@TOC
作用
- 读取第三层和第四层包头信息
- 根据预先定义好的规则对包进行过滤
- 用来对数据包做访问控制
- 结合其他协议,用来匹配范围
通信4元素:源地址、目的地址、源端口、目的端口 + 协议=五元素
访问控制列表在接口应用的方向
- 出:已经经过路由器的处理,正在离开路由器的数据包
- 入:已经达到路由器接口的数据包,将被路由器处理
- 列表应用到接口的方向与数据关系有关
访问控制列表的处理过程
匹配第一条 | 发送到目的端口 | |
---|---|---|
匹配第二条 | ||
匹配第三条 | ||
丢弃 | 拒绝 |
如果两条都不匹配就进行下一条匹配
工作原理
当数据包从接口经过是,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。
类型
- 基本ACL(2000-2999):只匹配源IP地址。
- 高级ACL(3000-3999):可以匹配源IP、源端口、目标端口等三层和四层的字段和协议
- 二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则
ACL的应用原则
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源额地方(可以保护带宽和其他资源)
- 一个接口的ton规格方向,只能调用一个ACL
- 一个ACL里面可以有多个RULE规则,按照规则ID从小到大排序,从上往下依次排序
- 数据包一旦被rule匹配,就不再继续向下匹配
- 用来做数据包访问控制时,默认隐含放过所有(华为设备)
配置命令
[Huawei] acl number 2000 ###创建acl 2000
[tuawei-acl-bas