作用
一张规则列表,表里包含很多的规则,用这些规则来匹配/检查 数据包,从而给数据包进行分类
白话简述:
类比电影选角,
比如要一个欧洲白人贵族小姐(符合要求则允许)
那么就是匹配 动作为允许 条件为 女性 白皮肤
再比如只是要一个狡诈阴暗的角色群演 (符合要求即拒绝)
那么就是匹配 动作为拒绝 条件为 高大威猛 外貌出众
这些就是规则 ACL就是这些规则的集合 。
不同情景应用ACL默认的动作不同 :
ACL在 traffic-filter 应用时 默认为允许
ACL在 telnet 应用时 默认为允许
ACL与 NAT 应用时 默认为拒绝
ACL 与 route-policy 应用时 默认为拒绝
流量控制:
确定数据转发路径;确定其中的控制设备;确定接口及方向
常见控制方法分类:
控制路由条目---路径信息 --------路由策略
控制数据包 ---- ACL
ACL分类:
基本ACL:匹配数据的源地址---粗略
2000-2999
高级ACL: 匹配数据包 源地址、目的地址、协议号、源端口、目的端口 等 -精细化
3000-3999
详解:
ACL主要用于在众多类型的数据包中 匹配/抓取 感兴趣的数据
是一个包含了多个 规则 的列表 不同规则通过 规则号 进行区分
从上至下按照规则号 依次匹配 按顺序匹配 匹配即停止
每个规则都包含 动作+条件 两部分内容
动作分为 允许 (permit)和 拒绝(deny)
条件分为 地址(address)和 通配符(wildcard bits)
步长为 5 不写编号默认为5 每隔一个 编号+5
通配符:
类似掩码 转为二进制解读 1表示不确定,0表示确定 //可以不连续
两个特殊地址:
表示所有网络 0.0.0.0 255.255.255.255
表示一个主机 192.168.10.2 0.0.0.0
基本ACL
例:
acl 2000 //创建ACL表 • rule 10 permit source 192.168.1.0 0.0.0.255 //设立规则 // 规则 10 允许 资源 ip地址 通配符 int g0/0/1 traffic-filter outbound acl 2000 // 过滤 应用ACL 默认为允许
基本ACL配置:分析思路 尽量靠近服务器
确定数据包的转发路径----确定转发路径中设备节点-----确定设备节点的接口、方向
高级ACL
ACL 3000 RULE 3 PERMIT TCP SOURCE 192.168.1.1 0.0.0.0 DESTINATION 192.168.3.1 0.0.0.0 DESTINATION-PORT EQ 80 //规则3 允许 tcp 源为192.168.1.1 的唯一主机 目的为192.168.3.1的唯一目标 允许端口为80 //http 协议 端口号为80 RULE 6 PERMIT IP SOURCE 192.168.1.1 0.0.0.0 DESTINNATION 192.168.2.0 0.0.0.255 RULE 8 DENY IP SOURCE 192.168.1.1 0.0.0.0 DESTINATION ANY Q INT G0/0/1 TRAFFIC-FILTER INBOUND ACL 3000
一般配置在距离数据源近的设备上