优先级等)和工作状况;
3.如果Master路由器出现故障,虚拟路由器中的Backup路由器将根据优先级重新选举新的Master;
- 虚拟路由器状态切换时,Master路由器由一台设备切换为另外一台设备,新的Master路由器只是简单地发送一个携带虚拟路由器的MAC地址和虚拟IP地址信息的免费ARP报文,这样就可以更新与它连接的主机或设备中的ARP相关信息。网络中的主机感知不到Master路由器已经切换为另外一台设备。
5.Backup路由器的优先级高于Master路由器时,由Backup路由器的工作方式(抢占方式和非抢占方式)决定是否重新选举Master。
六、实际操作
路由器配置
<Huawei>u t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.3.254 24
[R1-GigabitEthernet0/0/2]q
###基础acl建立
[R1]acl 2000 ##建立acl 2000
[R1-acl-basic-2000]rule deny source 192.168.1.1 0 ##限定拒绝源ip固定为192.168.1.1的访问
[R1-acl-basic-2000]int g0/0/1 ##计划与路由器接口g0/0/1绑定
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ##限定出去的流量匹配acl2000检查
[R1-GigabitEthernet0/0/1]q
###高级acl建立
[R1]acl 3000 ##建立acl 3000
##规则限定拒绝tcp协议,源ip为192.168.1.2,目标端口为80,也就是限定访问www
[R1-acl-adv-3000]rule deny tcp source 192.168.1.2 0 destination-port eq 80
[R1-acl-adv-3000]int g0/0/0 ###计划绑定g0/0/0接口
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 ##限定进入的流量访问时进行acl 3000匹配
[R1-GigabitEthernet0/0/0]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
traffic-filter inbound acl 3000
#
return
此时pc1访问不了服务器1,pc2可以访问服务器1,服务器2启动80端口,pc2可以访问服务器2,pc2无法访问服务器3的80端口,pc1可以正常访问服务器2的8端口
ACL(访问控制列表)的应用规则
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
匹配规则
1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
471
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
